在企业无线部署中,AC(无线控制器)作为“大脑”,一旦掉线就容易让人慌神——尤其是开启本地转发模式时,已连用户会不会断网?新用户能不能接入?很多运维同学都会混淆通用场景与本地转发的特殊逻辑,今天就一次性讲透,帮你快速排障、理清真相。
先明确核心前提:企业WLAN的数据流分为两类,控制流(AP上线、用户认证、漫游等)和业务流(上网、内网访问等)。本地转发模式的核心优势,就是业务流不经过AC,直接在AP本地完成无线与有线帧的转换,再通过汇聚交换机转发,这也是AC掉线后不影响已连用户的关键。
一、已连接用户:全程稳定上网,无感知不受影响
这是本地转发模式最核心的优势——只要用户已经完成认证、正常上网,AC掉线后几乎不会受到任何影响,业务访问、网速、延迟都和之前一致。
原理很简单:终端与AP完成关联认证后,单播、组播密钥会缓存到AP的硬件或芯片中,无需实时与AC交互;而本地转发的业务流本身就不经过AC,只要AP供电正常、上联交换机和网关无故障,已建立的TCP/UDP会话就能持续连通,内网访问、外网冲浪都不受干扰。
很多人会疑惑“会不会断开或性能下降”,其实这是通用场景(包含集中转发)的保守表述。在企业级标准部署中,默认本地转发+普通PSK/802.1X认证,已连用户掉线的概率极低,仅存在三种特殊例外:
- 配置了定时重认证、周期性密钥重协商,且强依赖AC在线,超时后会触发认证失败强制下线;
- 开启了AC侧动态带宽调度、实时ACL校验等增强特性,且厂商实现需AC持续在线;
- 老旧AP固件或低端设备存在缓存缺陷,CAPWAP断连后主动清空用户表项。
二、新用户/重连用户:彻底无法接入,认证环节卡壳
和已连用户的“无感知”相反,AC掉线后,新用户、断开后重新连接的用户,会完全无法接入网络,即便输入正确密码也会提示认证失败或无法加入。
核心原因在于,无线接入的“准入决策权”完全在AC身上。新用户接入的完整流
