WLAN跨VLAN的三层漫游配置案例
- 0关注
- 0收藏,99浏览
在 H3C 同一 AC 内做跨 VLAN 三层漫游,AC 上不需要敲任何专门的 “漫游命令”,默认就支持。
但:基础的 WLAN 配置 + 网络路由 / 放行必须正确,否则漫游会失败。
下面给你一个可以直接照着做的AC 内三层漫游(跨 VLAN)配置案例 & 关键说明。
一、基本概念(一句话懂)
二层漫游:AP 同 VLAN,只换 AP、不换网段。
三层漫游(跨 VLAN):AP 属于不同 VLAN / 不同网段,但同一个 AC。
客户端漫游后 IP 不变、VLAN 不变,AC 负责跨 VLAN 转发。
AC 内三层漫游:不需要额外开启漫游功能 / 命令,只要服务模板、SSID、安全参数一致即可。
二、典型组网(AC 旁挂)
管理 VLAN:VLAN 100(AC、AP 都在这个网段管理)
AP1 业务 VLAN:VLAN 200
AP2 业务 VLAN:VLAN 201
Client 从 AP1(VLAN200)→ AP2(VLAN201)漫游,IP 保持不变。
三、AC 关键配置(无 “漫游命令”)
1. 创建业务 VLAN(AC 上必须有)
plaintext
vlan 200
vlan 201
2. 配置无线服务模板(SSID / 安全必须一致)
plaintext
wlan service-template 1
ssid Office-WiFi
cipher-suite wpa2-psk
psk simple 12345678
service-vlan 200 // 这里是“初始接入VLAN”,漫游时会被AC改写
3. 配置 AP & 绑定模板
plaintext
wlan ap AP1 model WA6638
serial-id xxxx
radio 1
service-template 1
radio enable
wlan ap AP2 model WA6638
serial-id yyyy
radio 1
service-template 1
radio enable
关键点:
所有参与漫游的 AP:
SSID 相同
安全模式 / 密码相同
服务模板相同
→ 满足这三点,AC 自动支持跨 VLAN 三层漫游,不需要额外命令。
四、交换机 / 网络侧必须做(容易踩坑)
连接 AC 的交换机:
放行 管理 VLAN 100 + 所有业务 VLAN(200、201)
接口配置成 trunk,允许这些 VLAN 通过
AP 接入交换机:
连 AP 的端口:trunk,允许管理 VLAN + 本 AP 业务 VLAN
例如 AP2 在 VLAN201:
plaintext
interface Gig1/0/1
port link-type trunk
port trunk allow-pass vlan 100 201
三层路由:
所有 VLAN 网段(100、200、201)互通
客户端网关要能回指 AC 或核心,保证回程流量正常
五、常见误区澄清
“AC 要开三层漫游功能”
❌ H3C 没有一条命令叫 wlan l3-roaming enable 之类。
✅ 同 AC 下默认开启,无需配置。
“每个 AP 服务 VLAN 必须一样”
❌ 不需要,三层漫游就是为了不同 VLAN 的 AP 之间漫游。
漫游后 IP 会变
❌ 正常三层漫游:IP、网关、认证状态全部不变。
六、AC 间漫游(扩展,你没问但常混)
AC 间三层漫游:才需要配置 漫游组、IACTP 隧道、共享密钥。
你问的是 “跨 VLAN”,只要同一个 AC,就是 AC 内,不用漫游组。
AI不能万能的,三层漫游是在不同网段间漫游,比如如从 192.168.1.x 切换到 192.168.2.x,IP地址通常需要改变,容易导致业务中断,所以要搞这个漫游,但是查了文档没有查到
服务模板在被AP或者AP组,或者AP的radio里调用的时候,写不同的vlan就是了啊
示例:
wlan ap ap01
radio 1
service-template 1 vlan 10
wlan ap ap02
radio 1
service-template 1 vlan 20
两个ap的服务模板是同一个,但是调用的不同vlan。
设备连的是同一个ssid但是需要跨三层(重新获取到新的网段)
ps: 跨三层漫游并不是无线部署的最佳方案,只不过,它可以用。
thanks,明白,跨三层漫游人员移动时候会经常使用的,实际部署时候也应该要考虑的吧
thanks,明白,跨三层漫游人员移动时候会经常使用的,实际部署时候也应该要考虑的吧
1. 哪些是AC默认支持的?(无需额外配置)
- WLAN业务配置一致:漫游前后的AP必须配置完全相同的SSID模板、安全模板(加密方式和密码必须一致)。
- 三层漫游功能开启:在华为等主流AC设备上,三层漫游功能默认是开启的(
layer3-roam默认为enable)。当终端从 VLAN 101 移动到 VLAN 102 时,AC会自动识别并尝试保持终端原有的IP地址不变,通过隧道技术将数据转发回原网关。
2. 哪些跨VLAN场景必须手动配置?(关键!)
- 情况一:漫游前后的VLAN ID相同,但实际属于不同的物理子网
如果两个区域的VLAN ID虽然一样(比如都叫VLAN 10),但实际连接的是不同的三层网关(属于不同的广播域),AC会误以为这是普通的二层漫游,导致终端无法获取新子网的IP,业务中断。- 解决办法:你需要配置漫游域(Mobility Group / VLAN-mobility-group)。通过给不同子网的VLAN打上不同的漫游域ID,明确告诉AC:“虽然VLAN ID一样,但这是两个不同的子网,漫游时要走三层漫游流程。”
- 情况二:优化漫游后的转发效率(家乡代理)
在直接转发模式下,三层漫游时终端的数据包需要绕回最初的AC(漫出AC)再转发出去。如果漫游路径较长,可能会影响效率。- 解决办法:可以配置家乡代理(Home Agent)。将家乡代理设置在AC上,可以减轻AP的负担,提升跨子网漫游后的数据转发效率。
3. 跨VLAN三层漫游的基础组网要求
- DHCP服务器:必须能够为终端分配IP地址。通常建议汇聚交换机作为DHCP服务器,且AC与DHCP服务器之间路由可达。
- VLAN与路由互通:AC、AP以及各个业务VLAN的网关之间必须三层路由可达。如果采用直接转发,AP连接的交换机接口需要放通所有相关的业务VLAN。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
AI不能万能的,三层漫游是在不同网段间漫游,比如如从 192.168.1.x 切换到 192.168.2.x,IP地址通常需要改变,容易导致业务中断,所以要搞这个漫游,但是查了文档没有查到