无线大二层问题

可以解决。优化业务VLAN

先定位为什么断网，再考虑解决方案

可能是二层网路较大，下面终端的arp请求过多，导致交换机中间arp超限速丢包或者网关受到该网段arp请求过多导致压力较大，回复慢，从而导致终端侧偶发探测不到网关arp导致出现断网，可以通过以下方法：

1. 在AC上ap-group视角下配置rrop ul-arp这类arp抑制命令；

2. 在AC上arp-group视角下配置AP的rrop arp-proxy代答功能；

3. 配置基于vlan的二层隔离并放通网关mac地址，交换机下行口配置端口隔离。

开启二层隔离试试看，看看是不是广播组播太多导致

1. 广播风暴与终端性能瓶颈（最核心原因）

• 现象解释：绝大多数智能手机的无线网卡性能有限，无法处理如此庞大的广播流量，导致丢包、断网或无法获取 IP。
• 解决建议：无线局域网规划中，强烈建议单个 VLAN（或单个 AP 组）的终端数量控制在 100~250 个以内。如果业务确实需要这么多终端，必须通过划分多个 VLAN 来隔离广播域。

2. DHCP 地址池耗尽与租期过长

• 解决建议：
  • 缩短 DHCP 租期：将租期修改为 30 分钟或更短，加快 IP 回收。
  • 扩大地址池：如果必须使用单网段，可以将掩码进一步缩小至 21 位（约 2000 个 IP），但需评估网关设备的性能。

3. 终端“随机 MAC”与用户隔离策略冲突

• 解决建议：在 AC 的无线服务模板中，尝试关闭用户隔离功能（undo user-isolate）进行测试。

4. 网关 ARP 代理或路由掩码不匹配

 除了 VLAN-GROUP，还有哪些解决办法？

无线大二层 / 22 位掩码手机断网完整根因 + 除 VLAN-GROUP 外全套解决方案
一、先讲核心故障根源（为什么 / 22 断网、/24 正常）
你的场景是单 VLAN 大二层无线集中转发 / 本地转发，掩码 / 22（255.255.254.0，512 个 IP）会出现手机使用中断，/24（256IP）稳定，本质 4 个底层限制：
ARP 广播风暴 + 空口转发瓶颈
/22 网段终端容量翻倍，手机频繁发免费 ARP、网关 ARP 请求、mDNS / 蓝牙广播；广播报文在无线空口以最低速率全 AP 泛洪，空口带宽被占满，业务报文丢弃、手机断流。
/24 网段广播总量减半，空口压力小，不会触发丢包断网。
AC/AP 内置 ARP 泛洪抑制、CPCAR 限速误伤正常终端
AC、AP、上联交换机默认开启 ARP 源抑制、广播报文限速；/22 下 ARP 请求并发量超标，设备误将手机正常 ARP 报文限流丢弃，手机无法解析网关 MAC，表现为 “能连上 WiFi 但几分钟断网”。
手机终端路由表逻辑缺陷（移动端特有）
安卓 / 苹果手机对大掩码（/22、/21）二层广播域适配差：终端判定同网段所有 IP 均需 ARP 查询，持续高频广播；而 / 24 网段广播范围小，手机 ARP 请求频率大幅降低。
集中转发 CAPWAP 隧道缓存超限
单 VLAN 500 + 终端时，AC CAPWAP 隧道 ARP / 广播报文缓存溢出，报文丢包；/24 终端上限 254，缓存负载可控无丢包。
你已升级 AC 到最新版本，排除固件 BUG，无需再升级；下面全部是不使用 VLAN-GROUP的替代方案，分「临时优化、架构改造、转发模式变更」三类。
二、方案 1：全网 ARP / 广播专项优化（无需改网段，最简落地，优先实施）
核心思路：抑制无效广播、放开 ARP 限速、AP 代答 ARP 减少泛洪，适配 / 22 大网段
1）上联交换机全局放开 ARP 限速、调大广播抑制阈值
plaintext
# 关闭严苛ARP源抑制，或放大阈值
undo arp source-suppression enable
# 若必须开启抑制，调大每5秒ARP上限
arp source-suppression limit 300
# 调大接口广播抑制带宽（单位kbps，千兆口建议20000）
interface GigabitEthernet 1/0/X
broadcast-suppression bandwidth 20000
multicast-suppression bandwidth 20000

2）AC 侧 WLAN 全局开启 ARP 代答（关键，大幅减少全网 ARP 广播）
无线服务模板下配置，AP 主动代答网关 ARP，终端无需全网广播查询网关：
plaintext
system-view
wlan service-template wifi-ssid
arp proxy enable
arp send-gratuitous-arp interval 300

3）AP 系统模板放开 CPU ARP 报文 CPCAR 限速（本地转发必配）
手机 ARP 报文会被 AP 本地 CPU 限速，大网段极易触发丢包：
plaintext
# 创建CPU策略，放行ARP请求
cpu-defend policy WLAN_ARP_PERMIT
permit arp-request
# 绑定到AP系统模板
wlan ap system template WLAN_OPT
cpu-defend policy WLAN_ARP_PERMIT
ap-group default
ap system template WLAN_OPT

4）关闭无线空口无效广播转发（mDNS / 蓝牙抑制）
plaintext
wlan global-configuration
# 抑制苹果Bonjour、安卓mDNS广播，大幅降低空口负载
mdns suppress enable
# 抑制无线终端蓝牙广播报文
bluetooth-suppress enable
# 广播报文转单播下发终端，减少空口泛洪
broadcast-to-unicast enable

5）DHCP 优化（减少 IP 续约广播）
/22 网段 DHCP 租期延长，降低终端频繁续约产生的广播：
plaintext
dhcp server ip-pool wifi-pool
lease day 8 hour 0 minute 0

三、方案 2：切换 AP 本地转发（彻底减轻 AC CAPWAP 隧道压力，推荐大规模场景）
原理
集中转发所有 ARP / 业务报文封装 CAPWAP 到 AC，大网段隧道拥塞；本地转发后二层 ARP、广播报文仅在 AP 本地交换机转发，不经过 AC 隧道，AC 只处理 CAPWAP 控制报文，完美解决 / 22 大网段隧道缓存溢出丢包。
完整配置（服务模板本地转发）
plaintext
wlan service-template wifi-ssid
local-forward enable
# 本地转发必须开启ARP代答
arp proxy enable
# 绑定无线VLAN
vlan 100

配套要求
上联 PoE 交换机透传无线业务 VLAN，无需三层网关下放 AC，网关部署在核心交换机 VLANIF 接口。
四、方案 3：MFF 网关代理（单 VLAN 大二层，不分 VLAN，替代 VLAN-GROUP）
MFF（MAC-Forced Forwarding）强制终端所有跨网段流量转发至网关，大幅减少内网横向 ARP 广播，单 VLAN 即可实现广播隔离，不需要拆分多个 VLAN（不用 VLAN-GROUP）。
部署位置：核心三层交换机（无线业务 VLANIF 接口）
plaintext
system-view
vlan 100
# 开启VLAN内MFF
mac-forced-forwarding enable
# 指定无线网关IP，所有终端ARP跨网段直接转发网关，不全网广播
mac-forced-forwarding gateway 192.168.0.1
# 开启MFF自动学习ARP
mac-forced-forwarding auto-learn enable

优势对比 VLAN-GROUP
无需划分多个无线 VLAN、不用 AC 下发多 VLAN、DHCP 无需多地址池；
同一 SSID、同一网段 / 22，终端漫游无感知，彻底压缩内网 ARP 广播范围。
五、方案 4：三层终结网关 + 大网段路由（彻底规避二层广播风暴，架构最优）
原理
放弃纯大二层，在核心交换机做三层 VLANIF 网关，无线终端流量三层转发，跨 IP 段走路由，不再二层泛洪 ARP；单 VLAN/22 网段三层终结，广播仅局限单 VLAN，不会全网扩散。
核心配置（核心交换机）
plaintext
vlan 100
interface Vlan-interface 100
ip address 192.168.0.1 255.255.254.0
# 开启本地ARP代理，同网段跨AP流量三层转发，抑制二层广播
proxy-arp inter-vlan enable

适用场景
终端数量 300+、无法拆分 VLAN、不想用 VLAN-GROUP，从架构层面根除大掩码广播过载问题。
六、方案 5：无线用户隔离 + 端口隔离（快速限制横向广播）
1）AP 无线用户隔离（空口终端互访隔离）
plaintext
wlan service-template wifi-ssid
user-isolation enable

开启后，无线终端之间无法二层互访，彻底消除终端之间互相发送 ARP 扫描、mDNS 广播。
2）上联交换机端口隔离
所有 PoE 交换机上行口配置端口隔离，不同 AP 下终端二层隔离，ARP 广播仅在单 AP 端口转发，不扩散全网：
plaintext
interface GigabitEthernet 1/0/1
port-isolate enable group 1

七、落地实施优先级（按改造工作量从小到大）
优先实施：方案 1（ARP / 广播全套优化）
仅修改 AC、交换机命令，不改组网、不分网段，当天即可验证手机断网是否恢复；
次选：方案 5（用户隔离 + 端口隔离）
配合方案 1 同时配置，双重抑制横向广播；
中等改造：方案 2（本地转发）
适合终端 200 + 集中转发拥堵场景，改动少量服务模板；
架构改造：方案 3（MFF）
单 VLAN 实现广播隔离，替代 VLAN-GROUP，无需多 VLAN 规划；
长期最优：方案 4（三层网关 + 代理 ARP）
彻底摆脱大二层广播缺陷，适合未来扩容至 500 + 终端。
八、验证判断命令（优化后确认广播量下降）
plaintext
# 1. 查看上联接口广播报文速率
display interface GigabitEthernet 1/0/X
# 2. 查看AC CAPWAP隧道丢包（集中转发场景）
display capwap statistics
# 3. 查看ARP抑制命中条数，正常优化后hit计数不再暴涨
display arp source-suppression cache
# 4. 查看AP空口广播报文统计
display wlan statistics ap all radio

九、避坑关键点
不要同时开多层 ARP 抑制，会叠加误伤正常手机报文；
本地转发场景必须同步放开 AP 侧 CPU ARP 限速，否则依旧断网；
MFF 功能仅在核心三层交换机生效，AC 上配置无效；
手机断网是广播泛洪导致 ARP 失效，不是 WiFi 信号 / 漫游问题，调整信道功率无法根治。