因为公司的wifi段，未做隔离，无意间上了网，发现能访问内网网段，这里内网是10、20段，管理网段是100段，于是做了和内网的vlan隔离。

        拓朴如下，所有vlan的网关都起在核心上，所有交换机通过trunk连接。这里vlan80是wifi段，要把这个段和内网的其它段隔离开，不让它访问：

        在锐捷核心上做ACL，启用dhcp，排除不分配IP段，然后应用到vlan段下面：

!
ip access-list extended wifi80
 10 deny ip 172.16.80.0 0.0.0.255 172.16.10.0 0.0.0.255 
 20 deny ip 172.16.80.0 0.0.0.255 172.16.20.0 0.0.0.255 
 30 deny ip 172.16.80.0 0.0.0.255 100.1.1.0 0.0.0.255
 40 permit ip 172.16.80.0 0.0.0.255 any 
！
service dhcp
ip dhcp excluded-address 172.16.80.240 172.16.80.254
!
ip dhcp pool VLAN80-wifi
 lease 3 0 0 
 network 172.16.80.0 255.255.255.0
 dns-server 114.114.114.114 8.8.8.8 
 default-router 172.16.80.1 
!
interface VLAN 80
 ip access-group wifi80 in 
 ip address 172.16.80.1 255.255.255.0
!

        启用后，发现交换机S1上面 下挂的AC能上网，并且无法访问内网网段，说明核心上 对80段的ACL策略成功应用，但是S3上接入了一个胖AP，客户端无法从这个AP获取IP，于是取消80段的ACL策略，客户端又可正常获取IP。

        然后检查下配置，猜想可能的原因是：S1是直接trunk到核心上的，走的二层。S3和S2通信，可能是通过各自的vlan100的管理地址通信的，走的三层默认路由，vlan80段的IP到了核心的网关上，但因为无法和管理段通信，所以无法回来了，就出现了无法获取IP地址的现象。（但是回头想想，S2和 核心也是通过trunk连接呀，难道S3和S2根本也都是通过trunk通信吗？又想不通了）

        然后在S3上增加了一条默认路由，让它走vlan80段网关172.16.80.1，然后测试，发现有的手机能获取到IP，但很慢，有的干脆无法获取IP，电脑端也获取到的是169网段的IP。

        接着把另外一条默认路由删掉，外甥打灯笼，照旧。。。

        想不出原因在哪里，后来看到vlan80段有个策略路由，看了没什么用，于是删掉，故障依旧。

        回头把AP重启下再试试，因为S3是POE交换机，给AP供电，无法换插到S2上，所以也无法验证是否这个原因。