轉載自微信公眾號：網絡之路博客 

簡介

同一AC的三層漫游：指的是在同一個AC下面的不同AP之間不同業務之間的漫游（跨越三層網絡），比如圖中AP-1的業務VLAN 是10（192.168.10.0/24），而AP-2的業務VLAN是20（192.168.20.0/24），無線客戶端從AP-1漫游到AP-2后，雖然處于AP-2上面，但是業務VLAN保持不變，IP地址也保持不變，只是由原先的AP-1變成了AP-2來轉發無線客戶端的業務。

之前已經把網絡基本初始化了，整個網絡除了WLAN業務沒有跑起來以外，其他的都能夠正常運行，這次主要介紹三層漫游的WLAN配置相關。

掌握模目標

1、AP正常上線
2、配置WLAN業務
3、下發給AP
4、Client關聯，并且查看命令
5、訪問外網測試
6、漫游測試
7、三層漫游需要注意的問題
8、在實際環境中遇到的情況（業務漫游后不通）

拓撲說明

說明：該拓撲就一個辦公區域，AP-1主要提供給轉發VLAN 101的業務，而AP-2主要提供轉發VLAN 102的業務，但是領導希望在辦公區域內，客戶端能夠進行自動的切換關聯，希望保持在比較不錯的信號強度的AP下轉發業務，這時候必須提供三層漫游功能來實現這個目的了。

管理VLAN 800：192.168.80.0/24 GW：192.168.80.254
業務VLAN 101：192.168.101.0/24 GW：192.168.101.254
業務VLAN 102：192.168.102.0/24 GW:192.168.101.254
與路由器對接接口VLAN 1：192.168.1.0/24 交換機地址：192.168.1.1 路由器內網地址：192.168.1.2
與AC對接的接口 VLAN 100：192.168.100.1/24 AC源接口地址：192.68.100.2/24
隧道轉發模式：直接轉發
AP上線組網方式：三層（不在一個子網廣播域內），必須通過DHCP Option43來實現
SSID：Intranet 認證與加密方式：WPA2 PSK+CCMP
AP-1主要提供業務VLAN 101（也提供VLAN 102的業務轉發）
AP-2主要提供業務VLAN 102（也提供VLAN 101的業務轉發）
說明：這里AP肯定得為2個業務VLAN 能夠提供轉發才行，否則的話 三層漫游多個業務VLAN之間AP需要能夠識別的了，能夠打上業務TAG。

1、AP正常上線

說明：AP正常上線有幾個要求
1、AC必須配置源地址【可以跟使得AP跟AC建立capwap隧道】，AP能夠通過CAPWAP discovery讓AC收到discovery包，然后AC回復respons
2、AP的認證方式，默認為MAC-auth，可以修改為序列號或者是不認證，只有認證通過的AP才能正常上線。

3、版本問題（AP與AC的版本要對應匹配，這個具體看文檔說明），版本不匹配，AP也關聯不上AC

[Huawei-AC]wlan
[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100
說明：這里配置了AC的源地址是用VLAN 100，也就是用該地址與AP建立CAPWAP 隧道。

AP的認證方式默認為MAC-AUTH，MAC地址可以通過在AP上面命令查看。

[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90
[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0
通過手動添加，來添加設備的MAC地址，這樣AP可以通過認證，就可以正常上線了。這里id是自定義的，只是一個序列號而已，但是type-id很正常， 它跟你實際關聯設備有關，該設備為AP6010DN-AGN這個在剛剛display中有顯示，所以可以通過命令display ap-type all查看AC支持關聯的AC類型與序列號，看自己要關聯的AP是多少 這里就填寫多少。

可以看到有一個已經獲取到了IP地址，管理VLAN 的80網段的，另外一個還處于沒有獲取地址階段。

可以看下建立的過程，首先通過DHCP獲取地址。

可以看到offer包里面，回應Client請求里面，包括了Client的地址、掩碼、路由網關、租期以及DHCP服務器是誰，還有一個Option 43的值，這個值可以通過抓包軟件解析到，正是AC的地址

AP然后通過這個地址直接單播與AC建立CAPWAP隧道。

兩邊臺AP都提示CAPWAP鏈路UP了。

這時候AC上面就有對應的AP信息以及狀態等。

2、配置WLAN業務

配置WLAN業務，由于兩臺AP之間是需要做漫游的，而且這里是三層漫游，所以我們可以把WLAN-ESS接口、WMM、射頻模板、安全、流量模板同一個，但是，服務集必須是2個不同的，因為業務VLAN不一樣，然后在AP下面關聯各自的服務集即可，這樣簡化了配置，也保證了漫游的一些注意事項，當然信道需、功能等可以不一樣 手動調整或者自動調優都可以。
（1）創建wlan-ess接口
[Huawei-AC]interface Wlan-Ess 101
[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101

[Huawei-AC]interface Wlan-Ess 102
[Huawei-AC-Wlan-Ess102]port hybrid untagged vlan 102
說明：創建wlan-ess接口，下面的hybird接口類型是可選的，該接口可以啟用各種安全認證、QOS策略以及ACL等。在直接轉發的情況下，ESS接口的VLAN屬性不重要，不配也可以，它適用于集中轉發的情況下才使用。

（2）WMM模板與射頻模板
[Huawei-AC-wlan-view]wmm-profile name roam
[Huawei-AC-wlan-view]radio-profile name roam
[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam
[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed （默認為自動）
說明：WMM模板可以定義流量優先級，射頻模板功能比較多，可以設置功率、802.11類型以及更多的，最簡單的就是要關聯WMM模塊才能被射頻調用，所以這里調用WMM即可，其他的使用默認。

（3）流量模板與安全模板
[Huawei-AC-wlan-view]traffic-profile name roam
[Huawei-AC-wlan-view]security-profile name roam
[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2
[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
說明：流量模板里面可以定義流量限速等，而安全模板則是定義安全策略，默認為Open，需求是WPA2 PSK+CCMP，所以這里修改了。

（4）服務集模板
由于是不同業務VLAN的，所以這里必須創建2個服務集。
AP-1的
[Huawei-AC-wlan-view]service-set name roam-AP-1
[Huawei-AC-wlan-service-set-roam-AP-1]ssid Intranet
[Huawei-AC-wlan-service-set-roam-AP-1]wlan-ess 101
[Huawei-AC-wlan-service-set-roam-AP-1]service-vlan 101
Info: This action may cause service interruption if you don’t execute commit command.
[Huawei-AC-wlan-service-set-roam-AP-1]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-AP-1]security-profile name roam

AP-2的
[Huawei-AC-wlan-view]service-set name roam-AP-2
[Huawei-AC-wlan-service-set-roam-ap-2]ssid Intranet
[Huawei-AC-wlan-service-set-roam-ap-2]wlan-ess 102
[Huawei-AC-wlan-service-set-roam-ap-2]service-vlan 102
Huawei-AC-wlan-service-set-roam-ap-2]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-ap-2]security-profile name roam

（5）在射頻綁定射頻模板以及服務集
AP-1
[Huawei-AC-wlan-view]ap 0 radio 0
[Huawei-AC-wlan-radio-0/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-0/0]service-set name roam-ap-1

AP-2
[Huawei-AC-wlan-view]ap 1 radio 0
[Huawei-AC-wlan-radio-1/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:Y
[Huawei-AC-wlan-radio-1/0]service-set name roam-ap-2
[Huawei-AC-wlan-radio-1/0]channel 20mhz 6

說明：ap 0是之前定義的序列號，radio 0表示2.4G頻率，如果是雙頻的話，還可以定義1，1表示5G，然后在射頻里面調用了服務集以及射頻模板。另外AP 1里面我是手動把channel修改為6了，默認都是1，模擬器不支持自動調優 所以這里手動指定下。工作中也可以人為修改，或者自動調優都可以。

3、下發給AP

[Huawei-AC-wlan-view]commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N]y
這里提交服務給所有AP，也就是AP-1與AP-2。

4、Client關聯測試

5、訪問外網測試

可以看到各自AP提供的業務都正常，都可以正常轉發。

都有正常的NAT轉發。

6、漫游測試