S7503X与 WX3510X组网后，无线终端ping不通有线终端

一、先从已知条件，把关键信息理清楚

1. 无线终端：IP 192.168.71.82/23，VLAN 102，能 ping 通自己的网关 192.168.70.1（核心 Vlan102 接口）
2. 有线终端：IP 192.168.63.24/23，VLAN 100，能 ping 通自己的网关 192.168.62.1（核心 Vlan100 接口）
3. 网关都在核心 S7503X 上，所有设备之间是 trunk all，无 ACL / 二层隔离。
4. 无线能 ping 自己网关，说明无线终端到核心的三层转发是通的；有线也能 ping 自己网关，说明有线终端到核心的三层转发也是通的。

二、最可能的根因（按概率排序）

1. 核心交换机的 ARP 问题（概率最高）

• 无线终端 → 核心（Vlan102 接口）的通信正常
• 核心回包给无线终端也正常

验证方法

• 如果 192.168.63.24 没有 ARP 表项：说明有线终端没发 ARP 请求，或者核心没收到。
• 如果 192.168.71.82 没有 ARP 表项：说明无线终端没发 ARP 请求，或者核心没收到。

修复方法

• 有线终端上 ping 一下网关 192.168.62.1，触发 ARP 学习；
• 无线终端上 ping 一下网关 192.168.70.1，触发 ARP 学习；
• 也可以在核心上直接清除 ARP 表项，强制重新学习：

2. 本地转发模式下，AC 旁挂导致的 VLAN 透传问题

• AP 必须把 VLAN 102 的报文，以tagged 方式转发到接入交换机，再透传到汇聚、核心；
• 接入 / 汇聚交换机必须允许 VLAN 102 通过，并且 Trunk 口没有过滤掉 VLAN 102。

验证方法

• 检查所有连接 AP 的上行口、汇聚之间的互联口，是否都允许 VLAN 102 通过；
• 检查 AP 的配置，确认 AP 的 SSID 绑定的 VLAN 102，且本地转发开启。

3. 有线终端的防火墙 / 安全软件拦截（容易被忽略）

验证方法

• 用无线终端 192.168.71.82 ping 192.168.62.1（有线网关），如果能通，但 ping 192.168.63.24 不通，几乎可以确定是终端侧拦截了。
• 或者换一台同 VLAN100 的有线终端 192.168.62.x 去 ping 192.168.63.24，如果能通，就更能确认问题在目标终端。

4. 核心交换机的路由问题（概率极低，但需要排除）

• Vlan100: 192.168.62.1/23，覆盖 192.168.62.0-192.168.63.255
• Vlan102: 192.168.70.1/23，覆盖 192.168.70.0-192.168.71.255

验证方法

三、按这个顺序排查，100% 定位问题

1. 先在核心上检查 ARP 表，看两个终端的 ARP 是否都存在；
2. 再在无线终端 ping 192.168.62.1（有线网关），如果能通，就排除了 VLAN 透传和核心路由问题，直接定位到目标终端；
3. 如果 ping 192.168.62.1 也不通，再检查 Trunk 口的 VLAN 102 是否被过滤；
4. 最后排查终端防火墙和安全软件。

四、快速修复建议（优先操作）

1. 在有线终端 192.168.63.24 上，临时关闭系统防火墙，再测试 ping；
2. 在核心交换机上清除 ARP 表项，让设备重新学习：
   bash

   运行

   reset arp all
3. 确认所有 Trunk 互联口都允许 VLAN 100 和 102 通过，没有被过滤。