VLAN Pool

通过vlan pool把接入的用户分配到不同的vlan，减少广播域，减少网络中的广播报文，提升网络性能。

由于无线终端的移动性，在无线网络中经常有大量用户从某个区域接入后，随着用的移动，再漫游到其他区域，导致该区域的用户接入多，对IP地址数目要求大。比如：场馆入口、酒店的大堂等。目前一个SSID只能对应一个VLAN，一个VLAN对应一个子网，如果大量用户

从某一区域接入，只能扩大VLAN的子网，保证用户能够获取到IP地址。这样带来的问题就是广播域扩大，导致大量的广播报文（如ARP、DHCP等）带来严重的网络拥塞。基于此问题考虑，一个SSID需要能够对应多个VLAN，把大量用户分散到不同的VLAN减少广播域。VLAN Pool提供多个VLAN的管理和分配算法，实现SSID对应多个VLAN的方案。

分配算法

• 顺序分配算法：把用户按上线顺序依次划分到不同的VLAN中，用户上下线用户VLAN容易

变化，IP地址变更。

• HASH分配算法：根据用户MAC地址HASH值分配VLAN，用户分配的VLAN固定，可能导致

VLAN间用户划分不均匀，有的VLAN用户较多，有的较少。

配置

如图，管理vlan10，业务vlan 20 30 40，网络可达，dhcp配置，capwap隧道，wlan基础配置（vap模板里业务vlan选择绑定vlan pool）

创建vlan pool，把业务vlan 20 30 40 加入进来，分配算法这里选择顺序分配

终端连接后，查看ip，发现分别接入vlan20 30 40

AC的DHCP技术

随着网络规模的不断扩大，网络设备不断增多，企业内不同的用户可能分布在不同的网段，一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。企业内网各个网段通常都没有与DHCP Server在同一个二层广播域内，如果还需要通过DHCP服务器分配IP地址，则需要跨网段发送DHCP协议报文。

案例1

AC和AP在二层，DHCP服务器和AC不在同一网段，DHCP服务器给STA和AP分配ip地址，由于跨网段，所以在AC上配置中继

配置端口：略

AR1：

int g 0/0/1

ip ad 172.168.12.1

dhcp enable

[Huawei-GigabitEthernet0/0/1]dhcp select global

配置地址组

ip pool 10
gateway-list 10.0.10.254
network 10.0.10.0 mask 255.255.255.0

ip pool 11
gateway-list 10.0.11.254
network 10.0.11.0 mask 255.255.255.0

配置静态路由

[Huawei]ip route-static 10.0.10.0 24 172.168.12.2
[Huawei]ip route-static 10.0.11.0 24 172.168.12.2

AC：

vlan b 10 11

int vlanif 10

ip ad 10.0.10.254 24

int vlanif 11

ip ad 10.0.11.254 24

int vlanif 1

ip ad 172.168.12.2 24 (与路由器相连接口ip)

配置中继：

interface Vlanif10
ip address 10.0.10.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 172.168.12.1

interface Vlanif11
ip address 10.0.11.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 172.168.12.1

capwap source interface vlanif 10（隧道）

此时ap可以获取ip地址

WLAN配置：略

sta查看ip

可以获取ip地址

案例2

• 在AC和AP间是二层组网的情况下，也可以配置Option43，AP会根据Option43的内容先向

指定IP地址的AC发送单播请求报文，如果发送十次报文，AP都没有收到回应，则AP会继续

以广播的方式来发现同一网段的AC。所以在二层组网的情况下Option 43不是必配的参数，

但在三层组网的情况下则是必配的。

• Option 43即为Type值为43（0x2B）的Option字段，又称为厂商特定信息选项，DHCP服务

器和DHCP客户端通过Option43交换厂商特定的信息。当DHCP服务器接收到请求Option43

信息的DHCP请求报文后，将在回复报文中携带Option43，为DHCP客户端分配厂商指定的

信息（本文中特指AC的IP地址）。

拓扑

如图

AC和AP不在同一网段，S3作为relay给STA分配ip，AC2作为DHCP服务器给AP分配ip地址

配置：

配置端口：略

S3：

vlan b 20 21 100

int g 0/0/2

p l t

p t a v 100

int vlanif 100

ip add 192.168.100.3 (S3和AC之间通过vlanif100连接)

dhcp配置：

dhcp enable

interface Vlanif20
ip address 10.0.20.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.100.2

interface Vlanif21
ip address 10.0.21.254 255.255.255.0
dhcp select interface

（给sta分配选择接口地址池）

AC：

vlan 100

配置dhcp：

dhcp enable

ip pool 20
gateway-list 10.0.20.254
network 192.168.100.0 mask 255.255.255.0
option 43 sub-option 3 ascii 192.168.100.2 （设置option43字段，ac的地址）

interface Vlanif100
ip address 192.168.100.2 255.255.255.0
dhcp select global

int g 0/0/1

p l t

p t a v 100

配置静态路由：

ip route-static 10.0.20.0 24 192.168.100.3

capwap隧道：

capwap source interface vlanif 100

此时ap可以获取ip

wlan配置：略

此时sta可以获取地址

漫游

• 二层漫游：1个无线客户端在2个AP（或多个AP）之间来回切换连接无线，前提是这些AP都

绑定的是同1个SSID并且业务VLAN都在同1个VLAN内（在同一个IP地址段），漫游切换的

过程中，无线客户端的接入属性（比如无线客户端所属的业务VLAN、获取的IP地址等属性）

不会有任何变化，直接平滑过渡，在漫游的过程中不会有丢包和断线重连的现象。

• 三层漫游：漫游前后SSID的业务VLAN不同，AP所提供的业务网络为不同的三层网络，对

应不同的网关。此时，为保持漫游用户IP地址不变的特性，需要将用户流量迂回到初始接入

网段的AP，实现跨VLAN漫游。

• 网络中有时候会出现以下情况：两个业务VLAN的VLAN ID相同，但是这两个子网又属于不

同的子网。此时为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫

游，需要通过漫游域来确定设备是否在同一个子网内，只有当VLAN相同且漫游域也相同的

时候才是二层漫游，否则是三层漫游。

• 配置漫游组。

▫ 如果指定了漫游组服务器，则需要在漫游组服务器上配置漫游组。

▫ 如果没有指定漫游组服务器，则各成员AC均需配置漫游组。

实验

设备连接方式如图所示，AP1被AC1纳管，AP2被AC2纳管，所有AP都采用直接转发模式。

S4交换机二层透传AP2的管理、业务报文，S3作为AP管理流量、业务流量的网关。

S3开启DHCP服务为AP1、AP2分配管理地址、为无线终端分配业务地址，AP通过DHCP报文中的Option 43获取AC地址。

1.1.1.1 数据规划

DepartX中的X代表AC编号，即AC1上为depart1、AC2上为depart2。

S3设备配置

#

sysname S3

#

vlan batch 10 to 11 20 to 21 100 200

#

dhcp enable

#

ip pool ap1

gateway-list 10.0.10.1

network 10.0.10.0 mask 255.255.255.0

option 43 sub-option 3 ascii 10.0.100.254

#

ip pool ap2

gateway-list 10.0.20.1

network 10.0.20.0 mask 255.255.255.0

option 43 sub-option 3 ascii 10.0.200.254

#

ip pool service_a

gateway-list 10.0.11.1

network 10.0.11.0 mask 255.255.255.0

dns-list 10.0.11.1

#

ip pool service_b

gateway-list 10.0.21.1

network 10.0.21.0 mask 255.255.255.0

dns-list 10.0.21.1

#

interface Vlanif10

description ap1_mgnt

ip address 10.0.10.1 255.255.255.0

dhcp select global

#

interface Vlanif11

description ap1_service

ip address 10.0.11.1 255.255.255.0

dhcp select global

#

interface Vlanif20

description ap2_mgnt

ip address 10.0.20.1 255.255.255.0

dhcp select global

#

interface Vlanif21

description ap2_service

ip address 10.0.21.1 255.255.255.0

dhcp select global

#

interface Vlanif100

description to_AC1

ip address 10.0.100.1 255.255.255.0

#

interface Vlanif200

description to_AC2

ip address 10.0.200.1 255.255.255.0

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 100

#

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 200

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 20 to 21

#

interface GigabitEthernet0/0/4

port link-type trunk

port trunk pvid vlan 10

port trunk allow-pass vlan 10 to 11

#

return

S4设备配置

#

sysname S4

#

vlan batch 20 to 21

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 20 to 21

#

interface GigabitEthernet0/0/4

port link-type trunk

port trunk pvid vlan 20

port trunk allow-pass vlan 20 to 21

#

return

AC1设备配置

#

sysname AC1

#

vlan batch 100

#

interface Vlanif100

description to_S3_CAPWAP

ip address 10.0.100.254 255.255.255.0

#

interface GigabitEthernet0/0/12

port link-type trunk

port trunk allow-pass vlan 100

#

ip route-static 10.0.10.0 255.255.255.0 10.0.100.1

ip route-static 10.0.200.0 255.255.255.0 10.0.100.1

#

capwap source interface vlanif100

#

wlan

security-profile name depart1

security wpa2 psk pass-phrase huawei123 aes

aes

ssid-profile name depart1

ssid roam

vap-profile name depart1

service-vlan vlan-id 11

ssid-profile depart1

security-profile depart1

regulatory-domain-profile name default

mobility-group name mobility（漫游组名称必须一致）

member ip-address 10.0.100.254

member ip-address 10.0.200.254

ap-group name depart1

radio 0

vap-profile depart1 wlan 1

radio 1

vap-profile depart1 wlan 1

radio 2

vap-profile depart1 wlan 1

ap-id 0 type-id 56 ap-mac 00e0-fc6e-2890 ap-sn 210235448310F30CF56D

ap-name ap1

ap-group depart1

provision-ap

#

return

AC2设备配置

#

sysname AC2

#

vlan batch 200

#

interface Vlanif200

description to_S3_CAPWAP

ip address 10.0.200.254 255.255.255.0

#

interface GigabitEthernet0/0/13

port link-type trunk

port trunk allow-pass vlan 200

#

ip route-static 10.0.20.0 255.255.255.0 10.0.200.1

ip route-static 10.0.100.0 255.255.255.0 10.0.200.1

#

capwap source interface vlanif200

#

wlan

security-profile name depart2

security wpa-wpa2 psk pass-phrase huawei123 aes

ssid-profile name default

ssid-profile name depart2

ssid roam

vap-profile name depart2

service-vlan vlan-id 21

ssid-profile depart2

security-profile depart2

regulatory-domain-profile name default

mobility-group name mobility

member ip-address 10.0.100.254

member ip-address 10.0.200.254

ap-group name depart2

radio 0

vap-profile depart2 wlan 1

radio 1

vap-profile depart2 wlan 1

radio 2

vap-profile depart2 wlan 1

ap-id 0 type-id 56 ap-mac 00e0-fcde-1990 ap-sn 210235448310FA145341

ap-name ap2

ap-group depart2

provision-ap

#

Return

漫游注意事项

• 实现WLAN漫游的两个AP必须使用相同的SSID和安全模板（安全模板名称可以不同，但是安全模板下的配置必须相同），认证模板的认证方式和认证参数也要配置相同。

• 漫游组内最多可以添加16个AC成员，AC一次只能加入到一个漫游组中，不可以同时加入多个漫游组。在高密等可能频繁发生AC间漫游的场景中，如果漫游组成员数过多，可能导致频繁出现漫游失败。对于此类场景，建议调整组网规划，使漫游组中存在4个以内成员AC。

• 同一漫游组内的AC必须使用相同的软件C版本，否则可能会导致AC间漫游失败。

• AC间漫游建议采用规格相近的AC。不同型号AC的用户接入能力相差较大，当大规格AC的接入用户大量向小规格AC漫游时，超出小规格AC接入能力的部分用户会漫游失败。

• 配置漫游组时，需确保AC已配置CAPWAP源地址，否则漫游组不生效。

• AC间漫游与双链路热备功能互斥。

• AGV漫游功能与空口扫描功能互斥。开启AGV功能后，AP上的对应射频将不支持空口扫描功能，依赖于扫描的业务如智能漫游、频谱导航、负载均衡等均不可用。

• AC间漫游组名称必须一致。

• WLAN AC和交换机之间不支持AC间漫游。

• 802.11r功能支持的安全策略包括开放式系统认证、WPA2+PSK+AES、WPA2+PPSK+AES和WPA2+802.1X+AES。

• 802.11r功能与PMF功能互斥，即如果已配置了802.11r功能，不能再配置PMF功能。

• 802.11r使用802.1X认证时，如果开启了802.1X重认证功能，部分终端可能因兼容性问题，在重认证阶段掉线后重新上线。

• 部分终端可能与802.11r漫游功能存在兼容性问题，导致漫游失败。不建议开启802.11r漫游功能。

• 如果两个AC上的PPSK配置保持一致，则PPSK用户支持AC间802.11r快速漫游；如果两个AC上的PPSK配置不一致，则PPSK用户不支持AC间802.11r快速漫游。

• 相同或不同漫游组成员（含漫游组服务器）的IP版本必须保持一致。如果配置了Navi AC，则漫游组成员与Navi AC成员（Navi AC和Local AC）的IP版本也必须保持一致。

相同的SSID。

相同的VAP模板，且VAP ID必须相同。

相同的安全策略。

高可靠性技术

• 热备份是指，当两台设备在确定主用（Master）设备和备用（Backup）设备后，由主用设

备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信

息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行。

• VRRP双机热备份

▫ 主备AC两个独立的IP地址，通过VRRP对外虚拟为同一个IP地址，单个AP和虚拟IP建

立一条CAPWAP链路。

▫ 主AC备份AP信息、STA信息和CAPWAP链路信息，并通过HSB主备服务将信息同步给

备AC。主AC故障后，备AC直接接替工作。

• 双链路热备份

▫ 单个AP分别和主备AC建立CAPWAP链路，一条主链路，一条备链路。

▫ 主AC仅备份STA信息，并通过HSB主备服务将信息同步给备AC。主AC故障后，AP切

换到备链路上，备AC接替工作。

• 双链路冷备份

▫ 单个AP分别和主备AC建立CAPWAP链路，一条主链路，一条备链路。

▫ AC不备份同步信息。主AC故障后，AP切换到备链路上，备AC接替工作。

• N+1备份

▫ 单个AP只和一个AC建立CAPWAP链路。

▫ AC不备份同步信息。主AC故障后，AP重新与备AC建链CAPWAP链路，备AC接替工

作。

VRRP双机热备

AC目前支持VRRP单实例整机热备，不支持负载均衡。

基于VRRP 的双机热备，热备相关的业务都注册到同一个HSB备份组，HSB备份组内部绑定

HSB服务，同时HSB备份组与一个VRRP实例绑定，从而业务通过HSB备份组获知当前用户

的主备状态、以及主备切换等事件，并通过HSB组的接口进行备份数据的接收和发送。

HSB业务实时备份：

▫ 用户数据信息备份

▫ CAPWAP隧道信息备份

▫ AP表项备份

▫ DHCP地址信息备份

配置：

配置案例

AC2配置与AC1相同，此处不再赘述。

capwap隧道使用virtual-ip，capwap source ip-address 10.0.10.X

双链路双机热备

该方案除了支持主备备份之外，还支持负载分担模式。负载分担模式下可以指定一部分AP

的主AC为AC1，与其建立CAPWAP主链路，一部分AP的主AC为AC2，与其建立CAPWAP主

链路。

• 建立主链路时，除了Discovery阶段要优选出主AC，其他过程跟正常情况下的CAPWAP隧道

建立过程一致。

• 在Discovery阶段，使能双链路备份功能后，AP开始发送Discovery Request报文，分为单播

方式和广播方式：

▫ 如果预先通过静态方式、DHCP服务器方式或DNS方式指定了主备AC的IP地址，AP向

AC发送单播Discovery Request报文请求与主备AC关联。

▫ 如果没有配置AC的静态IP地址或者单播没有回应时，AP将发送广播Discovery

Request报文请求同网段内可关联的AC。

• 不管是单播发现还是广播发现，如果主备AC都正常，都会回应Discovery Response报文，

并在该报文中携带双链路特性开关、优先级、负载情况以及IP地址。

• AP收集到主备AC回应的Discovery Response报文后，根据AC的优先级、设备的负载情况以

及AC IP地址来选择主AC并开始与其建立CAPWAP主链路，优选顺序如下：

▫ 比较AC的优先级，优先级值小的为主AC，默认优先级为0，最大值为7，优先级取值

越小，优先级越高。；

▫ 优先级相同情况下，比较AC设备的负载情况，即AP个数和STA个数，负载轻的为主

AC。优先选择当前可接入AP数大的AC为主AC，如果当前可接入AP数相同，则选择当

前可接入STA数大的AC为主AC；

▫ 负载相同情况下，比较IP地址，IP地址小的为主AC。

• 说明：当前可接入AP数=可接入的最大AP数-当前已接入的AP数，当前可接入STA数=可接

入的最大STA数-当前已接入的STA数

N+1备份