一、关键问题定位

1. AP接入交换机端口未放行业务VLAN 30

• 本地转发模式下，无线客户端的数据流量不经过AC，而是直接通过AP发送到接入交换机。若AP连接的交换机端口未在Trunk链路中显式允许VLAN 30通过，客户端流量会被丢弃。
• 尽管用户声明"交换机与AC之间VLAN已放通"，但AC仅处理控制面流量（如认证），业务VLAN需在AP直连的接入交换机端口单独配置。
• 典型错误配置：端口仅允许管理VLAN（如VLAN 100）通过，未添加业务VLAN 301。

2. DHCP配置与网段参数不匹配

• VLAN 30的网段为192.168.30.0/23（掩码255.255.254.0），需确保：
  • DHCP地址池的network参数必须严格匹配该网段（如192.168.30.0 mask 255.255.254.0）。
  • 网关地址必须位于该网段内（如192.168.30.1或192.168.31.254），且与VLAN接口IP一致。
• 若配置错误（如误用/24掩码），客户端虽能获取IP，但因网关不可达导致无法通信5。

3. 无线模板未正确绑定VLAN 30

• 在H3C/华为设备中，需在service-template中明确指定VLAN ID。若ydcf模板的VLAN配置错误（如绑定到其他VLAN），客户端将无法进入正确子网。
• 本地转发模式下，必须通过service-template将SSID与业务VLAN关联，否则流量会默认进入管理VLAN或未标记VLAN3。

二、解决方案

1. 检查AP接入交换机端口配置

• 确认AP直连的交换机端口为Trunk模式，且明确允许VLAN 30通过：
  1interface GigabitEthernet1/0/1 # AP连接的端口 2port link-type trunk 3port trunk permit vlan 100 30 # 假设100为管理VLAN，必须包含30
• 关键点：若端口配置为Access模式或未放行VLAN 30，客户端流量会被丢弃7。

2. 验证DHCP配置准确性

• 检查VLAN 30的DHCP地址池是否匹配/23网段：
  1dhcp server ip-pool vlan30-pool 2network 192.168.30.0 mask 255.255.254.0 # 必须为255.255.254.0 3gateway-list 192.168.30.1 # 网关需在192.168.30.0~192.168.31.255范围内
• 确保VLAN接口IP与网关一致：
  1interface Vlan-interface30 2ip address 192.168.30.1 255.255.254.0 # 掩码必须为255.255.254.0

3. 确认无线模板绑定正确VLAN

• 检查ydcf模板的VLAN配置是否指向VLAN 30：
  1wlan service-template ydcf 2ssid ydcf 3vlan 30 # **必须显式指定业务VLAN ID** 4security-profile wpa2-psk 5service-template enable
• 若使用H3C设备，需确保AP组中射频接口已绑定该模板3。

三、快速排查步骤

1. 在AP直连交换机上执行：
   • 检查端口放行VLAN列表：display port trunk vlan-list interface GigabitEthernet1/0/1
   • 确认VLAN 30在permit列表中。
2. 在AC上验证配置：
   • 检查service-template绑定：display wlan service-template ydcf
   • 确认输出中VLAN ID为30。
3. 客户端连接测试：
   • 尝试手动设置客户端IP（如192.168.30.100/23，网关192.168.30.1）。
   • 若能通信，说明DHCP配置错误；若仍失败，则VLAN放行或路由问题。

故障排查分步分析（H3C AC+AP 本地转发，SSID YDCF 无法入网、SYZL 正常）
一、先梳理现有配置关键信息
SSID 与 VLAN
SYZL：service-template 2 → VLAN20（正常联网）
YDCF：service-template ydcf → VLAN30（搜得到 WiFi、连不上）
转发模式：client forwarding-location ap AP 本地转发，VLAN 终结在 AP 侧
接口配置：上行口 G1/0/1、S1/0/1 trunk 放行 VLAN10/20/30，VLAN30 全局已创建，核心 DHCP 192.168.30.0/23 已配置。
AP 配置：WA6520 三个 Radio 全部绑定2+ydcf两个服务模板，Radio1/2 为 5G 40MHz 频宽，Radio3 为 2.4G 禁用低速速率。
二、逐项定位故障点（从高频→低频）
① 加密配置异常（YDCF 和 SYZL 加密不一致，最可能根因）
plaintext
#SYZL模板加密
cipher-suite ccmp
security-ie rsn
#YDCF模板加密（多了TKIP+WPA，混合加密极易终端兼容失败）
cipher-suite ccmp
cipher-suite tkip
security-ie rsn
security-ie wpa
问题：YDCF 同时开启 WPA+WPA2 (RSN)、CCMP+TKIP 混合加密，现在手机 / 笔记本大多不兼容 WPA+TKIP 组合，握手协商失败→连上 WiFi 无法获取 IP / 直接拒绝接入。
修复命令（统一改成纯 WPA2-CCMP，和 SYZL 对齐）
plaintext
wlan service-template ydcf
undo cipher-suite tkip
undo security-ie wpa
② AP 本地转发：AP 侧没有 VLAN30（本地转发致命坑）
本地转发模式下：VLAN 必须在 AP 本身配置 VLANIF / 本地 VLAN，只在 AC、交换机放通 VLAN30 没用，AP 收到终端数据在 AP 本地无法识别 VLAN30，丢包拿不到 DHCP 地址。
AC 上只是下发 service-template 映射 VLAN30，WA6520 AP 本地没有创建 vlan 30
解决 2 种方案：
通过 MAP 配置下发 AP 本地 VLAN（推荐，批量所有 AP）
编辑flash:/flash_map_MAP-ALL-Isolation-v3.txt文件，在 MAP 脚本开头添加：
plaintext
vlan 30
保存后 AC 重新下发 map 配置：
plaintext
wlan ap xxx
map-configuration flash:/flash_map_MAP-ALL-Isolation-v3.txt
单 AP 登录 AP 后台手动创建 vlan30 验证：
plaintext
system-view
vlan 30
③ 终端隔离 & VLAN 放行核查
AC 全局user-isolation vlan 20 enable（仅 VLAN20 开启用户隔离，VLAN30 未开启隔离，这条不影响 YDCF，但确认 VLAN30 没被全局隔离拦截）
交换机上联 AC 的 Trunk 口：确认交换机互联 AC 的 Trunk 确实允许 VLAN30 通过，不止 AC 侧放通，交换机侧也要port trunk permit vlan 30。
④ DHCP 网段掩码不匹配隐患
你描述 DHCP：192.168.30.0/23（网段范围 192.168.30.0~192.168.31.255），VLANIF30 配置必须一致：
若 VLANIF30 配成 / 24（192.168.30.0/24），DHCP 地址池超出接口网段，终端获取地址后路由不通。
核查核心interface Vlan-interface30子网掩码和 DHCP 地址池掩码统一为 255.255.254.0。
⑤ AP Radio 开启 option client reject（客户端黑名单拒连？）
所有 Radio 配置option client reject enable，该功能开启后 AP 启用非法客户端拒绝列表，排查：
plaintext
#AC查看AP黑名单，是否误把所有新终端MAC加入拒绝列表
wlan ap WA6520-xxx
display wlan client reject-list
临时关闭测试：
plaintext
wlan ap xxx radio 1/2/3
undo option client reject enable
三、快速验证步骤（改完加密 + AP 加 VLAN30 后）
手机连 YDCF，看现象：
输密码转圈→加密问题；
连上无 IP→AP 无本地 VLAN30/DHCP/ 链路 VLAN 不通
AP 侧抓包：WA6520 登录后在上行口抓 VLAN30 报文，判断终端 DHCP 请求是否能穿出 AP。
优先执行顺序
删掉 YDCF 的 tkip、wpa 配置（最高概率故障）
MAP 文件添加 vlan30，重新下发 AP 配置
核对核心 VLANIF30 和 DHCP 掩码
临时关闭 client reject 测试

不要用这两个。