问
无线漫游获取地址问题
4天前提问
- 0关注
- 0收藏,106浏览
zhiliao_Gixe
六段
排查步骤及关键命令:
1. 确认漫游类型与快速漫游配置:WX3520H-F需检查新增SSID是否开启快速漫游(802.11r),命令:display wlan service-template <新增SSID模板名>,确认是否配置fast-roam enable;查看漫游组配置:display wlan roam-group all,确保AP/AC在同一漫游组。
2. 核查DHCP地址池:核心交换机上查看新增SSID对应VLAN的DHCP地址池,命令:display ip pool,确认地址池剩余地址充足,无地址冲突。
3. 检查DHCP中继配置:若AC做DHCP中继,确认新增SSID对应VLAN的中继绑定正确,命令:display dhcp relay interface,确保中继指向核心DHCP服务器。
常见原因:未开启快速漫游导致漫游时DHCP请求延迟,或对应VLAN地址池不足,手机超时重试后获取地址。
1. 确认漫游类型与快速漫游配置:WX3520H-F需检查新增SSID是否开启快速漫游(802.11r),命令:display wlan service-template <新增SSID模板名>,确认是否配置fast-roam enable;查看漫游组配置:display wlan roam-group all,确保AP/AC在同一漫游组。
2. 核查DHCP地址池:核心交换机上查看新增SSID对应VLAN的DHCP地址池,命令:display ip pool
3. 检查DHCP中继配置:若AC做DHCP中继,确认新增SSID对应VLAN的中继绑定正确,命令:display dhcp relay interface
常见原因:未开启快速漫游导致漫游时DHCP请求延迟,或对应VLAN地址池不足,手机超时重试后获取地址。
根据您的描述,新增SSID漫游时延迟获取IP地址,但过一阵可以获取,这是典型的VLAN配置未正确下发或DHCP信任端口配置问题。以下是详细的排查步骤:
核心问题分析
最可能的原因:
- MAP文件未重新下发 - 修改MAP后需要重新下发配置到AP
- DHCP信任端口未开启 -
undo dhcp trust port会导致终端获取不到IP - 上行交换机VLAN未放通 - 新增VLAN未在核心交换机放通
详细排查步骤
1️⃣ 检查服务模板和VLAN配置
# 查看新增SSID的服务模板配置
display wlan service-template <新增SSID模板名>
# 检查VLAN是否创建并处于UP状态
display vlan <新增VLAN ID>
display interface Vlan-interface <VLAN ID>关键确认:
- 服务模板中是否配置了
vlan <VLAN ID> - VLAN接口IP地址是否正确配置
2️⃣ 检查MAP文件配置(重点!)
# 查看MAP文件内容
display wlan map name <MAP文件名>
# 查看AP运行配置,确认是否收到VLAN配置
display wlan ap name <AP名称> running-config | include vlan⚠️ 重要提示:
如果只是修改了MAP文件,必须重新下发配置到AP:
如果只是修改了MAP文件,必须重新下发配置到AP:
wlan view
ap-group name <AP组名>
# 重新敲一遍MAP配置命令
map <MAP文件名>3️⃣ 检查DHCP信任端口配置(关键!)
# 查看AP有线口模板配置
wlan view
wired-port-profile name <模板名>
display this如果发现以下配置,立即修正:
# ❌ 错误配置(会导致无法获取IP)
undo dhcp trust port
# ✅ 正确配置
dhcp trust port4️⃣ 检查上行交换机VLAN配置
# 在核心交换机上检查
display interface <连接AC的端口>
display port trunk
# 确认新增VLAN已放通
display vlan <新增VLAN ID>确保:
- 连接AC的端口为Trunk模式
- 新增VLAN已在Trunk端口放通
- 核心交换机有对应VLAN的DHCP地址池
5️⃣ 验证DHCP服务器配置
# 在核心交换机上检查
display dhcp server ip-in-use pool <地址池名>
display dhcp server statistics快速解决方案
方案一:重新下发MAP配置(推荐)
# 创建新的MAP文件(避免配置冲突)
wlan view
map-file name map_new
service-template <新增SSID模板> vlan <新增VLAN ID>
service-template <原有SSID模板> vlan <原有VLAN ID>
quit
# 应用到AP组
ap-group name <AP组名>
map map_new方案二:检查并修正DHCP信任端口
wlan view
wired-port-profile name p1
dhcp trust port
quit方案三:验证VLAN连通性
# 从AC侧测试
ping -a <VLAN接口IP> <核心交换机VLAN接口IP>
# 从核心交换机侧测试
ping <AC VLAN接口IP>暂无评论
你这个现象(漫游时经常拿不到 IP,等一会儿又好、切旧 SSID 再切回也能好),在 WX3520H‑F + 网关在核心 的场景里,90% 是:新 SSID 的 VLAN 在漫游时被 “卡住”、DHCP 广播 / 中继在漫游切换瞬间丢包、或者 AC 上漫游 / 老化 / 防漂移参数没配好。
下面按你现场情况,从最常见、最容易查的开始,一步步定位。
一、先确认:新旧 SSID 关键差异
旧 SSID 正常,新 SSID 漫游不行,重点对比这 4 点:
- VLAN 号:新 SSID 是不是单独一个 VLAN(比如 VLAN 20),旧的是 VLAN 10?
- 转发模式:集中转发还是本地转发?(本地转发更容易出漫游 DHCP 问题)
- 认证方式:新 SSID 是不是开了 Portal/802.1X,旧的是开放或 PSK?
- 绑定的 WLAN‑Service 模板:是否复制旧的改 VLAN,还是新建?
你说 “配置对比没发现问题”,大概率是看不见的漫游 / 老化 / 广播参数不一样。
二、最常见原因(和你现象完全吻合)
1)新 SSID VLAN 在全网没有 “打通”,漫游时 DHCP 广播丢包
典型表现:
- 原地关联新 SSID:能拿到 IP
- 从别的 AP 漫游过来:经常拿不到 IP
- 过一会儿(终端重发几次 DHCP)又能拿到
原因:
- 旧 SSID 的 VLAN(比如 VLAN 10)在:AC、所有接入交换机、核心都放通了
- 新 SSID 的 VLAN(比如 VLAN 20)只在 AC 和部分接入放通,某些楼层 / 区域交换机没允许 VLAN 20
- 漫游时,终端发 DHCP Discover 是广播,跨 AP 跨交换机时,中间某段 Trunk 没允许 VLAN 20 → 广播丢 → 拿不到 IP
- 多试几次 / 等一会儿:终端多发几次,或漫游到路径通的 AP,就拿到了
2)AC 上没开 “二层漫游” 或客户端老化时间不合理
WX3520H‑F 默认:
- 二层漫游:wlan allow-client-l2roam enable,没开的话,漫游时会清表、重认证、DHCP 容易失败
- 客户端老化:默认 5 分钟,漫游后表项不立即清,终端以为还在旧 VLAN / 旧 AP,DHCP 乱发
3)新 SSID 用了 VLAN Pool,算法导致漫游 VLAN 跳变
如果新 SSID 配了 vlan pool(比如 VLAN 20‑25):
- 原地关联:随机分到一个 VLAN
- 漫游到另一 AP:可能分到另一个 VLAN
- 终端 IP 和新 VLAN 不在一个网段 → 拿不到 IP
- 过一会儿终端重连,分到同一段 VLAN → 正常
4)DHCP 中继 / 网关在核心,新 VLAN 没配置 DHCP Relay
旧 VLAN(VLAN 10):核心 VLANIF10 配了 dhcp select relay 或地址池
新 VLAN(VLAN 20):VLANIF20 没配 DHCP 中继 / 地址池
- 原地关联:AC/AP 可能代理一下,能拿到
- 漫游过来:必须走核心 DHCP → 没中继 → 拿不到
三、给你一套可直接执行的排查(WX3520H‑F)
1. 查新 SSID 绑定的 VLAN
bash
运行
display wlan service-template brief
# 看新SSID对应的service-template,记下vlan xx
2. 全网检查 VLAN 是否放通(关键)
在 AC、所有接入交换机、核心 都查:
bash
运行
# 查Trunk允许VLAN
display interface GigabitEthernet 1/0/1
display port trunk
# 查VLAN是否存在
display vlan brief
必须保证:新 VLAN 在所有 AP→AC→核心的 Trunk 上都允许通过
3. 查漫游开关和老化时间
bash
运行
# 看是否开启二层漫游
display wlan global configuration | include l2roam
# 看客户端老化时间
display wlan client cache-aging-time
建议配置:
bash
运行
wlan allow-client-l2roam enable # 开启二层漫游
wlan client cache-aging-time 300 # 默认5分钟,可先设300秒
4. 查 VLAN Pool(如果用了)
bash
运行
display wlan vlan pool
如果用了,先改成固定 VLAN 测试,不要 Pool
5. 查核心 VLANIF 的 DHCP 配置
bash
运行
display interface Vlan-interface xx # xx是新VLAN
必须有:
bash
运行
dhcp select relay
dhcp relay server-ip x.x.x.x # DHCP服务器地址
6. 抓包确认(快速定位)
在 AC 上联口或核心侧抓新 VLAN 的 UDP 67/68 端口:
- 能看到 DHCP Discover → 服务器没回应 → 核心 DHCP 中继 / 地址池问题
- 看不到 Discover → 漫游路径上 VLAN 没放通
四、最可能的现场结论(你直接对照)
- 90% 概率:新 SSID 的 VLAN 在部分接入交换机 Trunk 没允许,漫游跨区域时 DHCP 广播丢包;等一会儿终端重发或换到通的 AP 就好。
- 10% 概率:没开二层漫游、或开了 Portal 导致漫游表项滞留,DHCP 错乱。
五、临时解决 + 永久根治
临时(马上见效)
bash
运行
# AC全局开启二层漫游
wlan allow-client-l2roam enable
# 新SSID模板改成固定VLAN,不要Pool
wlan service-template x
vlan xx
undo vlan pool
永久
- 全网(接入、AC、核心)统一放通新 VLAN
- 核心 VLANIF 配置DHCP 中继
- 开启二层漫游,老化时间 300 秒
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论