上周帮隔壁部门同事处理一台笔记本连不上内网的问题,现象很典型:Wi-Fi能搜到公司无线信号,密码也对,但浏览器打不开OA系统,ping内网服务器也超时。最后发现是接入点(AP)配置了VLAN隔离,而该员工的账号没被划进对应VLAN——这种细节,在服务器维护日常里太常见了。
接入点不是“插上就能用”的摆设
很多IT同事默认把AP当成普通路由器,接上网线、配好SSID就完事。实际上,公司内网接入点往往要配合DHCP服务器、RADIUS认证、802.1X策略甚至防火墙策略一起工作。比如,某台AP接在核心交换机的Trunk口上,但没配置允许通过的VLAN ID,终端获取到IP后根本跨不出本子网。
快速验证三步法
遇到“连得上Wi-Fi但访问不了内网服务”,先别急着重装驱动或重启AP,试试这三个动作:
1. 看IP和网关
Windows下打开命令提示符,输入:
ipconfig /all重点检查IPv4地址是否在公司内网段(比如 192.168.10.x),默认网关是否指向正确的三层设备(如 192.168.10.1)。如果拿到的是 169.254.x.x 这类APIPA地址,说明DHCP没响应,问题大概率出在AP到DHCP服务器的链路或配置上。
2. 测通路
接着ping网关:
ping -n 3 192.168.10.1通了再ping内网DNS(比如 192.168.10.2);不通,说明AP与核心网络之间有物理或ACL拦截。
3. 查认证日志
如果是802.1X或Portal认证,登录无线控制器后台,查该MAC地址的认证状态。曾碰到过一次:用户输入正确账号,但控制器日志显示“User not found in AD”,结果发现AD同步任务停了两天,新入职员工账号压根没拉过去。
服务器端常被忽略的配置点
运维同学查完AP和交换机,也别忘了翻翻服务器侧:
• DHCP服务作用域是否启用了“路由器”选项(Option 3),否则客户端即使拿到IP也不知道往哪走;
• RADIUS服务器(如FreeRADIUS或Windows NPS)的客户端列表里,是否把这台AP的IP加进去了?密钥对不对?
• 防火墙规则是否放行了AP所在网段对认证端口(如UDP 1812)的访问?
有次一个分公司接入点死活连不上总部域控,抓包发现是AP所在子网被总部防火墙策略误拦,只放行了几个老网段,新划分的172.16.30.0/24没加进去。
接入点连接不是孤立环节,它一头系着终端体验,另一头拴着服务器策略。多看一眼日志,少跑一趟现场。