當AP無法上nebula時的輕鬆查修方式
Zyxel Employee
前言:
如何使用AP簡易的網頁查修介面來檢查已經整合到Nebula上的AP 與nebula的連線問題,這項功能已經在AP韌體版本6.30及6.30以後的版本實現了。
說明:
首先,可以連結到AP藉由從Nebula所設定的AP管理IP位址、或者可以使用AP初始預設IP(192.168.1.2)再使用Nebula上的設備密碼或AP的初始密碼做登入。
在登入後就可以看到以下的設備雲端控制面板:
AP會自動檢查每一個連線階段在要進入Nebula網管上線時,並且會顯示結果在網頁的圖型化使用者介面(web GUI)上。當AP 在nebula上線失敗時,使用者在登入後可以直接得到相關的資訊在此AP的web GUI儀表板上,這裡有精確的切入點可以幫助使用者做故障排除。AP 會檢查每個連接階段並在web GUI儀表板上的圓圈顯示結果,如果前一個階段失敗並且顯示橙色時,則AP不會再檢查下一階段,此時可以將滑鼠懸停在圓圈上以便查看詳細的故障資訊。
我們會在此將每一階段分開做說明後在進入下一步驟:
Check "Internet" Connection
檢查確定AP網路介面已正確設定也可以連接上本地端閘道IP位址可以連上網際網路。
Check "Nebula" Connection
檢查AP確認有流量順利的送往Nebula server。
Check "Registration" Status
檢查AP與Nebula server協商註冊狀態。
本文:
一、Check "Internet" Connection
檢查網際網路連接包括:檢查介面設置/DNS 設置和是否可上網,查看Internet圓圈內顯示訊息,可依顯示訊息做查修方向依據。
a.若Internet圓圈內顯示 "無法取得IP從DHCP server" (can't get an IP from your DHCP server!):
如果設備獲取IP失敗,請檢查網路設定:AP的管理VLAN上是否啟用DHCP 自動取得IP功能。AP 接入埠上的交換機設定(避免設定錯誤的 PVID)。確保流量路徑上的交換機有允許 VLAN 流量。
b.若Internet圓圈內顯示"遺漏了預定閘道IP的設定" (Missing default gateway setting)
當遺漏了預設閘道IP位址設定,先到網頁GUI檢查IP位址設定
Configuration -> Network -> IP Setting
或至前端檢查DHCP server的配發IP 位址的閘道IP設定。
c.若Internet圓圈內顯示"無法抵達閘道IP (Gateway unreachable)":
當閘道無法到達時,請檢查流量路徑中交換機上的VLAN設置,並檢查AP的IP設置(分配了錯誤的閘道IP位址)。
Configuration -> Network -> IP Setting
d.若Internet圓圈內顯示"發生IP衝突(conflict with…)
當發生IP衝突時,可以使用ZON掃描網路或檢查交換機上的MAC表來找出衝突的設備。
ZON的下載點及安裝教學如下連結:
e.若Internet圓圈內顯示,DNS查詢失敗(NTP、DNS query failed) :
當 DNS 查詢失敗時,請檢查 AP GUI 上的設備 DNS 設置。也可以手動更改 AP 的 DNS 伺服器設定成為8.8.8.8或168.95.1.1可以正常解析的DNS server,檢查防火牆是否允許 DNS 流量通過。也請確保防火牆本身可以同步,及系統時間正確。
在AP 的web GUI檢查設定 :
再檢查防火牆安全政策規則設定:
f. 若Internet圓圈內顯示,NTP更新失敗(NTP update failed):
當遇到NTP更新失敗時,檢查防火牆設定需要允許埠 123 通過。
Check "Nebula" Connection
二、檢查與nebula的連接包括:憑證是否已匯入AP,解析nebula的IP位址,並檢查AP和nebula之間允許通過的流量。查看Nebula圓圈內顯示訊息,可依顯示訊息做查修方向依據。
a.當發生憑證問題(Certificate Problem) :
當無法獲取憑證時,可以手動更改AP 的 DNS 伺服器的設定成為8.8.8.8或168.95.1.1..可正常解析的DNS server.再檢查防火牆安全政策規則是否允許 DNS 流量通過防火牆,並且要允許 HTTPS(埠 443 )通過防火牆(用於憑證下載)。
在AP 的web GUI檢查設定 :
檢查防火牆安全政策規則設定:
b.若圓圈顯示DNS查詢失敗(DNS queries fail) :
當 DNS 查詢失敗時,請檢查 AP GUI 上的設備 DNS 設置。也可以手動更改 AP 的 DNS 伺服器設定成為8.8.8.8或168.95.1.1可以正常解析的DNS server,檢查防火牆是否允許 DNS 流量通過。
在AP 的web GUI檢查設定 :
再檢查防火牆安全政策規則設定:
c. 若Nebula圓圈顯示 ”Proxy authentication fail!”
當顯示為代理伺服器失敗時,請檢查 AP 和代理伺服器之間的連接。
注意! 請查詢內部網路防火牆是否阻擋 Nebula Server 服務 :
d.若Nebula圓圈顯示 “TCP port 4335 blocked!”
當埠 4335 和 6667 都被阻止時,需要檢查防火牆上的安全政策規則或在更前端的上網設備是否阻擋了埠 4335/6667進入網際網路。
注意! 請查詢內部網路防火牆是否阻擋 Nebula Server 服務 :
三、Check "Registration" Status
a.“Registration”圓圈上顯示 ”Not registered yet, next retry in 13 seconds!”
在AP檢查nebula註冊時,當AP確認在nebula上已註冊,它將轉移到雲端網管模式(nebula)。AP在還沒註冊上 NCC前會增加檢查間隔。檢查AP 的web GUI介面儀表板,要確定已打開按鈕以觸發檢查操作。
AP上nebula註冊教學,請參閱以下連結:
