1. 二层隔离（用户隔离/客户端隔离）：这是最直接的原因。当您在无线控制器（AC）或AP的SSID配置中启用了“客户端隔离”、“用户隔离”或“禁止无线客户端间通信”功能时，其核心目的就是阻止连接到同一个无线网络（同一个VLAN/SSID）下的不同终端之间直接进行二层通信。

   • 效果：您的手机和投屏网关虽然连接到了同一个Wi-Fi名称（SSID），获取的也是同一个网段的IP地址，但它们在数据链路层（二层）是被强制隔离的。它们发出的ARP请求等广播/组播报文无法到达对方，因此无法发现彼此，也无法直接建立TCP/UDP连接。
   • 投屏网关的工作原理：大多数投屏协议（如AirPlay、Miracast、DLNA等）在初始化发现阶段，严重依赖组播（Multicast） 或广播（Broadcast） 报文。二层隔离会直接阻断这些关键报文，导致手机搜索不到投屏设备，或者像您遇到的那样，提示“不在同一网络”。

2. 本地转发模式：这个模式本身没有问题，它意味着无线用户的数据流量不经过AC集中处理，而是直接从AP进入有线网络。但这加剧了隔离的效果，因为控制策略（包括隔离策略）通常在AP本地执行，隔离更加彻底。

解决方案

要解决此问题，您需要在网络配置上做出调整，允许投屏网关与无线客户端之间进行必要的通信。以下是几种方案，按推荐顺序排列：

方案一：创建专用SSID/VLAN（推荐，最安全清晰）

这是企业网络中最规范的做法。

1. 新建一个SSID：例如命名为 Company-Cast 或 Guest-Cast。
2. 为其分配一个独立的VLAN：不要与需要隔离的办公或访客VLAN混用。
3. 关键步骤：关闭此SSID的二层隔离功能。确保在这个SSID的配置中，禁用“客户端隔离”。
4. 配置投屏网关：将投屏网关的有线网口连接到属于这个新建VLAN的端口上（或通过无线连接到这个新SSID）。
5. 用户连接：需要投屏的手机，连接到这个新的 Company-Cast Wi-Fi。
6. （可选）设置防火墙策略：如果需要，可以在核心交换机或防火墙上，对此VLAN的访问权限进行限制，例如只允许访问互联网和必要的内部服务器，但允许其内部设备互访。

优点：安全风险可控，不影响原有隔离策略，目标明确，管理方便。

方案二：在现有SSID上配置例外规则（如果设备支持）

部分高级的无线控制器（如H3C的AC）支持更精细的隔离策略。

1. 检查您的AC（如H3C iMC或Web界面）上，针对该SSID的隔离配置。
2. 寻找诸如 “例外MAC地址列表”、“通信过滤规则” 或 “允许通信的客户端组” 等功能。
3. 将投屏网关的MAC地址添加到例外列表中，并设置规则为“允许与所有无线客户端通信”。
4. 或者，创建一个包含投屏网关和允许投屏的客户端的MAC地址组，允许组内设备互访。

优点：无需新增SSID，配置相对灵活。
缺点：并非所有设备都支持此功能，管理MAC地址列表在终端数量多时较繁琐。

本地转发，先查看二层隔离是怎么配置的，如果配置的是基于vlan的二层隔离，则修改配置为：user-isolation vlan xxx enable permit-unicast

然后网关vlanif接口下添加配置：local-proxy-arp enable

二层隔离机制阻断了你投屏最需要的设备发现（组播/广播）和直接通信（单播），导致设备虽然在同一IP网段，但逻辑上被隔离了。

第一步：检查底层网络基础

1. 检查IP地址与VLAN：投屏需要设备在同一广播域内。请确认手机和投屏网关的IP地址是否属于同一网段。如果不是，就需要调整DHCP或VLAN配置。

2. 检查服务模板的SSID：即使连接的是同名Wi-Fi，也要确认它们是否对应同一个服务模板（绑定同一个VLAN），避免因配置问题导致逻辑隔离。

 第二步：核心解决方案

方案A：精细化放通（生产环境推荐）

在不关闭全局隔离的前提下，仅放通投屏所需的流量。

• 实现原理：通过白名单，让特定MAC地址的设备在VLAN内可以二层单播通信。同时，启用本地代理ARP，让网关代替回应ARP请求，帮助设备找到对方的MAC地址。

• 配置要点（本地转发模式）：

  1. AP配置：由于是本地转发，所有配置都需要在AP上进行。假设投屏相关设备都在 VLAN 100，命令模板如下：

     # 进入AP配置视图

     user-isolation vlan 100 enable permit-unicast # 可选：也可以使用 permit-mac 精确放行指定MAC地址 # user-isolation vlan 100 permit-mac [手机MAC地址] [投屏网关MAC地址] permit-unicast是实现单播通信的关键。

  2. 网关配置：在网关设备上，需要为对应VLAN接口开启本地代理ARP功能，以便于设备寻址。

     # 假设网关是核心交换机或路由器，进入VLAN 100的三层接口

     interface Vlanif100 local-proxy-arp enable

方案B：关闭整个VLAN的二层隔离（临时测试）

如果方案A后仍有问题，或只是为了测试，可以临时关闭隔离。

• 注意：此操作会削弱网络安全，建议仅在会议环境或测试环境中短暂使用，或在特定会议室部署独立SSID。

 第三步：进一步排查

如果核心方案仍未能解决，可以继续排查以下几点：

• 检查交换机端口隔离：除了无线侧的AP隔离，请检查交换机上是否配置了端口隔离，这也会阻断设备通信。

• 检查设备防火墙与系统设置：确保手机和投屏网关（接收端）的系统或软件防火墙，没有禁止相关投屏服务。

• 跨AP投屏问题：不同AP间的投屏，需要AP间二层网络互通，并检查交换机是否有IGMP Snooping等组播优化配置。

• 测试有线连接：将投屏设备通过有线网络接入，若投屏正常，则问题仍出在无线配置上；若仍不正常，则可能是设备自身或核心交换机策略的问题

一、根本原因

1. 无线开了用户二层隔离（user-isolation）
   手机和手机之间、手机和网关之间二层互相禁止通信。
2. 投屏是二层协议（AirPlay、Miracast、DLNA 都依赖广播 / 组播 + ARP）
   二层不通 → 搜不到设备、提示 “不是同一个 WiFi”、ping 不通。
3. 本地转发只是让数据不走 AC，但隔离策略照样生效。

二、快速判断方法

1. 手机 ping 投屏网关：不通
2. 手机 ping 另一台手机：也不通
3. 关闭用户隔离后立刻通 → 100% 是它

三、解决方案（3 种任选其一，按推荐顺序）

方案 1：针对投屏 SSID 关闭用户二层隔离（最简单有效）

• AC 或 Fat AP 下
• 找到该服务模板（service-template）
• 关闭：
  • 用户隔离
  • 端口隔离
  • 二层隔离

方案 2：保留隔离，但放通投屏网关白名单（更安全）

• 用户隔离例外列表 / 允许访问指定服务器
  把投屏网关的 IP/MAC 加入例外，允许所有终端访问它。

• 手机 ↔ 手机：仍然隔离（安全）
• 手机 ↔ 投屏网关：通（能投屏）

方案 3：开启组播 / 广播转发 + IGMP

• ARP
• 广播发现
• 组播（224.0.0.0 段）

1. 开启 IGMP Snooping
2. 放通 广播 / 组播
3. 确保 AP 不对组播做抑制

四、你这种 “本地转发 + 二层隔离” 环境的重点

五、最快验证命令（H3C AC 为例）

六、总结一句话