轉(zhuǎn)載自微信公眾號：網(wǎng)絡之路博客 

簡介

上一篇已經(jīng)把整個網(wǎng)絡的網(wǎng)絡初始化已經(jīng)完畢，從接入交換機的VLAN劃分以及接口類型配置，到核心交換機的初始化，VLANIF創(chuàng)建跟DHCP與路由，出口路由器的路由 NAT等，這些初始化的目的主要是為了讓整個網(wǎng)絡能夠通信起來，比如AP能獲取到地址與AC建立CAPWAP隧道，當WLAN業(yè)務部署起來后，無線客戶端關聯(lián)后獲取到地址能夠正常訪問其他內(nèi)網(wǎng)或者外網(wǎng)。這次主要介紹WLAN業(yè)務相關，以及如何在兩個AP之間進行漫游，包括二層漫游的注意事項。

【掌握目標】

1、AP正常上線
2、配置WLAN業(yè)務
3、下發(fā)給AP
4、Client關聯(lián)，并且查看命令
5、訪問外網(wǎng)測試
6、漫游測試 （漫游過后會丟包？）
7、解析為什么會造成這樣的情況以及解決方案
8、模擬器支持的漫游效果以及拓撲
9、在二層漫游時候應該注意的問題

拓撲說明

說明：該拓撲內(nèi)有2個辦公區(qū)域，部署了無線業(yè)務，提供給辦公人員使用，但是由于兩個區(qū)域之間距離相對較遠，一個AP的信號覆蓋不了2個區(qū)域，所以必須每個辦公區(qū)域1個AP，又希望辦公人員從區(qū)域1到區(qū)域2辦公的時候，不需要執(zhí)行操作就能繼續(xù)的享受無線提供的業(yè)務。AP設備連接在POE的接入交換機上面（二層交換機），接入交換機只提供VLAN的劃分以及與核心交換機對接，核心交換機提供DHCP服務以及業(yè)務VLAN的網(wǎng)關，并提供高速轉(zhuǎn)發(fā)，路由器作為出口設備，主要提供給下面客戶端上網(wǎng)業(yè)務，在上面執(zhí)行NAT服務，使得下面無線客戶端能夠訪問外網(wǎng)。而AC主要是用來管理AP以及下發(fā)業(yè)務給AP，讓AP正常工作。
管理VLAN 100：192.168.100.0/24 GW：192.168.100.254 AC：192.168.100.1
業(yè)務VLAN 101：192.168.101.0/24 GW：192.168.101.254
與路由器對接接口VLAN 1：192.168.1.0/24 交換機地址：192.168.1.1 路由器內(nèi)網(wǎng)地址：192.168.1.2
隧道轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)
AP上線組網(wǎng)方式：二層（同一個子網(wǎng)廣播）可以通過discovery發(fā)現(xiàn)，不需要用到Option 43
SSID：Intranet 認證與加密方式：WPA2 PSK+CCMP

1、AP正常上線

1、AC必須配置源地址【可以跟使得AP跟AC建立capwap隧道】，AP能夠通過CAPWAP discovery讓AC收到discovery包，然后AC回復respons

2、AP的認證方式，默認為MAC-auth，可以修改為序列號或者是不認證，只有認證通過的AP才能正常上線。

3、版本問題（AP與AC的版本要對應匹配，這個具體看文檔說明），版本不匹配，AP也關聯(lián)不上AC

[Huawei-AC]wlan
[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100
說明：這里配置了AC的源地址是用VLAN 100，也就是用該地址與AP建立CAPWAP 隧道。

AP的認證方式默認為MAC-AUTH，MAC地址可以通過在AP上面命令查看。

[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90
[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0
通過手動添加，來添加設備的MAC地址，這樣AP可以通過認證，就可以正常上線了。這里id是自定義的，只是一個序列號而已，但是type-id很正常， 它跟你實際關聯(lián)設備有關，該設備為AP6010DN-AGN這個在剛剛display中有顯示，所以可以通過命令display ap-type all查看AC支持關聯(lián)的AC類型與序列號，看自己要關聯(lián)的AP是多少 這里就填寫多少。

可以看到AP現(xiàn)在已經(jīng)獲取到地址了，可以會發(fā)送CAPWAP discovery報文來尋找AC

可以看到兩臺AP上面的CAPWAP狀態(tài)為RUN了，RUN表示CAPWAP隧道協(xié)商完成，AP已經(jīng)正常上線到AC上面。

可以通過display ap all 來查看AP是否上線了，state為normal表示正常。這里表示AP已經(jīng)正常上線了。

2、配置WLAN業(yè)務

配置WLAN業(yè)務，由于兩臺AP之間是需要做漫游的，而且這里是二層漫游，所以我們可以把WLAN-ESS接口、WMM、射頻模板、安全、流量模板以及服務器都定義同一個，然后在AP下面關聯(lián)即可，這樣簡化了配置，也保證了漫游的一些注意事項，當然信道需、功能等可以不一樣 手動調(diào)整或者自動調(diào)優(yōu)都可以。
（1）創(chuàng)建wlan-ess接口
[Huawei-AC]interface Wlan-Ess 101
[Huawei-AC-Wlan-Ess101]port hybrid pvid vlan 101
[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101
說明：創(chuàng)建wlan-ess接口，下面的hybird接口類型是可選的，該接口可以啟用各種安全認證、QOS策略以及ACL等。

（2）WMM模板與射頻模板
[Huawei-AC-wlan-view]wmm-profile name roam
[Huawei-AC-wlan-view]radio-profile name roam
[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam
[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed （默認為自動）
說明：WMM模板可以定義流量優(yōu)先級，射頻模板功能比較多，可以設置功率、802.11類型以及更多的，最簡單的就是要關聯(lián)WMM模塊才能被射頻調(diào)用，所以這里調(diào)用WMM即可，其他的使用默認。

（3）流量模板與安全模板
[Huawei-AC-wlan-view]traffic-profile name roam
[Huawei-AC-wlan-view]security-profile name roam
[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2
[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
說明：流量模板里面可以定義流量限速等，而安全模板則是定義安全策略，默認為Open，需求是WPA2 PSK+CCMP，所以這里修改了。

（4）服務集模板
[Huawei-AC-wlan-view]service-set name roam
[Huawei-AC-wlan-service-set-roam]ssid Intranet
[Huawei-AC-wlan-service-set-roam]service-vlan 101
[Huawei-AC-wlan-service-set-roam]wlan-ess 101
[Huawei-AC-wlan-service-set-roam]forward-mode direct-forward
[Huawei-AC-wlan-service-set-roam]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam]security-profile name roam
說明：定義SSID，然后業(yè)務VLAN，以及WLAN-ESS接口，默認轉(zhuǎn)發(fā)模式是直接轉(zhuǎn)發(fā)，其他的就是關聯(lián)流量模板與安全模板了。

（5）在射頻綁定射頻模板以及服務集
[Huawei-AC-wlan-view]ap 0 radio 0
[Huawei-AC-wlan-radio-0/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-0/0]service-set name roam

[Huawei-AC-wlan-view]ap 1 radio 0
[Huawei-AC-wlan-radio-1/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-1/0]service-set name roam
[Huawei-AC-wlan-radio-1/0]channel 20mhz 6
說明：ap 0是之前定義的序列號，radio 0表示2.4G頻率，如果是雙頻的話，還可以定義1，1表示5G，然后在射頻里面調(diào)用了服務集以及射頻模板。另外AP 1里面我是手動把channel修改為6了，默認都是1，模擬器不支持自動調(diào)優(yōu) 所以這里手動指定下。工作中也可以人為修改，或者自動調(diào)優(yōu)都可以。

3、下發(fā)給AP

[Huawei-AC-wlan-view]commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N]y
這里提交服務給所有AP，也就是AP-1與AP-2。

可以看到模擬器已經(jīng)發(fā)出模擬的信號了，圓圈表示一個AP提供的信號覆蓋范圍。

4、Client關聯(lián)測試

可以看到客戶端收到了一個無線信號，當然這個由于目前Client在AP 1的無線覆蓋范圍內(nèi)，并沒有在AP2，所以看不到AP2發(fā)送出來的。

輸入密碼連接。

可以關聯(lián)上去后，獲取地址到最后的鏈接成功。

可以通過該命令查看用戶關聯(lián)，默認它記錄的是MAC地址跟IP地址對應

也可以通過該命令查看AP 0上面關聯(lián)了哪些客戶端

5、訪問外網(wǎng)測試

可以看到獲取到了業(yè)務VLAN 101的地址。

可以看到訪問外網(wǎng)沒有任何問題，而且出口設備上面也有NAT轉(zhuǎn)換。

6、漫游測試 （漫游過后會丟包？）

現(xiàn)在客戶端已經(jīng)早AP-1關聯(lián)上去了

訪問公網(wǎng)沒有問題，然后一直開著測試

在最新版的模擬器中支持一個移動功能，它可以慢慢移動到自己指定的位置，讓漫游可以切換，這樣比人為手工來慢慢拖要方便很多?？梢钥吹娇蛻舳藦淖铋_始AP-1發(fā)出的信號，慢慢移動，到可以收到AP-2的信號，然后漫游切換，直到只能看到AP-2發(fā)出的信號。

7、解析為什么會造成這樣的情況以及解決方案

可以看到無線客戶端從AP-1漫游到AP-2后突然不能通信了，那么造成這樣的問題是什么呢？

我們可以看到核心交換機上面有這樣的提示，說出現(xiàn)了MAC地址翻動，為什么會出現(xiàn)這個提示呢？我們來看下拓撲

無線客戶端原本在AP-1上面，它通過AS-1交換機連接核心交換機，那么核心交換機學習到該無線客戶端的MAC地址則是從G0/0/2后口學習到，那么對應的ARP信息也會是IP MAC然后+接口綁定在ARP表項中，當無線客戶端從AP-1漫游到AP-2后，由于在持續(xù)發(fā)包，這時候數(shù)據(jù)包會從AS-2接入交換機發(fā)送給核心交換，但這時候核心交換機就發(fā)現(xiàn)原本MAC地址表里面的MAC地址是從G0/0/2學到，但是這時候又從G0/0/3收到了該源MAC對應的數(shù)據(jù)幀，所以交換機以為有相同的MAC地址出現(xiàn)在網(wǎng)絡中，提示MAC地址flapping，不過華為交換機默認對MAC地址flapping是不采取措施的，只是告警而已，那么真正影響漫游后不通的是ARP。

我們可以看到關于192.168.101.253 的ARP映射，目前處于的接口是G0/0/2

但是我們在看核心交換上面的MAC地址其實已經(jīng)更新到了，MAC地址從G0/0/3后口學到，那為什么ARP不會更新呢，這里我主要解決ARP更新問題，它能主動更新的話，那么則表示它能回應數(shù)據(jù)包的請求。

這里說下ARP的機制，在什么時候會刷新ARP表項，它只有收到這個表項對應的條目的請求、或者回應（包括免費ARP），無論從哪個接口收到，它都會更新定義的接口或者表項，這時候它才會刷新ARP表項。

我們可以看到目前無線客戶端上面還是有對應的ARP映射關系的，所以跟本不會發(fā)送ARP的詢問，這樣也不會刷新。

可以用ARP-D來清理下

這時候就通了，這時候通是因為無線客戶端沒有對應的網(wǎng)關的ARP信息，所以要發(fā)送請求給網(wǎng)關，這時候網(wǎng)關收到ARP后，由于跟已經(jīng)存在的ARP里面的條目一樣，這時候會刷新ARP表項。

這時候就變成了101了。

當然在實際環(huán)境中，我們肯定不能要求客戶漫游的時候還執(zhí)行下這個操作，這樣肯定是不太現(xiàn)實或者說失去了漫游的意義了。

華為的解決辦法

1、[Huawei-Core-SW]mac-address update arp
這個命令的意思是當MAC地址表項里面的接口更新后，會刷新ARP表項，之前已經(jīng)看到了，MAC地址只要漫游后，MAC地址表就更新過來了，這樣就帶動ARP的更新

2、在服務集下開啟一個命令

這個命令的意思是，當無線客戶端從一個AP漫游到了另外一個AP的時候，新的AP會發(fā)送一個免費ARP的消息，來刷新網(wǎng)關的ARP表項，這樣避免漫游時候僅少量的丟包

在實際工作中推薦使用第二個功能，第一個比較容易造成設備動蕩，所以不太建議使用。

注意：該功能在模擬器上面敲了沒有效果，不會發(fā)送免費ARP來實現(xiàn)刷新ARP表項，所以這里我只能給出解決辦法，演示不了。但是這種架構在實際工作中又很常見，所以講解下如果遇到這樣的問題的解決方案，為什么會產(chǎn)生這樣的問題。

可以通過該命令來查看漫游的痕跡，可以看到之前是在AP ID 0下面，后面漫游后就在AP ID 1下面了。

8、模擬器支持的漫游效果以及拓撲

如果想在模擬器上面體驗出效果的話，可以這樣設計，只要是ARP的接口不需要刷新那么漫游肯定一直在通信的，怎么才能不刷新呢，那肯定都在一個接入交換機上面，所以這里把拓撲改變一下即可。

需要更改下配置，在接入交換機的3號接口下面添加一下管理與業(yè)務VLAN

[Huawei-AS-1]int e0/0/3
[Huawei-AS-1-Ethernet0/0/3]port trunk pvid vlan 100
[Huawei-AS-1-Ethernet0/0/3]port trunk allow-pass vlan 100 to 101

這時候整個拓撲就變成了2臺AP接入在一個交換機上面，這時候核心交換機學習到無線客戶端的無論是MAC地址還是ARP表項都是從G0/0/2學習到，這時候就沒有任何問題了。

最終測試

可以看到無線客戶端遷移到AP2的時候，只丟了一個包，然后又繼續(xù)通了。這個因為ARP表項不需要刷新，所以核心交換機能夠繼續(xù)為其提供服務。所以大家在用模擬器做無線設計的時候要考慮到這個問題 否則的話 漫游的好似好容易出現(xiàn)
這個問題。

9、在二層漫游時候應該注意的問題

（1）必須在同一AC下，在版本V2000R5后支持不同AC之間
（2）WALN-ESS的接口策略必須相同
（3）安全模板的認證方式必須一致，包括密鑰
（4）服務集模板中的SSID和數(shù)據(jù)轉(zhuǎn)發(fā)模式必須一致
（5）定義一個服務集即可，都調(diào)用在需要漫游的AP上面
（6）建議修改Channel為不干擾，而且重疊區(qū)域為10%~15%
（7）業(yè)務與管理VLAN都需要放行，否則漫游通過后VLAN不變，導致VLAN通過不了
（8）直接轉(zhuǎn)發(fā)模式下，用戶漫游后，與AP相連的接入設備的ARP表項未及時老化，會造成用戶業(yè)務短暫中斷，建議用戶在AC的服務集視圖下使能DHCP Snooping功能，AP會及時發(fā)送免費ARP報文給接入設備刷新ARP表項，保證漫游過程中用戶業(yè)務不中斷。

總結

總結：華為的無線還是比較好理解的，加上有模擬器可以做實驗，更加的可以感受到，但是也有很多問題存在，有的功能是模擬器不支持，有時候因為一個features不支持，導致一些效果看不了，大家有興趣也可以自己分析下為什么造成不正常的，就跟之前提到的拓撲里面的，就因為ARP的問題，所以漫游后，業(yè)務通信不了。

 ！ 提問與分享（想提高自己，從獨立思考與分享開始）          

 分享：實驗可以通過模擬器直接完成，記得老版本選用分享的考試版本即可，最新版本是采用的V2R7命令行有差別。

網(wǎng)絡之路博客公眾號提供Cisco、華為、H3C、防火墻、VPN、無線等網(wǎng)絡知識點分享與應用，想了解更多企業(yè)技術應用與組網(wǎng)案例，關注我們（公眾號菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒有學習方向感到迷茫，還是想提升段位充實自己來升職加薪，都有您需要的哦）