當AP無法上nebula時的輕鬆查修方式
Zyxel Employee
前言:
如何使用 AP 簡易的網頁查修介面來檢查已經整合到 Nebula 上的 AP 與 Nebula 的連線問題,這項功能已經在 AP 韌體版本 6.30 及 6.30 以後的版本實現了。
說明:
首先,可以連結到 AP 藉由從 Nebula 所設定的 AP 管理 IP 位址、或者可以使用 AP 初始預設 IP(192.168.1.2) 再使用 Nebula 上的設備密碼或 AP 的初始密碼做登入。
在登入後就可以看到以下的設備雲端控制面板:
AP 會自動檢查每一個連線階段在要進入 Nebula 網管上線時,並且會顯示結果在網頁的圖型化使用者介面(web GUI)上。當 AP 在 nebula 上線失敗時,使用者在登入後可以直接得到相關的資訊在此 AP 的 web GUI 儀表板上,這裡有精確的切入點可以幫助使用者做故障排除。AP 會檢查每個連接階段並在 web GUI 儀表板上的圓圈顯示結果,如果前一個階段失敗並且顯示橙色時,則 AP 不會再檢查下一階段,此時可以將滑鼠懸停在圓圈上以便查看詳細的故障資訊。
我們會在此將每一階段分開做說明後在進入下一步驟:
Check "Internet" Connection
檢查確定 AP 網路介面已正確設定也可以連接上本地端閘道 IP 位址可以連上網際網路。
Check "Nebula" Connection
檢查 AP 確認有流量順利的送往 Nebula server。
Check "Registration" Status
檢查 AP 與 Nebula server 協商註冊狀態。
本文:
一、Check "Internet" Connection
檢查網際網路連接包括:檢查介面設置/DNS 設置和是否可上網,查看Internet圓圈內顯示訊息,可依顯示訊息做查修方向依據。
a.若 Internet 圓圈內顯示 "無法取得 IP 從 DHCP server" (can't get an IP from your DHCP server!):
如果設備獲取IP失敗,請檢查網路設定:AP的管理VLAN上是否啟用DHCP 自動取得IP功能。AP 接入埠上的交換機設定(避免設定錯誤的 PVID)。確保流量路徑上的交換機有允許 VLAN 流量。
b.若 Internet 圓圈內顯示"遺漏了預定閘道 IP 的設定" (Missing default gateway setting)
當遺漏了預設閘道 IP 位址設定,先到網頁 GUI 檢查 IP 位址設定
Configuration -> Network -> IP Setting
或至前端檢查 DHCP server 的配發 IP 位址的閘道 IP 設定。
c.若 Internet 圓圈內顯示"無法抵達閘道 IP (Gateway unreachable)":
當閘道無法到達時,請檢查流量路徑中交換機上的 VLAN 設置,並檢查 AP 的 IP 設置(分配了錯誤的閘道 IP 位址)。
Configuration -> Network -> IP Setting
d.若 Internet 圓圈內顯示"發生 IP 衝突(conflict with…)
當發生 IP 衝突時,可以使用 ZON 掃描網路或檢查交換機上的 MAC 表來找出衝突的設備。
ZON 的下載點及安裝教學如下連結:
e.若 Internet 圓圈內顯示,DNS 查詢失敗(NTP、DNS query failed) :
當 DNS 查詢失敗時,請檢查 AP GUI 上的設備 DNS 設置。也可以手動更改 AP 的 DNS 伺服器設定成為 8.8.8.8或 168.95.1.1 可以正常解析的 DNS server,檢查防火牆是否允許 DNS 流量通過。也請確保防火牆本身可以同步,及系統時間正確。
在AP 的web GUI檢查設定 :
再檢查防火牆安全政策規則設定:
f. 若 Internet 圓圈內顯示,NTP 更新失敗(NTP update failed):
當遇到 NTP 更新失敗時,檢查防火牆設定需要允許埠 123 通過。
Check "Nebula" Connection
二、檢查與 Nebula 的連接包括:憑證是否已匯入 AP,解析 Nebula 的 IP 位址,並檢查 AP 和 Nebula 之間允許通過的流量。查看 Nebula 圓圈內顯示訊息,可依顯示訊息做查修方向依據。
a.當發生憑證問題(Certificate Problem) :
當無法獲取憑證時,可以手動更改 AP 的 DNS 伺服器的設定成為 8.8.8.8或168.95.1.1..可正常解析的 DNS server.再檢查防火牆安全政策規則是否允許 DNS 流量通過防火牆,並且要允許 HTTPS(埠 443 )通過防火牆(用於憑證下載)。
在AP 的 web GUI 檢查設定 :
檢查防火牆安全政策規則設定:
b.若圓圈顯示 DNS 查詢失敗(DNS queries fail) :
當 DNS 查詢失敗時,請檢查 AP GUI 上的設備 DNS 設置。也可以手動更改 AP 的 DNS 伺服器設定成為 8.8.8.8 或 168.95.1.1可以正常解析的 DNS server,檢查防火牆是否允許 DNS 流量通過。
在 AP 的 web GUI 檢查設定 :
再檢查防火牆安全政策規則設定:
c. 若 Nebula 圓圈顯示 ”Proxy authentication fail!”
當顯示為代理伺服器失敗時,請檢查 AP 和代理伺服器之間的連接。
注意! 請查詢內部網路防火牆是否阻擋 Nebula Server 服務 :
d.若 Nebula 圓圈顯示 “TCP port 4335 blocked!”
當埠 4335 和 6667 都被阻止時,需要檢查防火牆上的安全政策規則或在更前端的上網設備是否阻擋了埠 4335/6667進入網際網路。
注意! 請查詢內部網路防火牆是否阻擋 Nebula Server 服務 :
三、Check "Registration" Status
a.“Registration”圓圈上顯示 ”Not registered yet, next retry in 13 seconds!”
在AP檢查nebula註冊時,當AP確認在nebula上已註冊,它將轉移到雲端網管模式(nebula)。AP在還沒註冊上 NCC前會增加檢查間隔。檢查AP 的web GUI介面儀表板,要確定已打開按鈕以觸發檢查操作。
AP 上 nebula 註冊教學,請參閱以下連結:
