由浅入深玩转华为WLAN—16 漫游系列（3）同一AC内AP之间二层漫游【二层上线+旁挂+直接转发组网方式以及漫游后业务不同故障解决方案讲解】

简介

上一篇已经把整个网络的网络初始化已经完毕，从接入交换机的VLAN划分以及接口类型配置，到核心交换机的初始化，VLANIF创建跟DHCP与路由，出口路由器的路由 NAT等，这些初始化的目的主要是为了让整个网络能够通信起来，比如AP能获取到地址与AC建立CAPWAP隧道，当WLAN业务部署起来后，无线客户端关联后获取到地址能够正常访问其他内网或者外网。这次主要介绍WLAN业务相关，以及如何在两个AP之间进行漫游，包括二层漫游的注意事项。

【掌握目标】

1、AP正常上线
2、配置WLAN业务
3、下发给AP
4、Client关联，并且查看命令
5、访问外网测试
6、漫游测试（漫游过后会丢包？）
7、解析为什么会造成这样的情况以及解决方案
8、模拟器支持的漫游效果以及拓扑
9、在二层漫游时候应该注意的问题

拓扑说明

说明：该拓扑内有2个办公区域，部署了无线业务，提供给办公人员使用，但是由于两个区域之间距离相对较远，一个AP的信号覆盖不了2个区域，所以必须每个办公区域1个AP，又希望办公人员从区域1到区域2办公的时候，不需要执行操作就能继续的享受无线提供的业务。AP设备连接在POE的接入交换机上面（二层交换机），接入交换机只提供VLAN的划分以及与核心交换机对接，核心交换机提供DHCP服务以及业务VLAN的网关，并提供高速转发，路由器作为出口设备，主要提供给下面客户端上网业务，在上面执行NAT服务，使得下面无线客户端能够访问外网。而AC主要是用来管理AP以及下发业务给AP，让AP正常工作。
管理VLAN 100：192.168.100.0/24 GW：192.168.100.254 AC：192.168.100.1
业务VLAN 101：192.168.101.0/24 GW：192.168.101.254
与路由器对接接口VLAN 1：192.168.1.0/24 交换机地址：192.168.1.1 路由器内网地址：192.168.1.2
隧道转发模式：直接转发
AP上线组网方式：二层（同一个子网广播）可以通过discovery发现，不需要用到Option 43
SSID：Intranet 认证与加密方式：WPA2 PSK+CCMP

1、AP正常上线

1、AC必须配置源地址【可以跟使得AP跟AC建立capwap隧道】，AP能够通过CAPWAP discovery让AC收到discovery包，然后AC回复respons

2、AP的认证方式，默认为MAC-auth，可以修改为序列号或者是不认证，只有认证通过的AP才能正常上线。

3、版本问题（AP与AC的版本要对应匹配，这个具体看文档说明），版本不匹配，AP也关联不上AC

[Huawei-AC]wlan
[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100
说明：这里配置了AC的源地址是用VLAN 100，也就是用该地址与AP建立CAPWAP 隧道。

AP的认证方式默认为MAC-AUTH，MAC地址可以通过在AP上面命令查看。

[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90
[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0
通过手动添加，来添加设备的MAC地址，这样AP可以通过认证，就可以正常上线了。这里id是自定义的，只是一个序列号而已，但是type-id很正常，它跟你实际关联设备有关，该设备为AP6010DN-AGN这个在刚刚display中有显示，所以可以通过命令display ap-type all查看AC支持关联的AC类型与序列号，看自己要关联的AP是多少这里就填写多少。

可以看到AP现在已经获取到地址了，可以会发送CAPWAP discovery报文来寻找AC

可以看到两台AP上面的CAPWAP状态为RUN了，RUN表示CAPWAP隧道协商完成，AP已经正常上线到AC上面。

可以通过display ap all 来查看AP是否上线了，state为normal表示正常。这里表示AP已经正常上线了。

2、配置WLAN业务

配置WLAN业务，由于两台AP之间是需要做漫游的，而且这里是二层漫游，所以我们可以把WLAN-ESS接口、WMM、射频模板、安全、流量模板以及服务器都定义同一个，然后在AP下面关联即可，这样简化了配置，也保证了漫游的一些注意事项，当然信道需、功能等可以不一样手动调整或者自动调优都可以。
（1）创建wlan-ess接口
[Huawei-AC]interface Wlan-Ess 101
[Huawei-AC-Wlan-Ess101]port hybrid pvid vlan 101
[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101
说明：创建wlan-ess接口，下面的hybird接口类型是可选的，该接口可以启用各种安全认证、QOS策略以及ACL等。

（2）WMM模板与射频模板
[Huawei-AC-wlan-view]wmm-profile name roam
[Huawei-AC-wlan-view]radio-profile name roam
[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam
[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed （默认为自动）
说明：WMM模板可以定义流量优先级，射频模板功能比较多，可以设置功率、802.11类型以及更多的，最简单的就是要关联WMM模块才能被射频调用，所以这里调用WMM即可，其他的使用默认。

（3）流量模板与安全模板
[Huawei-AC-wlan-view]traffic-profile name roam
[Huawei-AC-wlan-view]security-profile name roam
[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2
[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
说明：流量模板里面可以定义流量限速等，而安全模板则是定义安全策略，默认为Open，需求是WPA2 PSK+CCMP，所以这里修改了。

（4）服务集模板
[Huawei-AC-wlan-view]service-set name roam
[Huawei-AC-wlan-service-set-roam]ssid Intranet
[Huawei-AC-wlan-service-set-roam]service-vlan 101
[Huawei-AC-wlan-service-set-roam]wlan-ess 101
[Huawei-AC-wlan-service-set-roam]forward-mode direct-forward
[Huawei-AC-wlan-service-set-roam]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam]security-profile name roam
说明：定义SSID，然后业务VLAN，以及WLAN-ESS接口，默认转发模式是直接转发，其他的就是关联流量模板与安全模板了。

（5）在射频绑定射频模板以及服务集
[Huawei-AC-wlan-view]ap 0 radio 0
[Huawei-AC-wlan-radio-0/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-0/0]service-set name roam

[Huawei-AC-wlan-view]ap 1 radio 0
[Huawei-AC-wlan-radio-1/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-1/0]service-set name roam
[Huawei-AC-wlan-radio-1/0]channel 20mhz 6
说明：ap 0是之前定义的序列号，radio 0表示2.4G频率，如果是双频的话，还可以定义1，1表示5G，然后在射频里面调用了服务集以及射频模板。另外AP 1里面我是手动把channel修改为6了，默认都是1，模拟器不支持自动调优所以这里手动指定下。工作中也可以人为修改，或者自动调优都可以。

3、下发给AP

[Huawei-AC-wlan-view]commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N]y
这里提交服务给所有AP，也就是AP-1与AP-2。

可以看到模拟器已经发出模拟的信号了，圆圈表示一个AP提供的信号覆盖范围。

4、Client关联测试

可以看到客户端收到了一个无线信号，当然这个由于目前Client在AP 1的无线覆盖范围内，并没有在AP2，所以看不到AP2发送出来的。

输入密码连接。

可以关联上去后，获取地址到最后的链接成功。

可以通过该命令查看用户关联，默认它记录的是MAC地址跟IP地址对应

也可以通过该命令查看AP 0上面关联了哪些客户端

5、访问外网测试

可以看到获取到了业务VLAN 101的地址。

可以看到访问外网没有任何问题，而且出口设备上面也有NAT转换。

6、漫游测试（漫游过后会丢包？）

现在客户端已经早AP-1关联上去了

访问公网没有问题，然后一直开着测试

在最新版的模拟器中支持一个移动功能，它可以慢慢移动到自己指定的位置，让漫游可以切换，这样比人为手工来慢慢拖要方便很多。可以看到客户端从最开始AP-1发出的信号，慢慢移动，到可以收到AP-2的信号，然后漫游切换，直到只能看到AP-2发出的信号。

7、解析为什么会造成这样的情况以及解决方案

可以看到无线客户端从AP-1漫游到AP-2后突然不能通信了，那么造成这样的问题是什么呢？

我们可以看到核心交换机上面有这样的提示，说出现了MAC地址翻动，为什么会出现这个提示呢？我们来看下拓扑

无线客户端原本在AP-1上面，它通过AS-1交换机连接核心交换机，那么核心交换机学习到该无线客户端的MAC地址则是从G0/0/2后口学习到，那么对应的ARP信息也会是IP MAC然后+接口绑定在ARP表项中，当无线客户端从AP-1漫游到AP-2后，由于在持续发包，这时候数据包会从AS-2接入交换机发送给核心交换，但这时候核心交换机就发现原本MAC地址表里面的MAC地址是从G0/0/2学到，但是这时候又从G0/0/3收到了该源MAC对应的数据帧，所以交换机以为有相同的MAC地址出现在网络中，提示MAC地址flapping，不过华为交换机默认对MAC地址flapping是不采取措施的，只是告警而已，那么真正影响漫游后不通的是ARP。

我们可以看到关于192.168.101.253 的ARP映射，目前处于的接口是G0/0/2

但是我们在看核心交换上面的MAC地址其实已经更新到了，MAC地址从G0/0/3后口学到，那为什么ARP不会更新呢，这里我主要解决ARP更新问题，它能主动更新的话，那么则表示它能回应数据包的请求。

这里说下ARP的机制，在什么时候会刷新ARP表项，它只有收到这个表项对应的条目的请求、或者回应（包括免费ARP），无论从哪个接口收到，它都会更新定义的接口或者表项，这时候它才会刷新ARP表项。

我们可以看到目前无线客户端上面还是有对应的ARP映射关系的，所以跟本不会发送ARP的询问，这样也不会刷新。

可以用ARP-D来清理下

这时候就通了，这时候通是因为无线客户端没有对应的网关的ARP信息，所以要发送请求给网关，这时候网关收到ARP后，由于跟已经存在的ARP里面的条目一样，这时候会刷新ARP表项。

这时候就变成了101了。

当然在实际环境中，我们肯定不能要求客户漫游的时候还执行下这个操作，这样肯定是不太现实或者说失去了漫游的意义了。

华为的解决办法

1、[Huawei-Core-SW]mac-address update arp
这个命令的意思是当MAC地址表项里面的接口更新后，会刷新ARP表项，之前已经看到了，MAC地址只要漫游后，MAC地址表就更新过来了，这样就带动ARP的更新

2、在服务集下开启一个命令

这个命令的意思是，当无线客户端从一个AP漫游到了另外一个AP的时候，新的AP会发送一个免费ARP的消息，来刷新网关的ARP表项，这样避免漫游时候仅少量的丢包

在实际工作中推荐使用第二个功能，第一个比较容易造成设备动荡，所以不太建议使用。

注意：该功能在模拟器上面敲了没有效果，不会发送免费ARP来实现刷新ARP表项，所以这里我只能给出解决办法，演示不了。但是这种架构在实际工作中又很常见，所以讲解下如果遇到这样的问题的解决方案，为什么会产生这样的问题。

可以通过该命令来查看漫游的痕迹，可以看到之前是在AP ID 0下面，后面漫游后就在AP ID 1下面了。

8、模拟器支持的漫游效果以及拓扑

如果想在模拟器上面体验出效果的话，可以这样设计，只要是ARP的接口不需要刷新那么漫游肯定一直在通信的，怎么才能不刷新呢，那肯定都在一个接入交换机上面，所以这里把拓扑改变一下即可。

需要更改下配置，在接入交换机的3号接口下面添加一下管理与业务VLAN

[Huawei-AS-1]int e0/0/3
[Huawei-AS-1-Ethernet0/0/3]port trunk pvid vlan 100
[Huawei-AS-1-Ethernet0/0/3]port trunk allow-pass vlan 100 to 101

这时候整个拓扑就变成了2台AP接入在一个交换机上面，这时候核心交换机学习到无线客户端的无论是MAC地址还是ARP表项都是从G0/0/2学习到，这时候就没有任何问题了。

最终测试

可以看到无线客户端迁移到AP2的时候，只丢了一个包，然后又继续通了。这个因为ARP表项不需要刷新，所以核心交换机能够继续为其提供服务。所以大家在用模拟器做无线设计的时候要考虑到这个问题否则的话漫游的好似好容易出现
这个问题。

9、在二层漫游时候应该注意的问题

（1）必须在同一AC下，在版本V2000R5后支持不同AC之间
（2）WALN-ESS的接口策略必须相同
（3）安全模板的认证方式必须一致，包括密钥
（4）服务集模板中的SSID和数据转发模式必须一致
（5）定义一个服务集即可，都调用在需要漫游的AP上面
（6）建议修改Channel为不干扰，而且重叠区域为10%~15%
（7）业务与管理VLAN都需要放行，否则漫游通过后VLAN不变，导致VLAN通过不了
（8）直接转发模式下，用户漫游后，与AP相连的接入设备的ARP表项未及时老化，会造成用户业务短暂中断，建议用户在AC的服务集视图下使能DHCP Snooping功能，AP会及时发送免费ARP报文给接入设备刷新ARP表项，保证漫游过程中用户业务不中断。

总结

总结：华为的无线还是比较好理解的，加上有模拟器可以做实验，更加的可以感受到，但是也有很多问题存在，有的功能是模拟器不支持，有时候因为一个features不支持，导致一些效果看不了，大家有兴趣也可以自己分析下为什么造成不正常的，就跟之前提到的拓扑里面的，就因为ARP的问题，所以漫游后，业务通信不了。

如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路Blog（其他平台同名），版权归网络之路Blog所有，原创不易，侵权必究，觉得有帮助的，关注、转发、点赞支持下！~。