随着网络的日益复杂和数据安全威胁的不断增加,路由协议的安全性成为确保网络稳定性和数据保密性的关键因素之一。在一个使用OSPF(Open Shortest Path First)协议传递路由的内部网络中,确保路由信息的安全性至关重要,以防止恶意注入非法路由,改变数据流向,导致敏感信息泄露或网络功能异常。
思科认证 | 华为认证 | IT技术 | 网络工程师
3000人技术交流QQ群 备注【官网】更快通过
1.如果查询不到失败原因,则需要检查STA是否获取到正确的IP地址。
执行命令display ip pool { interface interface-pool-name | name ip-pool-name } used,查看已分配的IP地址情况,通过MAC地址对比看STA是否已经获取到IP地址。
2.检查Service VLAN是否创建且配置正确,并注意业务VLAN不要和管理VLAN相同。
业务数据直接转发模式下:
检查AP和STA网关之间的设备是否创建业务VLAN并配置允许业务VLAN通过,若没有, 会导致转发业务VLAN的报文失败。
业务数据隧道转发模式下:
为STA分配地址的DHCP服务器不是AC时,检查AC上是否创建业务VLAN并配置允许 业务VLAN通过,若没有,会导致转发业务VLAN的报文失败。
建议管理VLAN和业务VLAN分别使用不同的VLAN。只有业务数据直接转发模式下,AP上配置了management-vlan,接入交换机连接AP的接口不将PVID配置成管理VLAN的场景下,才允许管理VLAN和业务VLAN相同,其他场景下管理VLAN和业务VLAN相同会导致STA无法获取IP地址。
V200R005版本操作:
a.执行命令display service-set id service-set-id查看Service VLAN的配置值。
b.如果Service VLAN未配置正确,请参考以下命令配置,配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。
V200R006及之后版本操作:
a.执行命令display vap-profile name profile-name查看Service VLAN的配置值。
b.如果Service VLAN未配置正确,请参考以下命令配置,配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。
3.如果Service VLAN为VLAN Pool,检查VLAN Pool相关的配置。只有V200R006及之后版本支持此步骤。
a.查看VLAN Pool中的VLAN是否全部创建。
执行命令display vlan pool name pool-name查看VLAN Pool中包含的VLAN。
b.执行命令display vlan查看当前设备已经创建的VLAN。
c.请参考以下命令创建VLAN Pool中的所有VLAN ID,配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。
d.检查中间网络设备上需要放通业务VLAN的接口是否已经放通了VLAN Pool中的所有VLAN。以交换机为例:
配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。
4.检查DHCP相关配置。
a.检查接入交换机是否配置了DHCP Snooping
无线用户流动性大,用户离线通常不会发送DHCP Release报文释放IP地址,导致DHCP Snooping绑定表经常满规格,新用户无法获取IP地址。
AP已默认开启针对无线用户的DHCP snooping功能,建议接入交换机上删除DHCP Snooping配置。如果接入交换机上连接了有线终端,确实需要开启DHCP Snooping功能,建议在连接AP的端口上执行dhcp snooping enable no-user-binding命令,使该端口下挂的用户不生成DHCP Snooping绑定表。
b.检查是否关闭了AP上行口DHCP信任功能,缺省情况下该功能是打开的。
V200R005版本操作:
执行命令display ap-profile id profile-id查看是否关闭了AP上行口的DHCP信任功能。
执行命令dhcp trust port打开AP上行口的DHCP端口信任功能。然后请重新关联STA,查看STA是否可以获取到IP地址。
V200R006及之后版本操作:
执行命令display wired-port-profile name profile-name查看是否关闭了AP上行口的DHCP信任功能。
执行命令dhcp trust port打开AP上行口的DHCP端口信任功能。然后请重新关联STA,查看STA是否可以获取到IP地址。
c.检查DHCP服务器配置是否正确,如果配置正确请执行下一步。
DHCP配置可以参考以下三种情况:
如果STA和DHCP服务器同网段时可以使用接口地址池,请参考以下配置检查,使用VLANIF100作为接口地址池。
如果STA和DHCP服务器同网段时可以使用全局地址池,请参考以下配置检查,使用全局地址池pool1,并绑定在接口VLANIF100上。
如果STA和DHCP服务器不同网段时必须使用全局地址池,且必须在中继设备上配置DHCP中继,请参考以下配置检查。
DHCP服务器上的配置:
中继设备上的配置(此处假设是交换机):
[Switch] interface vlanif 200
[Switch-Vlanif200] ip address 10.23.200.1 24
[Switch-Vlanif200] dhcp select relay //该命令使能设备DHCP中继功能,如果缺少需添加。
[Switch-Vlanif200] dhcp relay server-ip 10.23.100.1 //该命令指定DHCP服务器的地址,若未指定或指定错误的DHCP服务器地址,DHCP请求报文无法被转发给DHCP服务器,会导致STA无法获取到IP地址。
[Switch-Vlanif200] quit
d.检查DHCP地址池是否还有空闲地址。
执行命令display ip pool命令,查看地址池中是否有可用的IP地址。
如果“Idle(Expired)”为“0(0)”,说明服务器没有可用地址。可以在IP地址池视图下执行命令network ip-address [ mask { mask | mask-length } ],扩充地址池的IP地址范围。也可以在IP地址池视图下执行命令lease { day day [ hour hour [ minute minute ] ] | unlimited },或在接口地址池下执行命令dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited },缩短地址租期。
执行lease和dhcp server lease命令后仅对新上线的用户生效,已经在线的用户需要重新上线或者续租成功后才使用新租期,否则继续使用老租期。
地址池释放出空闲地址后请重新关联STA,查看STA是否可以获取到IP地址。
e.查看DHCP服务器重启记录,并检查地址池是否被清除过
执行命令display reset-reason,查看DHCP服务器是否重启过。
执行命令display history-command,查看地址池是否被清空过。
如果服务器有重启记录或地址池信息被清除过,则地址池中客户端信息可能丢失,导致客户端采用DHCP两步上线时服务器无响应。这种情况下,可以先为客户端设置任意固定IP,再设置客户端使用DHCP方式获取IP,触发客户端采用DHCP四步上线。
5.检查STA与DHCP服务器之间链路是否正常。
a.检查STA网关能否学习到STA的MAC表
在STA网关上执行命令display mac-address mac-address ,查看MAC地址是mac-address的STA地址表项信息。
若查询结果中有表项,说明网关能够学习到STA的MAC表,STA和网关之间链路正常。若网络中存在DHCP中继,继续进行5.b;若网络中不存在DHCP中继,继续检查WLAN、DHCP配置是否正确。
若查询结果中无表项,说明网关不能学习到STA的MAC表,STA和网关之间链路不通。
b.检查DHCP中继到DHCP服务器之间链路是否正常
在DHCP中继设备上,使用中继IP作为源地址,Ping测试DHCP服务器。
若能够Ping通,说明DHCP中继与DHCP服务器之间路由可达,继续检查WLAN、DHCP配置是否正确。
若Ping不通,说明服务器与中继之间路由不可达,需要检查并添加服务器与中继之间的路由。
6.如果上述原因都已经检查并作出对应处理STA仍然获取不到地址,请联系技术支持人员寻求技术支持。
版权声明:倡导尊重与保护知识产权。未经许可,任何人不得复制、转载、或以其他方式使用本站《原创》内容,违者将追究其法律责任。本站文章内容,部分图片来源于网络,如有侵权,请联系我们修改或者删除处理。
官方公众号
商务合作
