轉(zhuǎn)載自微信公眾號(hào)：網(wǎng)絡(luò)之路博客 

簡(jiǎn)介

上一篇已經(jīng)把整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)初始化已經(jīng)完畢，從接入交換機(jī)的VLAN劃分以及接口類型配置，到核心交換機(jī)的初始化，VLANIF創(chuàng)建跟DHCP與路由，出口路由器的路由 NAT等，這些初始化的目的主要是為了讓整個(gè)網(wǎng)絡(luò)能夠通信起來(lái)，比如AP能獲取到地址與AC建立CAPWAP隧道，當(dāng)WLAN業(yè)務(wù)部署起來(lái)后，無(wú)線客戶端關(guān)聯(lián)后獲取到地址能夠正常訪問(wèn)其他內(nèi)網(wǎng)或者外網(wǎng)。這次主要介紹WLAN業(yè)務(wù)相關(guān)，以及如何在兩個(gè)AP之間進(jìn)行漫游，包括二層漫游的注意事項(xiàng)。

【掌握目標(biāo)】

1、AP正常上線
2、配置WLAN業(yè)務(wù)
3、下發(fā)給AP
4、Client關(guān)聯(lián)，并且查看命令
5、訪問(wèn)外網(wǎng)測(cè)試
6、漫游測(cè)試 （漫游過(guò)后會(huì)丟包？）
7、解析為什么會(huì)造成這樣的情況以及解決方案
8、模擬器支持的漫游效果以及拓?fù)?/span>
9、在二層漫游時(shí)候應(yīng)該注意的問(wèn)題

拓?fù)湔f(shuō)明

說(shuō)明：該拓?fù)鋬?nèi)有2個(gè)辦公區(qū)域，部署了無(wú)線業(yè)務(wù)，提供給辦公人員使用，但是由于兩個(gè)區(qū)域之間距離相對(duì)較遠(yuǎn)，一個(gè)AP的信號(hào)覆蓋不了2個(gè)區(qū)域，所以必須每個(gè)辦公區(qū)域1個(gè)AP，又希望辦公人員從區(qū)域1到區(qū)域2辦公的時(shí)候，不需要執(zhí)行操作就能繼續(xù)的享受無(wú)線提供的業(yè)務(wù)。AP設(shè)備連接在POE的接入交換機(jī)上面（二層交換機(jī)），接入交換機(jī)只提供VLAN的劃分以及與核心交換機(jī)對(duì)接，核心交換機(jī)提供DHCP服務(wù)以及業(yè)務(wù)VLAN的網(wǎng)關(guān)，并提供高速轉(zhuǎn)發(fā)，路由器作為出口設(shè)備，主要提供給下面客戶端上網(wǎng)業(yè)務(wù)，在上面執(zhí)行NAT服務(wù)，使得下面無(wú)線客戶端能夠訪問(wèn)外網(wǎng)。而AC主要是用來(lái)管理AP以及下發(fā)業(yè)務(wù)給AP，讓AP正常工作。
管理VLAN 100：192.168.100.0/24 GW：192.168.100.254 AC：192.168.100.1
業(yè)務(wù)VLAN 101：192.168.101.0/24 GW：192.168.101.254
與路由器對(duì)接接口VLAN 1：192.168.1.0/24 交換機(jī)地址：192.168.1.1 路由器內(nèi)網(wǎng)地址：192.168.1.2
隧道轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)
AP上線組網(wǎng)方式：二層（同一個(gè)子網(wǎng)廣播）可以通過(guò)discovery發(fā)現(xiàn)，不需要用到Option 43
SSID：Intranet 認(rèn)證與加密方式：WPA2 PSK+CCMP

1、AP正常上線

1、AC必須配置源地址【可以跟使得AP跟AC建立capwap隧道】，AP能夠通過(guò)CAPWAP discovery讓AC收到discovery包，然后AC回復(fù)respons

2、AP的認(rèn)證方式，默認(rèn)為MAC-auth，可以修改為序列號(hào)或者是不認(rèn)證，只有認(rèn)證通過(guò)的AP才能正常上線。

3、版本問(wèn)題（AP與AC的版本要對(duì)應(yīng)匹配，這個(gè)具體看文檔說(shuō)明），版本不匹配，AP也關(guān)聯(lián)不上AC

[Huawei-AC]wlan
[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100
說(shuō)明：這里配置了AC的源地址是用VLAN 100，也就是用該地址與AP建立CAPWAP 隧道。

AP的認(rèn)證方式默認(rèn)為MAC-AUTH，MAC地址可以通過(guò)在AP上面命令查看。

[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90
[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0
通過(guò)手動(dòng)添加，來(lái)添加設(shè)備的MAC地址，這樣AP可以通過(guò)認(rèn)證，就可以正常上線了。這里id是自定義的，只是一個(gè)序列號(hào)而已，但是type-id很正常， 它跟你實(shí)際關(guān)聯(lián)設(shè)備有關(guān)，該設(shè)備為AP6010DN-AGN這個(gè)在剛剛display中有顯示，所以可以通過(guò)命令display ap-type all查看AC支持關(guān)聯(lián)的AC類型與序列號(hào)，看自己要關(guān)聯(lián)的AP是多少 這里就填寫多少。

可以看到AP現(xiàn)在已經(jīng)獲取到地址了，可以會(huì)發(fā)送CAPWAP discovery報(bào)文來(lái)尋找AC

可以看到兩臺(tái)AP上面的CAPWAP狀態(tài)為RUN了，RUN表示CAPWAP隧道協(xié)商完成，AP已經(jīng)正常上線到AC上面。

可以通過(guò)display ap all 來(lái)查看AP是否上線了，state為normal表示正常。這里表示AP已經(jīng)正常上線了。

2、配置WLAN業(yè)務(wù)

配置WLAN業(yè)務(wù)，由于兩臺(tái)AP之間是需要做漫游的，而且這里是二層漫游，所以我們可以把WLAN-ESS接口、WMM、射頻模板、安全、流量模板以及服務(wù)器都定義同一個(gè)，然后在AP下面關(guān)聯(lián)即可，這樣簡(jiǎn)化了配置，也保證了漫游的一些注意事項(xiàng)，當(dāng)然信道需、功能等可以不一樣 手動(dòng)調(diào)整或者自動(dòng)調(diào)優(yōu)都可以。
（1）創(chuàng)建wlan-ess接口
[Huawei-AC]interface Wlan-Ess 101
[Huawei-AC-Wlan-Ess101]port hybrid pvid vlan 101
[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101
說(shuō)明：創(chuàng)建wlan-ess接口，下面的hybird接口類型是可選的，該接口可以啟用各種安全認(rèn)證、QOS策略以及ACL等。

（2）WMM模板與射頻模板
[Huawei-AC-wlan-view]wmm-profile name roam
[Huawei-AC-wlan-view]radio-profile name roam
[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam
[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed （默認(rèn)為自動(dòng)）
說(shuō)明：WMM模板可以定義流量?jī)?yōu)先級(jí)，射頻模板功能比較多，可以設(shè)置功率、802.11類型以及更多的，最簡(jiǎn)單的就是要關(guān)聯(lián)WMM模塊才能被射頻調(diào)用，所以這里調(diào)用WMM即可，其他的使用默認(rèn)。

（3）流量模板與安全模板
[Huawei-AC-wlan-view]traffic-profile name roam
[Huawei-AC-wlan-view]security-profile name roam
[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2
[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
說(shuō)明：流量模板里面可以定義流量限速等，而安全模板則是定義安全策略，默認(rèn)為Open，需求是WPA2 PSK+CCMP，所以這里修改了。

（4）服務(wù)集模板
[Huawei-AC-wlan-view]service-set name roam
[Huawei-AC-wlan-service-set-roam]ssid Intranet
[Huawei-AC-wlan-service-set-roam]service-vlan 101
[Huawei-AC-wlan-service-set-roam]wlan-ess 101
[Huawei-AC-wlan-service-set-roam]forward-mode direct-forward
[Huawei-AC-wlan-service-set-roam]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam]security-profile name roam
說(shuō)明：定義SSID，然后業(yè)務(wù)VLAN，以及WLAN-ESS接口，默認(rèn)轉(zhuǎn)發(fā)模式是直接轉(zhuǎn)發(fā)，其他的就是關(guān)聯(lián)流量模板與安全模板了。

（5）在射頻綁定射頻模板以及服務(wù)集
[Huawei-AC-wlan-view]ap 0 radio 0
[Huawei-AC-wlan-radio-0/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-0/0]service-set name roam

[Huawei-AC-wlan-view]ap 1 radio 0
[Huawei-AC-wlan-radio-1/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-1/0]service-set name roam
[Huawei-AC-wlan-radio-1/0]channel 20mhz 6
說(shuō)明：ap 0是之前定義的序列號(hào)，radio 0表示2.4G頻率，如果是雙頻的話，還可以定義1，1表示5G，然后在射頻里面調(diào)用了服務(wù)集以及射頻模板。另外AP 1里面我是手動(dòng)把channel修改為6了，默認(rèn)都是1，模擬器不支持自動(dòng)調(diào)優(yōu) 所以這里手動(dòng)指定下。工作中也可以人為修改，或者自動(dòng)調(diào)優(yōu)都可以。

3、下發(fā)給AP

[Huawei-AC-wlan-view]commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N]y
這里提交服務(wù)給所有AP，也就是AP-1與AP-2。

可以看到模擬器已經(jīng)發(fā)出模擬的信號(hào)了，圓圈表示一個(gè)AP提供的信號(hào)覆蓋范圍。

4、Client關(guān)聯(lián)測(cè)試

可以看到客戶端收到了一個(gè)無(wú)線信號(hào)，當(dāng)然這個(gè)由于目前Client在AP 1的無(wú)線覆蓋范圍內(nèi)，并沒(méi)有在AP2，所以看不到AP2發(fā)送出來(lái)的。

輸入密碼連接。

可以關(guān)聯(lián)上去后，獲取地址到最后的鏈接成功。

可以通過(guò)該命令查看用戶關(guān)聯(lián)，默認(rèn)它記錄的是MAC地址跟IP地址對(duì)應(yīng)

也可以通過(guò)該命令查看AP 0上面關(guān)聯(lián)了哪些客戶端

5、訪問(wèn)外網(wǎng)測(cè)試

可以看到獲取到了業(yè)務(wù)VLAN 101的地址。

可以看到訪問(wèn)外網(wǎng)沒(méi)有任何問(wèn)題，而且出口設(shè)備上面也有NAT轉(zhuǎn)換。

6、漫游測(cè)試 （漫游過(guò)后會(huì)丟包？）

現(xiàn)在客戶端已經(jīng)早AP-1關(guān)聯(lián)上去了

訪問(wèn)公網(wǎng)沒(méi)有問(wèn)題，然后一直開(kāi)著測(cè)試

在最新版的模擬器中支持一個(gè)移動(dòng)功能，它可以慢慢移動(dòng)到自己指定的位置，讓漫游可以切換，這樣比人為手工來(lái)慢慢拖要方便很多?？梢钥吹娇蛻舳藦淖铋_(kāi)始AP-1發(fā)出的信號(hào)，慢慢移動(dòng)，到可以收到AP-2的信號(hào)，然后漫游切換，直到只能看到AP-2發(fā)出的信號(hào)。

7、解析為什么會(huì)造成這樣的情況以及解決方案

可以看到無(wú)線客戶端從AP-1漫游到AP-2后突然不能通信了，那么造成這樣的問(wèn)題是什么呢？

我們可以看到核心交換機(jī)上面有這樣的提示，說(shuō)出現(xiàn)了MAC地址翻動(dòng)，為什么會(huì)出現(xiàn)這個(gè)提示呢？我們來(lái)看下拓?fù)?/span>

無(wú)線客戶端原本在AP-1上面，它通過(guò)AS-1交換機(jī)連接核心交換機(jī)，那么核心交換機(jī)學(xué)習(xí)到該無(wú)線客戶端的MAC地址則是從G0/0/2后口學(xué)習(xí)到，那么對(duì)應(yīng)的ARP信息也會(huì)是IP MAC然后+接口綁定在ARP表項(xiàng)中，當(dāng)無(wú)線客戶端從AP-1漫游到AP-2后，由于在持續(xù)發(fā)包，這時(shí)候數(shù)據(jù)包會(huì)從AS-2接入交換機(jī)發(fā)送給核心交換，但這時(shí)候核心交換機(jī)就發(fā)現(xiàn)原本MAC地址表里面的MAC地址是從G0/0/2學(xué)到，但是這時(shí)候又從G0/0/3收到了該源MAC對(duì)應(yīng)的數(shù)據(jù)幀，所以交換機(jī)以為有相同的MAC地址出現(xiàn)在網(wǎng)絡(luò)中，提示MAC地址flapping，不過(guò)華為交換機(jī)默認(rèn)對(duì)MAC地址flapping是不采取措施的，只是告警而已，那么真正影響漫游后不通的是ARP。

我們可以看到關(guān)于192.168.101.253 的ARP映射，目前處于的接口是G0/0/2

但是我們?cè)诳春诵慕粨Q上面的MAC地址其實(shí)已經(jīng)更新到了，MAC地址從G0/0/3后口學(xué)到，那為什么ARP不會(huì)更新呢，這里我主要解決ARP更新問(wèn)題，它能主動(dòng)更新的話，那么則表示它能回應(yīng)數(shù)據(jù)包的請(qǐng)求。

這里說(shuō)下ARP的機(jī)制，在什么時(shí)候會(huì)刷新ARP表項(xiàng)，它只有收到這個(gè)表項(xiàng)對(duì)應(yīng)的條目的請(qǐng)求、或者回應(yīng)（包括免費(fèi)ARP），無(wú)論從哪個(gè)接口收到，它都會(huì)更新定義的接口或者表項(xiàng)，這時(shí)候它才會(huì)刷新ARP表項(xiàng)。

我們可以看到目前無(wú)線客戶端上面還是有對(duì)應(yīng)的ARP映射關(guān)系的，所以跟本不會(huì)發(fā)送ARP的詢問(wèn)，這樣也不會(huì)刷新。

可以用ARP-D來(lái)清理下

這時(shí)候就通了，這時(shí)候通是因?yàn)闊o(wú)線客戶端沒(méi)有對(duì)應(yīng)的網(wǎng)關(guān)的ARP信息，所以要發(fā)送請(qǐng)求給網(wǎng)關(guān)，這時(shí)候網(wǎng)關(guān)收到ARP后，由于跟已經(jīng)存在的ARP里面的條目一樣，這時(shí)候會(huì)刷新ARP表項(xiàng)。

這時(shí)候就變成了101了。

當(dāng)然在實(shí)際環(huán)境中，我們肯定不能要求客戶漫游的時(shí)候還執(zhí)行下這個(gè)操作，這樣肯定是不太現(xiàn)實(shí)或者說(shuō)失去了漫游的意義了。

華為的解決辦法

1、[Huawei-Core-SW]mac-address update arp
這個(gè)命令的意思是當(dāng)MAC地址表項(xiàng)里面的接口更新后，會(huì)刷新ARP表項(xiàng)，之前已經(jīng)看到了，MAC地址只要漫游后，MAC地址表就更新過(guò)來(lái)了，這樣就帶動(dòng)ARP的更新

2、在服務(wù)集下開(kāi)啟一個(gè)命令

這個(gè)命令的意思是，當(dāng)無(wú)線客戶端從一個(gè)AP漫游到了另外一個(gè)AP的時(shí)候，新的AP會(huì)發(fā)送一個(gè)免費(fèi)ARP的消息，來(lái)刷新網(wǎng)關(guān)的ARP表項(xiàng)，這樣避免漫游時(shí)候僅少量的丟包

在實(shí)際工作中推薦使用第二個(gè)功能，第一個(gè)比較容易造成設(shè)備動(dòng)蕩，所以不太建議使用。

注意：該功能在模擬器上面敲了沒(méi)有效果，不會(huì)發(fā)送免費(fèi)ARP來(lái)實(shí)現(xiàn)刷新ARP表項(xiàng)，所以這里我只能給出解決辦法，演示不了。但是這種架構(gòu)在實(shí)際工作中又很常見(jiàn)，所以講解下如果遇到這樣的問(wèn)題的解決方案，為什么會(huì)產(chǎn)生這樣的問(wèn)題。

可以通過(guò)該命令來(lái)查看漫游的痕跡，可以看到之前是在AP ID 0下面，后面漫游后就在AP ID 1下面了。

8、模擬器支持的漫游效果以及拓?fù)?/span>

如果想在模擬器上面體驗(yàn)出效果的話，可以這樣設(shè)計(jì)，只要是ARP的接口不需要刷新那么漫游肯定一直在通信的，怎么才能不刷新呢，那肯定都在一個(gè)接入交換機(jī)上面，所以這里把拓?fù)涓淖円幌录纯伞?/span>

需要更改下配置，在接入交換機(jī)的3號(hào)接口下面添加一下管理與業(yè)務(wù)VLAN

[Huawei-AS-1]int e0/0/3
[Huawei-AS-1-Ethernet0/0/3]port trunk pvid vlan 100
[Huawei-AS-1-Ethernet0/0/3]port trunk allow-pass vlan 100 to 101

這時(shí)候整個(gè)拓?fù)渚妥兂闪?臺(tái)AP接入在一個(gè)交換機(jī)上面，這時(shí)候核心交換機(jī)學(xué)習(xí)到無(wú)線客戶端的無(wú)論是MAC地址還是ARP表項(xiàng)都是從G0/0/2學(xué)習(xí)到，這時(shí)候就沒(méi)有任何問(wèn)題了。

最終測(cè)試

可以看到無(wú)線客戶端遷移到AP2的時(shí)候，只丟了一個(gè)包，然后又繼續(xù)通了。這個(gè)因?yàn)锳RP表項(xiàng)不需要刷新，所以核心交換機(jī)能夠繼續(xù)為其提供服務(wù)。所以大家在用模擬器做無(wú)線設(shè)計(jì)的時(shí)候要考慮到這個(gè)問(wèn)題 否則的話 漫游的好似好容易出現(xiàn)
這個(gè)問(wèn)題。

9、在二層漫游時(shí)候應(yīng)該注意的問(wèn)題

（1）必須在同一AC下，在版本V2000R5后支持不同AC之間
（2）WALN-ESS的接口策略必須相同
（3）安全模板的認(rèn)證方式必須一致，包括密鑰
（4）服務(wù)集模板中的SSID和數(shù)據(jù)轉(zhuǎn)發(fā)模式必須一致
（5）定義一個(gè)服務(wù)集即可，都調(diào)用在需要漫游的AP上面
（6）建議修改Channel為不干擾，而且重疊區(qū)域?yàn)?0%~15%
（7）業(yè)務(wù)與管理VLAN都需要放行，否則漫游通過(guò)后VLAN不變，導(dǎo)致VLAN通過(guò)不了
（8）直接轉(zhuǎn)發(fā)模式下，用戶漫游后，與AP相連的接入設(shè)備的ARP表項(xiàng)未及時(shí)老化，會(huì)造成用戶業(yè)務(wù)短暫中斷，建議用戶在AC的服務(wù)集視圖下使能DHCP Snooping功能，AP會(huì)及時(shí)發(fā)送免費(fèi)ARP報(bào)文給接入設(shè)備刷新ARP表項(xiàng)，保證漫游過(guò)程中用戶業(yè)務(wù)不中斷。

總結(jié)

總結(jié)：華為的無(wú)線還是比較好理解的，加上有模擬器可以做實(shí)驗(yàn)，更加的可以感受到，但是也有很多問(wèn)題存在，有的功能是模擬器不支持，有時(shí)候因?yàn)橐粋€(gè)features不支持，導(dǎo)致一些效果看不了，大家有興趣也可以自己分析下為什么造成不正常的，就跟之前提到的拓?fù)淅锩娴?，就因?yàn)锳RP的問(wèn)題，所以漫游后，業(yè)務(wù)通信不了。

 ！ 提問(wèn)與分享（想提高自己，從獨(dú)立思考與分享開(kāi)始）          

 分享：實(shí)驗(yàn)可以通過(guò)模擬器直接完成，記得老版本選用分享的考試版本即可，最新版本是采用的V2R7命令行有差別。

網(wǎng)絡(luò)之路博客公眾號(hào)提供Cisco、華為、H3C、防火墻、VPN、無(wú)線等網(wǎng)絡(luò)知識(shí)點(diǎn)分享與應(yīng)用，想了解更多企業(yè)技術(shù)應(yīng)用與組網(wǎng)案例，關(guān)注我們（公眾號(hào)菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒(méi)有學(xué)習(xí)方向感到迷茫，還是想提升段位充實(shí)自己來(lái)升職加薪，都有您需要的哦）