轉(zhuǎn)載自微信公眾號(hào)：網(wǎng)絡(luò)之路博客 

簡(jiǎn)介

同一AC的三層漫游：指的是在同一個(gè)AC下面的不同AP之間不同業(yè)務(wù)之間的漫游（跨越三層網(wǎng)絡(luò)），比如圖中AP-1的業(yè)務(wù)VLAN 是10（192.168.10.0/24），而AP-2的業(yè)務(wù)VLAN是20（192.168.20.0/24），無(wú)線客戶(hù)端從AP-1漫游到AP-2后，雖然處于AP-2上面，但是業(yè)務(wù)VLAN保持不變，IP地址也保持不變，只是由原先的AP-1變成了AP-2來(lái)轉(zhuǎn)發(fā)無(wú)線客戶(hù)端的業(yè)務(wù)。

之前已經(jīng)把網(wǎng)絡(luò)基本初始化了，整個(gè)網(wǎng)絡(luò)除了WLAN業(yè)務(wù)沒(méi)有跑起來(lái)以外，其他的都能夠正常運(yùn)行，這次主要介紹三層漫游的WLAN配置相關(guān)。

掌握模目標(biāo)

1、AP正常上線
2、配置WLAN業(yè)務(wù)
3、下發(fā)給AP
4、Client關(guān)聯(lián)，并且查看命令
5、訪問(wèn)外網(wǎng)測(cè)試
6、漫游測(cè)試
7、三層漫游需要注意的問(wèn)題
8、在實(shí)際環(huán)境中遇到的情況（業(yè)務(wù)漫游后不通）

拓?fù)湔f(shuō)明

說(shuō)明：該拓?fù)渚鸵粋€(gè)辦公區(qū)域，AP-1主要提供給轉(zhuǎn)發(fā)VLAN 101的業(yè)務(wù)，而AP-2主要提供轉(zhuǎn)發(fā)VLAN 102的業(yè)務(wù)，但是領(lǐng)導(dǎo)希望在辦公區(qū)域內(nèi)，客戶(hù)端能夠進(jìn)行自動(dòng)的切換關(guān)聯(lián)，希望保持在比較不錯(cuò)的信號(hào)強(qiáng)度的AP下轉(zhuǎn)發(fā)業(yè)務(wù)，這時(shí)候必須提供三層漫游功能來(lái)實(shí)現(xiàn)這個(gè)目的了。

管理VLAN 800：192.168.80.0/24 GW：192.168.80.254
業(yè)務(wù)VLAN 101：192.168.101.0/24 GW：192.168.101.254
業(yè)務(wù)VLAN 102：192.168.102.0/24 GW:192.168.101.254
與路由器對(duì)接接口VLAN 1：192.168.1.0/24 交換機(jī)地址：192.168.1.1 路由器內(nèi)網(wǎng)地址：192.168.1.2
與AC對(duì)接的接口 VLAN 100：192.168.100.1/24 AC源接口地址：192.68.100.2/24
隧道轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)
AP上線組網(wǎng)方式：三層（不在一個(gè)子網(wǎng)廣播域內(nèi)），必須通過(guò)DHCP Option43來(lái)實(shí)現(xiàn)
SSID：Intranet 認(rèn)證與加密方式：WPA2 PSK+CCMP
AP-1主要提供業(yè)務(wù)VLAN 101（也提供VLAN 102的業(yè)務(wù)轉(zhuǎn)發(fā)）
AP-2主要提供業(yè)務(wù)VLAN 102（也提供VLAN 101的業(yè)務(wù)轉(zhuǎn)發(fā)）
說(shuō)明：這里AP肯定得為2個(gè)業(yè)務(wù)VLAN 能夠提供轉(zhuǎn)發(fā)才行，否則的話 三層漫游多個(gè)業(yè)務(wù)VLAN之間AP需要能夠識(shí)別的了，能夠打上業(yè)務(wù)TAG。

1、AP正常上線

說(shuō)明：AP正常上線有幾個(gè)要求
1、AC必須配置源地址【可以跟使得AP跟AC建立capwap隧道】，AP能夠通過(guò)CAPWAP discovery讓AC收到discovery包，然后AC回復(fù)respons
2、AP的認(rèn)證方式，默認(rèn)為MAC-auth，可以修改為序列號(hào)或者是不認(rèn)證，只有認(rèn)證通過(guò)的AP才能正常上線。

3、版本問(wèn)題（AP與AC的版本要對(duì)應(yīng)匹配，這個(gè)具體看文檔說(shuō)明），版本不匹配，AP也關(guān)聯(lián)不上AC

[Huawei-AC]wlan
[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100
說(shuō)明：這里配置了AC的源地址是用VLAN 100，也就是用該地址與AP建立CAPWAP 隧道。

AP的認(rèn)證方式默認(rèn)為MAC-AUTH，MAC地址可以通過(guò)在AP上面命令查看。

[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90
[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0
通過(guò)手動(dòng)添加，來(lái)添加設(shè)備的MAC地址，這樣AP可以通過(guò)認(rèn)證，就可以正常上線了。這里id是自定義的，只是一個(gè)序列號(hào)而已，但是type-id很正常， 它跟你實(shí)際關(guān)聯(lián)設(shè)備有關(guān)，該設(shè)備為AP6010DN-AGN這個(gè)在剛剛display中有顯示，所以可以通過(guò)命令display ap-type all查看AC支持關(guān)聯(lián)的AC類(lèi)型與序列號(hào)，看自己要關(guān)聯(lián)的AP是多少 這里就填寫(xiě)多少。

可以看到有一個(gè)已經(jīng)獲取到了IP地址，管理VLAN 的80網(wǎng)段的，另外一個(gè)還處于沒(méi)有獲取地址階段。

可以看下建立的過(guò)程，首先通過(guò)DHCP獲取地址。

可以看到offer包里面，回應(yīng)Client請(qǐng)求里面，包括了Client的地址、掩碼、路由網(wǎng)關(guān)、租期以及DHCP服務(wù)器是誰(shuí)，還有一個(gè)Option 43的值，這個(gè)值可以通過(guò)抓包軟件解析到，正是AC的地址

AP然后通過(guò)這個(gè)地址直接單播與AC建立CAPWAP隧道。

兩邊臺(tái)AP都提示CAPWAP鏈路UP了。

這時(shí)候AC上面就有對(duì)應(yīng)的AP信息以及狀態(tài)等。

2、配置WLAN業(yè)務(wù)

配置WLAN業(yè)務(wù)，由于兩臺(tái)AP之間是需要做漫游的，而且這里是三層漫游，所以我們可以把WLAN-ESS接口、WMM、射頻模板、安全、流量模板同一個(gè)，但是，服務(wù)集必須是2個(gè)不同的，因?yàn)闃I(yè)務(wù)VLAN不一樣，然后在AP下面關(guān)聯(lián)各自的服務(wù)集即可，這樣簡(jiǎn)化了配置，也保證了漫游的一些注意事項(xiàng)，當(dāng)然信道需、功能等可以不一樣 手動(dòng)調(diào)整或者自動(dòng)調(diào)優(yōu)都可以。
（1）創(chuàng)建wlan-ess接口
[Huawei-AC]interface Wlan-Ess 101
[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101

[Huawei-AC]interface Wlan-Ess 102
[Huawei-AC-Wlan-Ess102]port hybrid untagged vlan 102
說(shuō)明：創(chuàng)建wlan-ess接口，下面的hybird接口類(lèi)型是可選的，該接口可以啟用各種安全認(rèn)證、QOS策略以及ACL等。在直接轉(zhuǎn)發(fā)的情況下，ESS接口的VLAN屬性不重要，不配也可以，它適用于集中轉(zhuǎn)發(fā)的情況下才使用。

（2）WMM模板與射頻模板
[Huawei-AC-wlan-view]wmm-profile name roam
[Huawei-AC-wlan-view]radio-profile name roam
[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam
[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed （默認(rèn)為自動(dòng)）
說(shuō)明：WMM模板可以定義流量?jī)?yōu)先級(jí)，射頻模板功能比較多，可以設(shè)置功率、802.11類(lèi)型以及更多的，最簡(jiǎn)單的就是要關(guān)聯(lián)WMM模塊才能被射頻調(diào)用，所以這里調(diào)用WMM即可，其他的使用默認(rèn)。

（3）流量模板與安全模板
[Huawei-AC-wlan-view]traffic-profile name roam
[Huawei-AC-wlan-view]security-profile name roam
[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2
[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
說(shuō)明：流量模板里面可以定義流量限速等，而安全模板則是定義安全策略，默認(rèn)為Open，需求是WPA2 PSK+CCMP，所以這里修改了。

（4）服務(wù)集模板
由于是不同業(yè)務(wù)VLAN的，所以這里必須創(chuàng)建2個(gè)服務(wù)集。
AP-1的
[Huawei-AC-wlan-view]service-set name roam-AP-1
[Huawei-AC-wlan-service-set-roam-AP-1]ssid Intranet
[Huawei-AC-wlan-service-set-roam-AP-1]wlan-ess 101
[Huawei-AC-wlan-service-set-roam-AP-1]service-vlan 101
Info: This action may cause service interruption if you don’t execute commit command.
[Huawei-AC-wlan-service-set-roam-AP-1]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-AP-1]security-profile name roam

AP-2的
[Huawei-AC-wlan-view]service-set name roam-AP-2
[Huawei-AC-wlan-service-set-roam-ap-2]ssid Intranet
[Huawei-AC-wlan-service-set-roam-ap-2]wlan-ess 102
[Huawei-AC-wlan-service-set-roam-ap-2]service-vlan 102
Huawei-AC-wlan-service-set-roam-ap-2]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-ap-2]security-profile name roam

（5）在射頻綁定射頻模板以及服務(wù)集
AP-1
[Huawei-AC-wlan-view]ap 0 radio 0
[Huawei-AC-wlan-radio-0/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-0/0]service-set name roam-ap-1

AP-2
[Huawei-AC-wlan-view]ap 1 radio 0
[Huawei-AC-wlan-radio-1/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:Y
[Huawei-AC-wlan-radio-1/0]service-set name roam-ap-2
[Huawei-AC-wlan-radio-1/0]channel 20mhz 6

說(shuō)明：ap 0是之前定義的序列號(hào)，radio 0表示2.4G頻率，如果是雙頻的話，還可以定義1，1表示5G，然后在射頻里面調(diào)用了服務(wù)集以及射頻模板。另外AP 1里面我是手動(dòng)把channel修改為6了，默認(rèn)都是1，模擬器不支持自動(dòng)調(diào)優(yōu) 所以這里手動(dòng)指定下。工作中也可以人為修改，或者自動(dòng)調(diào)優(yōu)都可以。

3、下發(fā)給AP

[Huawei-AC-wlan-view]commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N]y
這里提交服務(wù)給所有AP，也就是AP-1與AP-2。

4、Client關(guān)聯(lián)測(cè)試

5、訪問(wèn)外網(wǎng)測(cè)試

可以看到各自AP提供的業(yè)務(wù)都正常，都可以正常轉(zhuǎn)發(fā)。

都有正常的NAT轉(zhuǎn)發(fā)。

6、漫游測(cè)試