同AC内三层漫游，终端vlan和ip不变，漫游过程client cache时长达到180S， 终端依旧无法访问网络

组网如图，同一个AC纳管相同型号的不同位置的AP

本地转发，同AC内三层漫游，终端vlan和ip不变，导致不通网络

 现有张润大楼和集创大楼覆盖无线，AP均在同一组AC下，AC两台做堆叠；

 测试终端mac：XXXX-25EC-8560；

从张润大楼的SSID：zeku-office 连接到 集创大楼 SSID：zeku-office，终端无线正常使用，

但是从 集创大楼 SSID：zeku-office 连接到 张润大楼的SSID：zeku-office，终端无法获取IP；在AC上显示该终端还是集创大楼的IP地址；终端需连接其他SSID，再重连 SSID：zeku-office才能正常使用；

11：30  集创回张润

SH-ZR-WLC-16.60>dis wlan client mac-address XXXX-25EC-8560 verbose

Total number of clients: 1

MAC address                       : XXX-25ec-8560

IPv4 address                      : XX.108.23.132

IPv6 address                      : N/A

Username                          : N/A

AID                               : 6

AP ID                             : 215

AP name                           : SH-JC-5F-03

Radio ID                          : 1

Channel                           : 60

SSID                              : ZEKU-OFFICE

BSSID                             : 5ca7-21ec-15d1

VLAN ID                           : 2000

Service VLAN ID                   : N/A

Sleep count                       : 0

11：46  回到张润，连接office后无异常，看终端的ip和vlan没变，本地转发没放通业务vlan造成不通

<SH-ZR-WLC-16.60>dis wlan client mac-address XXXX-25EC-8560 verbose

Total number of clients: 1

MAC address                       : XXXX-25ec-8560

IPv4 address                      : XX.108.23.132

IPv6 address                      : N/A

Username                          : N/A

AID                               : 7

AP ID                             : 81

AP name                           : SH-ZR-10F-03

Radio ID                          : 1

Channel                           : 48

SSID                              : ZEKU-OFFICE

BSSID                             : f474-8805-3f81

VLAN ID                           : 2000

Service VLAN ID                   : N/A

基本配置如下，无异常

wlan service-template cd-ct-zeku-office

ssid ZEKU-OFFICE

client forwarding-location ap vlan 2001

service-template enable

wlan service-template jc_zeku-office

ssid ZEKU-OFFICE

client forwarding-location ap vlan 2000

service-template enable

wlan ap-group default-group

vlan 1

client idle-timeout 900

wlan radio-load-balance overload-5g ssid-hide enable session 10 gap 3

ap-model WA5530

  radio 1

   radio enable

   channel band-width 20

   service-template lab-test vlan 2120

   service-template zeku vlan 2072

   service-template zeku-office vlan 2064

   service-template zeku-test vlan 2076

   service-template zekuvpn vlan 2078

  radio 2

   radio enable

   channel band-width 20

   service-template lab-test vlan 2120

   service-template zeku vlan 2072

   service-template zeku-office vlan 2064

   service-template zeku-test vlan 2076

   service-template zekuvpn vlan 2078

  radio 3

   rate mandatory 11

   rate supported 12 18 24 36 48 54

   rate disabled 1 2 5.5 6 9

   radio enable

   service-template lab-test vlan 2120

   service-template zeku vlan 2072

   service-template zeku-office vlan 2064

   service-template zeku-test vlan 2076

   service-template zekuvpn vlan 2078

  gigabitethernet 1

  gigabitethernet 2

#

ap-model WA6638

  map-configuration cfa0:/jichuang-AP-isolation.txt

  radio 1

   radio enable

   channel band-width 20

   service-template jc_zeku vlan 2001

   service-template jc_zeku-office vlan 2000

   service-template jc_zeku-test vlan 2002

   service-template jc_zekuvpn vlan 2003

  radio 2

   radio enable

   channel band-width 20

   service-template jc_zeku vlan 2001

   service-template jc_zeku-office vlan 2000

   service-template jc_zeku-test vlan 2002

   service-template jc_zekuvpn vlan 2003

  radio 3

   rate mandatory 11

   rate supported 12 18 24 36 48 54

   rate disabled 1 2 5.5 6 9

   radio enable

   service-template jc_zeku vlan 2001

   service-template jc_zeku-office vlan 2000

   service-template jc_zeku-test vlan 2002

   service-template jc_zekuvpn vlan 2003

  gigabitethernet 1

  ten-gigabitethernet 1

#

正常情况下，同AC内发生三层漫游，终端的VLAN和IP地址不会发生改变

查看对应时间点，测试终端的漫游过程记录如下，确实产生了漫游记录

<SH-ZR-WLC-16.60>display wlan mobility  roam-track mac-address XXXX-25EC-8560

Total entries: 23

Current entries: 23

BSSID            Created at          Online time   AC IP address   RID AP name

f474-8809-8401   2021-12-24 11:43:19 00h 00m 34s   127.0.0.1       1   SH-ZR-8F-11   

5cc9-99a1-eea1   2021-12-24 11:41:39 00h 00m 24s   127.0.0.1       3   SH-ZR-1F-04     //11:41切换这个ZR-1F-04，中间断开时间未达到180s ，客户端信息还保存在，未老化

5ca7-21ec-1cf1   2021-12-24 11:33:11 00h 08m 29s   127.0.0.1       1   SH-JC-5F-11    //11:33 连接到jc-5f-11，并且在线8分钟，11:33:11往后推迟00h 08m 29s刚好是连接上SH-ZR-1F-04 的时间点11:41:39

查看对应时间点的日志终端上下线记录，和漫游记录时间点一致

%@11949241%Dec 24 11:33:11:580 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_CLIENT_ONLINE: Client XXXX-25ec-8560 went online from BSS 5ca7-21ec-1cf1 vlan 2000 with SSID ZEKU-OFFICE on AP SH-JC-5F-11 Radio ID 1. State changed to Run.

%@11949242%Dec 24 11:33:11:582 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_ROAM_SUCCESS: Client XXXX-25ec-8560 roamed from BSSID 5ca7-21ec-26e1 on AP SH-JC-5F-13 Radio ID 1 of AC IP 127.0.0.1 to BSSID 5ca7-21ec-1cf1 on AP SH-JC-5F-11 Radio ID 1 of AC IP 127.0.0.1 successfully.  //终端漫游到最后连接的JC的AP

%@11949243%Dec 24 11:33:11:583 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_CLIENT_OFFLINE: Client XXXX-25ec-8560 went offline from BSS 5ca7-21ec-26e1 with SSID ZEKU-OFFICE on AP SH-JC-5F-13 Radio ID 1. State changed to Unauth. Reason: Successfully roamed to another BSS.

%@11949244%Dec 24 11:33:11:595 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_CLIENT_SNOOPING: Detected client IP change: Client MAC: XXXX-25ec-8560, IP: 10.108.23.132, 10.108.64.55, -NA-, -NA-, Username: -NA-, AP name: SH-JC-5F-11, Radio ID: 1, Channel number: 48, SSID: ZEKU-OFFICE, BSSID: 5ca7-21ec-1cf1.  //后一直没有掉线的记录

 最后在张瑞上线了

%@11951616%Dec 24 11:41:39:934 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_CLIENT_ONLINE: Client XXXX-25ec-8560 went online from BSS 5cc9-99a1-eea1 vlan 2000 with SSID ZEKU-OFFICE on AP SH-ZR-1F-04 Radio ID 3. State changed to Run.

分析到此可以判断，终端从两栋大楼之间移动过程中，AC未感知到终端下线，终端表项并未老化，漫游后业务VLAN不变，导致不通

现场测试反馈从两栋大楼之间移动，是需要坐车进行物理位置变动，两地相距较远，时间已经超过了终端的cache老化时间180S，为何终端一直保持在线状态呢？

后续分析结论如下：

1、 从日志和漫游记录来看，终端的漫游记录和日志能对应上，至于说两个AP之间隔了很远，为什么没有清掉缓存。

2、 根据现场实际情况以及常规人员的测试操作分析，现场应该是终端没有主动点下线，所以对于AP和ac 来说，终端没有下线，只有最后切换到另个ap的时候，才从JC AP下线，所以缓存没有清掉。

根本原因就是现场测试的操作以及设备机制，如果终端没有主动点下线，设备没有收到终端的主动下线报文，设备认为终端一直在线，但是设备会通过客户端空闲时间来检测，现场从一个ap移动到两个ap，没有超过3600s，所以ac还没有检测到终端下线，也就不会清掉缓存。

对于这种情况，建议修改客户端空闲时间。

client idle-timeout 

缺省情况下：

AP视图：继承AP组配置。

AP组视图：AP和客户端之间连接允许的最大空闲时间为3600秒。

%@11949242%Dec 24 11:33:11:582 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_ROAM_SUCCESS: Client 586c-25ec-8560 roamed from BSSID 5ca7-21ec-26e1 on AP SH-JC-5F-13 Radio ID 1 of AC IP 127.0.0.1 to BSSID 5ca7-21ec-1cf1 on AP SH-JC-5F-11 Radio ID 1 of AC IP 127.0.0.1 successfully.

//对应这个记录5ca7-21ec-1cf1   2021-12-24 11:33:11 00h 08m 29s   127.0.0.1       1   SH-JC-5F-11

%@11951617%Dec 24 11:41:39:936 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_ROAM_SUCCESS: Client 586c-25ec-8560 roamed from BSSID 5ca7-21ec-1cf1 on AP SH-JC-5F-11 Radio ID 1 of AC IP 127.0.0.1 to BSSID 5cc9-99a1-eea1 on AP SH-ZR-1F-04 Radio ID 3 of AC IP 127.0.0.1 successfully.

//对应这个记录5cc9-99a1-eea1   2021-12-24 11:41:39 00h 00m 24s   127.0.0.1       3   SH-ZR-1F-04  

%@11951618%Dec 24 11:41:39:938 2021 SH-ZR-WLC-16.60 STAMGR/6/STAMGR_CLIENT_OFFLINE: Client 586c-25ec-8560 went offline from BSS 5ca7-21ec-1cf1 with SSID ZEKU-OFFICE on AP SH-JC-5F-11 Radio ID 1. State changed to Unauth. Reason: Successfully roamed to another BSS.  //终端这个时间才从JC AP下线，漫游到ZR AP上，日志和漫游记录都能对应上，毫无问题。分析无问题

方法一：关闭三层漫游特性：client cache aging-time 0

服务模板采用了缺省的客户端Cache老化时间，及client cache aging-time 180。该功能定义如下：

     无线客户端Cache记录了客户端的PMK列表、接入VLAN以及其他授权信息。无线客户端断开连接之后，如果在客户端Cache老化时间内再次成功关联AP，则可继承Cache记录的各种授权信息，实现快速漫游。及V7 平台AC 缺省开启了三层漫游特性。  

     正因为V7平台 AC 缺省开启了三层漫游特性，因此导致了终端在从AP1漫游到AP2后，该终端属于VLAN没有发生改变，导致与实际部署的业务VLAN不一致，造成终端漫游到AP2后无法访问网络资源。

方法二：修改客户端空闲时间：client idle-timeout 

client idle-timeout

client idle-timeout命令用来配置AP和客户端之间连接允许的最大空闲时间。

undo client idle-timeout命令用来恢复缺省情况。

【命令】

client idle-timeout timeout

undo client idle-timeout

【缺省情况】

AP视图：继承AP组配置。

AP组视图：AP和客户端之间连接允许的最大空闲时间为3600秒。

【视图】

AP视图

AP组视图

【缺省用户角色】

network-admin

【参数】

timeout：AP和客户端之间连接允许的最大空闲的时间间隔，取值范围为60～86400，单位为秒。

【使用指导】

当客户端处于空闲状态，即客户端与AP无任何报文交互，当达到最大空闲时间时，AP会自动与客户端断开连接。

AP视图下配置的优先级高于AP组视图下的配置。

【举例】

# 设置AP和客户端之间连接允许的最大空闲时间为2000秒。（AP视图）

<sysname> system-view

[sysname] wlan ap ap1 model WA6320

[sysname-wlan-ap-ap1] client idle-timeout 2000

# 设置AP和客户端之间连接允许的最大空闲时间为2000秒。（AP组视图）

<Sysname> system-view

[Sysname] wlan ap-group group1

[Sysname-wlan-ap-group-group1] client idle-timeout 2000