針對Cisco AP無法注冊上控制器，或者AP注冊上之后頻繁斷開的現象，這里列舉出幾個常見的原因和解決方法，供日后借鑒。
AP證書時間問題
這種現象出現在型號較老的AP上，由于思科AP出廠只有10年的證書有效期時間，當AP使用超過10年后，AP注冊控制器時證書校驗失敗，就無法注冊上控制器了。當然如果AP一直注冊在控制器上，不斷電，不離開，即使證書到期也不影響正常使用。所有這個AP證書時間問題經常出現在AP出現重啟或其它意外情況AP與控制器斷開之后。
AP證書查看命令，登錄AP，show crypto pki certificates，看倒數第二項，Certificate那一項的證書起始時間。

AP證書過期一般有類似以下的日志：
*May 28 01:14:43.294: %PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Certificate chain validation has failed. The certificate (SN: 2BAE49080000000737F8) is not yet valid Validity period starts on 14:11:53 UTC Mar 13 2016Peer certificate verification failed 000B
*May 28 01:14:43.296: %CAPWAP-3-ERRORLOG: Certificate verification failed!
*May 28 01:14:43.296: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:447 Certificate verified failed!
*May 28 01:14:43.296: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 172.17.10.10:5246
*May 28 01:14:43.297: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.17.10.10:5246
解決方法：
1，更改控制器時間，讓控制器的時間在AP證書的區間內。如現在時2020年，改為2017年差不多就可以又撐個三年了。這種方法比較建議。
2，控制器通過命令忽略證書驗證，config apcert-expiry-ignore {mic|ssc} enable，不是所有控制器版本都生效。如果控制器不支持這條命令這種方法就不行。
3，升級硬件，更換新型號的AP。
控制器證書時間問題
這個和AP證書時間問題類似，控制器也有10年的限制。
控制器證書查看命令，登錄控制器，show certificate all，看倒數第三項，Cisco SHA1 device cert 證書的起始時間。

解決方法：
1，更改控制器時間，讓控制器的時間在AP證書的區間內。如現在時2020年，改為2017年差不多就可以又撐個三年了。這種方法比較建議。
2，控制器通過命令忽略證書驗證，config apcert-expiry-ignore {mic|ssc} enable，不是所有控制器版本都生效。如果控制器不支持這條命令這種方法就不行。
3，升級硬件，更換新型號的無線控制器。
國家代碼問題
一般國內的是CN ，AP型號一般為-H，-C。美國的是US，AP型號一般為-A。 AP型號刷過的除外。
般可以通過show logg 或者debug capwap信息看到如Country code is not configured 等報錯，
解決方法：
WLC 是支持多個國家代碼的配置的，將無法加入控制器的AP的國家代碼添加，就可以了。
無線控制器硬件與AP不兼容
對于老的控制器硬件，它的最高支持的軟件版本也會受限制，可能不再支持一些新的控制器軟件版本，對應的新型號的AP可能也就不再支持，這個要看思科官網關于控制器對應軟件版本的兼容性列表，查列表即可。
無線控制器軟件版本與AP不兼容
新增新型號AP或者升級控制器版本之前要看思科官網關于控制器對應軟件版本的兼容性列表，確保控制器軟件版本支持所有AP。
這種一般出現在控制器軟件升級或降低版本之后，回滾版本即可。有的打個控制器軟件補丁也可以。
AP 跟WLC 不在相同管理網段內，或者option 配置錯誤（無配置或者配置不正確）
新加入的AP 無法加入WLC ，首先看AP 獲取的地址是否正確，可以登陸AP show ip inter b 查看IP 信息，然后在AP 上面ping WLC 的IP地址
也可以是電腦接AP 網線，一樣的操作測試。 另外如果跨網段的情詳細看看DHCP 服務器的option配置是否正確。
通信被防火墻等策略阻斷
這個可能是防火墻或者其他安全策略配置阻斷了CAPWAP 必要通信端口導致
– 為 CAPWAP 流量啟用以下 UDP 端口：數據 – 5247控制 – 5246
– 為移動性流量啟用如下 UDP 端口：16666 – 1666616667 – 16667
– 為 CAPWAP 流量啟用 UDP 端口 5246 和 5247。
– 用于 SNMP 的 TCP 161 和 162（適用于 Wire-ess Contro- System [WCS]）
以下端口為可選端口（可根據自己的需要決定是否啟用）：
– UDP 69，用于 TFTP
– TCP 80 和/或 443，用于通過 HTTP 或 HTTPS 的 GUI 訪問
– TCP 23 和/或 22，用于通過 Te-net 或 SSH 的 C-I 訪問
AP的mac地址未加入AP Policies
對于模式是Root或者mesh的AP，注冊時會自動加入AP Policies，但有時候也需要手工添加，通過show version獲取AP的mac地址，然后在AP Policies內搜索該mac，如沒有，右上角add，手動添加以下即可。
WLC IP地址重復
這個雖然不常見，但是也會導致AP注冊不上控制器。一般是有人私自配置了IP地址與WLC 沖突。