某高校局点AC控制器莫名新增业务不涉及的vlan 336问题

AC旁挂核心，本地转发和集中转发服务模板均存在

无

某高校局点的运维人员每天（工作日）都会核对AC的current-configuration当前配置，在某个周一发现AC上突然新增了一个vlan 336，需要找到为什么会出现这个vlan的新增

1. 由于周六日放假没有查看AC，首先检查上周五AC的配置（通过操作日志保存），发现没有这个vlan 336，说明这个vlan是在今天新增出现的；

2. 在AC上通过：display history-command all，但是由于今天在AC上操作了非常多的查看命令，最早的结果仅记录到周日的某个时间，而在已显示的记录范围内发现AC上没有配置：vlan 336相关的命令，因此目前只能排除这段时间范围内有在AC上配置新增vlan 336的操作，而是否有在周日至周五晚进行该操作则无法通过display history-command all查询出来；

3. 运维人员问询了几个拥有相关账号的人员，均表示没有在AC上操作新增vlan 336，运维人员查询了近一周的操作记录也没有发现新增vlan 336的操作；

4. 现场AC上了云简平台（oasis.h3c.com），为了检查是否通过云简下发的配置，在云简的：网络管理->消息->操作日志 路径进行查看，由于当前云简网络的机制是无论人为（前端or后端）还是平台自动下发配置，操作日志都会产生记录，但查询最近几天的日志发现均没有相关的操作记录；

5. 现场的AC被log服务器纳管，能够记录最近一周的AC上的logbuffer，也未发现有新增vlan 336的任何操作记录或命令回显，但是在log日志中按照vlan 336搜索发现：在周六晚上有一条终端连接SSID为eduroam的服务模板，通过了802.1x认证后获取vlan 336上线的记录，只不过这个终端只待了约 1 min就下线了。

这个eduroam是高校联盟的服务模板，可以使用共有账号和密码在联盟高校内部使用无线网络，查看当前AC果然添加了这个服务模板，并且这个服务模板是802.1x认证的，因此产生了这样的可能，即终端连接这个服务模板，并从服务器获取了vlan 336的下发授权vlan，从而导致了AC上自动新增创建了vlan 336。

AC上确实存在这样的机制：① 本地转发模式下，如果终端通过认证后获取了服务器下发的vlan在AP上之前是不存在的，则AP会自动创建这个vlan，而AC上则不会；② 集中转发模式下，如果终端通过认证后获取了服务器下发的vlan在AC上之前是不存在的，则AC会自动创建这个vlan，而AP上则不会。

但是查看当前局点eduroam的配置，发现是本地转发，那么按照上述的机制应该是在AP上创建vlan 336而非AC，

但是请注意这个配置是client forwarding-location ap vlan 113，这种配法的特殊之处在于当终端连接这个服务模板并获取vlan 113时走本地转发，如果获取其它的vlan就会走集中转发！

而这个终端通过服务器获取了授权vlan 336（授权vlan优先级高于服务模板指定或AP radio后绑定服务模板时指定的vlan），因此当这个终端通过dot1x认证获取授权vlan 336后走了集中转发，按照上述机制AC正常自动创建了之前没有出现的vlan 336。

#

 wlan service-template wifi_union
  ssid eduroam

  client forwarding-location ap vlan 113

  akm mode dot1x

  cipher-suite ccmp

  security-ie rsn

  client-security authentication-mode dot1x

  dot1x domain eduroam

  service-template enable

#

解释原因即可。