避坑指南:锐捷AC+三层交换机旁挂组网,DHCP中继和Option 138配置最容易出错的几个地方
锐捷AC三层组网旁挂部署:DHCP中继与Option 138配置避坑实战
当AP指示灯持续闪烁却无法上线,或是终端设备反复显示"获取IP地址"却始终连不上Wi-Fi时,多数问题都藏在三层组网的细节里。最近在帮某连锁酒店部署锐捷无线网络时,就遇到了旁挂模式下因DHCP中继和Option 138配置不当导致的AP离线问题。经过72小时的故障排查,最终发现是交换机Trunk端口漏放管理VLAN这个低级错误所致。本文将分享三层组网中最容易踩坑的四个关键点。
1. VLAN规划:管理、业务与中继的三角关系
在锐捷AC旁挂组网中,VLAN的混乱规划是引发后续连环故障的根源。某次部署中,工程师将管理VLAN 10直接用于业务传输,导致AP管理流量与用户数据流量混叠,最终引发广播风暴。正确的VLAN架构应该遵循这三个铁律:
- 管理VLAN(如VLAN 10):专用于AC与AP间的CAPWAP控制报文
- 业务VLAN(如VLAN 20):承载终端用户的无线数据流量
- 中继VLAN(如VLAN 30):作为DHCP中继的传输通道
实际配置时常见两种致命错误:
- 在核心交换机上未创建独立的中继VLAN接口
- 将管理VLAN同时用作业务VLAN(除非特殊场景需强制隔离)
建议采用如下VLAN分配方案:
| VLAN类型 | 典型ID | 作用范围 | 必须隔离 |
|---|---|---|---|
| 管理 | 10 | AC-AP间CAPWAP隧道 | 是 |
| 业务 | 20-39 | 终端用户数据转发 | 可选 |
| 中继 | 40+ | DHCP请求转发 | 是 |
2. ip helper-address:中继链路上的暗礁
核心交换机的DHCP中继配置就像邮局的转寄服务,一旦写错地址就会导致包裹永远无法送达。最近处理的一个案例中,工程师在SW1上配置了:
interface Vlan30 ip helper-address 192.168.10.100但实际AC的管理地址是192.168.10.1,这个数字偏差直接导致全网AP离线。正确的配置要点包括:
- 必须在中继VLAN接口(非管理VLAN)下配置
- 指向地址必须是AC管理接口的真实IP
- 需要确保中继VLAN与管理VLAN间路由可达
验证命令:
show ip interface vlan30 | include helper典型故障现象:
- AP能获取到IP但无法建立CAPWAP隧道
- 交换机抓包可见DHCP Offer报文但无Request回应
3. Option 138:AP寻址的隐形地图
Option 138相当于给AP的GPS坐标,一旦坐标错误就会让AP迷失在网络海洋中。有个经典故障案例:工程师在DHCP地址池中配置了:
ip dhcp pool AP option 138 ip 192.168.10.0这个子网地址导致所有AP都尝试向网络地址发送请求。正确的配置规范是:
- 地址池必须对应中继VLAN网段
- option 138必须指向AC管理接口精确IP
- 确保与capwap ctrl-ip配置一致
完整配置示例:
ip dhcp pool AP network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 option 138 ip 192.168.10.1排查技巧:
- 在AP端执行
show dhcp lease查看实际获取的option值 - AC上使用
debug capwap packet观察隧道建立过程
4. Trunk配置:被遗忘的通行证
交换机之间的Trunk链路就像高速公路的收费站,少开一个通道就会阻断整条线路。曾有个项目因为SW2的配置遗漏了管理VLAN:
interface Gig0/1 switchport trunk allowed vlan 20,30导致所有AP流量在接入层就被丢弃。正确的Trunk配置需要:
- 接入交换机:放行业务VLAN和中继VLAN
- 核心交换机:额外放行管理VLAN
- AC直连端口:仅放行管理VLAN
关键检查点:
- 所有Trunk端口是否允许必要VLAN通过
- 是否存在native VLAN不匹配情况
- 端口模式是否误设为access
验证命令:
show interface trunk | include allowed5. 故障排查四步法
当出现AP批量离线时,建议按照以下流程快速定位:
物理层验证
- 检查AP供电状态(PoE或电源适配器)
- 确认网线连通性(尤其VLAN透传情况)
网络层诊断
ping 192.168.10.1 source vlan30 //测试AC可达性 debug ip dhcp server packet //观察DHCP交互CAPWAP状态检查
show capwap client //查看AP注册状态 show ac-controller ap-summary //检查AP在线情况流量分析
monitor session 1 destination interface Gi0/24 monitor session 1 source vlan 30 both
记得那次在数据中心部署时,通过端口镜像发现DHCP Offer报文被防火墙拦截,添加ACL规则后立即恢复了137个AP的在线状态。这种结构化排查方法平均能缩短70%的故障处理时间。