交换机S12708WLAN终端上线失败

发布时间:  2015-05-09 浏览次数:  410 下载次数:  3
问题描述

S12708使用随板AC功能,AP与AC之间采用直接转发,对下端AP进行统一控制。当用户移动位置(切换AP后),手机或电脑无线断开,一直处于连接中,无法正常上网。如需正常上线,需手动关闭终端无线,过几秒后重新连接,方可正常使用。大致拓扑如下:

 

处理过程

1、查看12708AP配置是否错误,是否存在缺失。检查后发现配置信息完整,无异常。
2、检查交换机配置是否完整,是否正常透传VLAN。发现交换机业务VLAN,AP管理VLAN透传正常。
3、通过用户宽带接入设备(ME60)查看该用户上线情况(portal登录的情况),发现用户自动断开后重新连接过程未产生对应的认证过程,无认证失败或下线失败信息。(信息见附件),判断是用户报文无法通过交换机到达ME60。                                    

根因
1、于12708查看AP下用户漫游情况,发现AP切换后,对应的服务VLAN会随客户一起漫游至新的AP,从而使用户VLAN保持不变,由于接入交换机只是透传对应一个VLAN(例如用户处于VLAN3501,漫游后位于VLAN3502交换机),所以漫游后用户被阻止。
解决方案

1、查看接入交换机端口,只透传单一VLAN(主要是为了防止广播域)。为解决移动后用户无法正常连接问题,将S12708漫游模式变更为二层漫游(默认使用三层漫游)。
layer3-roam disable 关闭用户三层漫游。

2、后期考虑用户体验情况,由于关闭三层漫游后,用户切换AP都需要于ME60进行重新登录认证,所以将接入交换机透传所以AP的服务VLAN,同时使能端口隔离,用户隔离,防止广播域。打开三层漫游功能后,由于已经透传了漫游前的VLAN,用户切换AP不会需要重新认证,全网可漫游。用户切换AP后无法上网问题解决。

user-isolate   用户隔离(服务集模版下配置)

port-isolate enable group 1   端口隔离(端口下配置)

如需用户三层互访,需在网关下打开ARP代理功能。

arp-proxy enable
arp-proxy inner-sub-vlan-proxy enable

建议与总结
用户漫游情况需根据现网情况而定,如无需跨VLAN漫游,可关闭三层漫游功能。如需使用三层漫游,需进行对应安全防护,防止广播域过大等问题对网络造成影响。

END