某局点V7 AC用户隔离配合网关ARP代理无法实现二层终端互通的经验处理案例

如图，AC旁挂在核心边上，AP集中转发

AC集中转发，设备上基于VLAN做了用户二层隔离，在网关上开启了本地代理ARP，但是下面同网段终端互ping不通

user-isolation vlan 100 enable permit-unicast

user-isolation vlan 100 permit-mac XXXX-XXXX-7802

两台测试无线终端信息如下：

PC1: X.X.X.130    XXXX-XXXX-BC60

PC2: X.X.X181    XXXX-XXXX-A949

1、检查两个终端相互ARP的学习情况，发现ARP学习正常

2、尝试PC1 ping PC2 4个包，然后核心流统，发现AC给核心发送了8个包，核心给AC发送了4个包，看着好像核心没有把回包转发回AC，但是在PC2上抓包发现实际上没有收到。

3、在AC、核心互联口抓包，发现AC直接将核心转发给AC的报文又原封不动的丢回核心了

通过抓包我们可以看到一个报文（通过ID区分，ID一致表示同一个报文）在AC、核心间相互转发了4次

第一个报文是下面AP把ICMP报文封装到CAPWAP隧道中发给AC，而第二个报文则是AC将CAPWAP报文解封装后转发给核心，这两个报文的源目MAC（CAPWAP封装看内层的源目MAC）都是PC1发给核心，是正常的交互报文。

第三第四个报文在抓包里面源目MAC都是核心发给PC2，但是正常情况下第四个报文应该会进行CAPWAP封装后发给AP，但是在这个抓包里面并没有抓到CAPWAP的封装，显然AC是直接把这个报文重新原封不动的发给了核心，跟上面流统结果完全一致。

4、经过核实，确认用户二层隔离后在网关配置本地代理ARP实现同网段终端互访的方式仅适用于本地转发的场景，不适用于报文会经过AC的集中转发场景，集中转发不应该在网关配置本地代理ARP，直接在AC上配置arp fast-reply enable后即可实现同网段终端互访。

用户二层隔离后在网关配置本地代理ARP实现同网段终端互访的方式仅适用于本地转发的场景，不适用于报文会经过AC的集中转发场景。

集中转发不应该在网关配置本地代理ARP，直接在AC上配置arp fast-reply enable后即可实现同网段终端互访。