1. DHCP续租异常（可能性极高）

你提供的租约时间3天是排查的关键。DHCP续租机制和特定版本终端交互时可能出现异常：

• 续租时机：根据DHCP标准，终端会在租约时间的一半（即36小时）时发起续租请求。

• 行为分析：当你在36小时的节点从室外漫游到室内，或正在使用中时，DHCP Request包可能在无线网络传输中丢失。

• 终端反应：终端收不到DHCP ACK，会在租约时间的7/8（即63小时）时再次发送续租请求。若仍失败，会在租约到期后（72小时）释放IP地址并重新发起DHCP Discover获取新IP。这个完整过程可能导致1-2分钟的断网。

• 为什么一天/几天出现一次？：因为3天的租约，续租行为大约1.5天（36小时）发生一次，与观察到的频率吻合。

• 为什么自动恢复？：最终续租失败或IP释放后，终端会发起新的地址获取流程，成功后网络恢复。

• 为什么与漫游/使用相关？：漫游或高负载使用可能加剧网络抖动，导致DHCP交互报文丢失。H3C官方案例也指出，漫游时终端可能“重新拿地址”。

2. Portal认证状态异常

Portal认证流程与DHCP紧密耦合，常见问题点包括：

• 会话表项不一致：用户终端在AC/BRAS上的会话已老化，但终端的Portal状态仍为“已认证”，导致流量被异常阻断，出现“有信号、无网络”现象。

• 服务端会话超时：会话超时时间或用户闲置切断时间设置过短，终端在漫游或静默后被强制下线。

3. 二层漫游触发DHCP续租（本不应发生）

• 理论：在同一个业务VLAN内的二层漫游，理论上终端无需重新获取IP地址。

• 实践：你观察到的现象和部分案例表明，某些无线网络环境或终端实现，会错误地将二层漫游视为链路变化，从而触发DHCP续租甚至重新获取IP的流程。

• 影响：如果此时网络有延迟或丢包，就会导致短暂的断网。

4. 广播流量冲击

如果你的无线网络规模较大（有2万地址池），二层广播域内可能存在大量广播/组播报文。

• 问题：在漫游切换或终端高负载使用的高峰期，过多的广播报文（如ARP）可能会冲击AP的上行链路，导致DHCP报文被延迟或丢弃，引发获取地址超时。

• 现象：终端显示“获取IP地址中...”，最终因超时而显示感叹号。

5. 终端兼容性问题

• 已知案例：部分特定型号手机在漫游场景下，确实存在协议交互不标准或兼容性问题，可能导致短暂的断流。

• 系统差异：你提到的鸿蒙系统与其他系统（如iOS、Android原生）在处理漫游和DHCP续约的细节上可能存在差异。

建议按以下阶段进行排查，优先级从高到低：

 阶段一：立即尝试（修改DHCP租约时间）

这是最直接、最有可能解决问题的操作。

1. 临时调整：在BRAS/DHCP服务器上，将业务VLAN的地址池租约时间临时改为1天（86400秒）甚至12小时。

2. 观察效果：观察1-2天，看问题出现频率是否有明显降低或消失。

3. 长期策略：如果有效，将租约时间永久调整为1天。这会缩短续租等待窗口，使问题在短时间内被自我修复，用户几乎无感知。

 阶段二：深入排查与优化

1. 排查Portal认证配置：

   • 检查BRAS/AC上的Portal会话超时时间，建议设置为24小时以上。

   • 检查用户闲置切断时间，避免正常漫游用户被误判为闲置而强制下线。

   • 检查BRAS/AC与Portal服务器间的会话表项是否一致，可定期重启认证服务或AP来重建连接。

2. 优化无线网络与AC配置：

   • 检查漫游配置：登录AC控制器，确认快速漫游、802.11r等功能已按厂商最佳实践开启，确保二层漫游平滑。

   • 排查广播抑制：在AP上联的交换机接口开启广播风暴抑制或端口隔离，防止广播报文冲击。

   • 抓包分析：在问题复现时，分别在AP侧和DHCP服务器侧抓包，重点分析DHCP Request和DHCP ACK的交互情况。

3. 升级与更新：

   • 更新手机系统：确保鸿蒙系统已更新到最新版本，部分早期版本可能存在漫游相关的已知问题。

   • 更新无线设备固件：检查AC和AP是否有新的固件版本，及时更新以修复潜在的兼容性问题。

无线终端wifi信号满格，但是偶发出现感叹号且无法使用，可能与如下情况有关系：

1. 终端探测网关arp失败，导致无法上网，这种可能是终端探测网关的arp request报文经过AP接受后在中间链路丢包了，可能是交换机arp超限速或者网关处理不过来导致的，可以在AC的AP视图下开启网关arp代答和防arp攻击功能，看看是否有改善；

2. 终端探测部分公网域名（每个操作系统都有会自动探测的公网域名），探测失败也会置为感叹号，或者探测域名接受DNS应答失败也有可能。

一、核心现象翻译

• 信号满格 = 无线链路正常、已关联 AP
• 有感叹号 / 无互联网 = 能连 AP，但上不了三层 / 过不了认证
• 1~2 分钟自愈 = 超时后终端重新 DHCP / 重新 Portal 认证 / 重新 ARP，恢复
• 只偶尔发生 = 不是必现 BUG，是漫游时序 + 终端行为触发

二、最可能的 3 个根因（按优先级）

1）二层漫游后，Portal 会话未跟着漫游，终端被 BRAS “临时拉黑”

• 终端从室外 AP → 室内 AP 漫游
• 无线二层漫游成功（所以信号满格、不掉线）
• 但 BRAS/Portal 认为终端 “换了位置”，会话临时失效
• 终端还在用旧 IP、旧 Portal 会话 → BRAS 直接不让出网
• 1~2 分钟后：终端重 DHCP / 重 Portal → 恢复

2）鸿蒙终端 漫游后不发 ARP / 不刷新 ARP，网关 ARP 表项老化

• 终端 MAC 不变、IP 不变
• 但 接入点变了
• 部分鸿蒙机漫游后 几十秒不发 ARP
• 网关 / BRAS 的 ARP 表老化 → 报文回不来 → 上不了网
• 等终端自动发 ARP 后恢复

3）DHCP 租约被 BRAS“短暂回收 / 校验”，或 空口快速重关联

• 租约 3 天没问题，地址充足
• 但漫游时 BRAS 会重新校验 IP+MAC + 端口
• 校验期间丢包 → 终端判定无互联网
• 校验通过恢复

三、现场必改配置（直接解决）

① AC 开启 快速漫游 / 802.11r（最关键）

② 关闭 漫游时重认证 / 漫游重 DHCP

③ ARP 老化时间调长 + 开启 ARP 代理 /gratuitous ARP

④ 关闭低速率、强制弱信号终端重关联

⑤ BRAS 侧关键（很多人忽略）

• 关闭 IP+PORT 绑定校验
• 关闭 二次认证
• 开启 漫游会话保持

四、怎么验证是不是这个问题

1. 掉线时：手机 ping 网关不通
   → ARP / 认证问题
2. 掉线时：ping 网关通，但 ping 外网不通
   → Portal/BRAS 策略问题

五、一句话总结