5700LIv200r003MAC认证动态下发VLAN部分不成功

发布时间:  2014-12-08 浏览次数:  255 下载次数:  0
问题描述
客户办公区使用华为s5700交换机作为接入设备,每个端口启用了MAC地址认证。此认证方式是先在ACS服务器登记设备的MAC地址,和MAC地址所对应的VLAN,当PC终端设备接入后,交换机会将MAC地址发给ACS服务器,ACS返回认证通过且返回一个VLAN,同时通过DHCP自动获取IP,这样这个端口就可以正常通讯了。
现在问题是办公区部分PC终端设备MAC认证通过后,已经获得了IP地址,但是PC无法PING通网关,无法上网。
拓扑图:PC----S5700--------------交换机-----飞塔防火墙(网关)
处理过程
1.接口状态正常,mac认证通过
<50019_HQ_AS_07>dis mac-authen int g0/0/37

GigabitEthernet0/0/37 state: UP.  MAC address authentication is enabled
  Reauthentication is enabled
  Reauthen Period: 1800s
  Maximum users: 256
  Current users: 1      
  Authentication Success: 6944, Failure: 0
  Guest VLAN is disabled
  Critical VLAN is disabled

Online user(s) info:
UserId   MAC/VLAN            AccessTime              UserName
------------------------------------------------------------------------------
940      7446-a0a8-4b3f/405  2014/10/08 12:17:59     7446-a0a8-4b3f          
------------------------------------------------------------------------------
Total 1,1 printed

[50019_HQ_AS_07]dis int g0/0/37
GigabitEthernet0/0/37 current state : UP
Line protocol current state : UP
Description:Conn-A1163->19FD191
Switch Port, PVID :    1, TPID : 8100(Hex), The Maximum Frame Length is 9216
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is f84a-bf57-a97b
Current system time: 2014-10-08 12:22:21+08:00
Port Mode: COMMON COPPER
Speed : 1000,   Loopback: NONE
Duplex: FULL,   Negotiation: ENABLE
Mdi   : AUTO,   Flow-control: DISABLE
Last 300 seconds input rate 2928 bits/sec, 3 packets/sec
Last 300 seconds output rate 30008 bits/sec, 11 packets/sec
Input peak rate 296690960 bits/sec, Record time: 2014-09-11 15:10:10
Output peak rate 807487928 bits/sec, Record time: 2014-07-07 09:41:33

Input:  38700351 packets, 8016104706 bytes
  Unicast:                   37981919,  Multicast:                      535311
  Broadcast:                   183121,  Jumbo:                               0
  Discard:                          0,  Pause:                               0

  Total Error:                      0
  CRC:                              0,  Giants:                              0
  Jabbers:                          0,  Fragments:                           0
  Runts:                            0,  DropEvents:                          0
  Alignments:                       0,  Symbols:                             0
  Ignoreds:                         0,  Frames:                              0

Output:  135915270 packets, 88202033298 bytes
  Unicast:                   66208511,  Multicast:                    34845401
  Broadcast:                 34861358,  Jumbo:                               0
  Discard:                          0,  Pause:                               0

  Total Error:                      0
  Collisions:                       0,  ExcessiveCollisions:                 0
  Late Collisions:                  0,  Deferreds:                           0
  Buffers Purged:                   0

    Input bandwidth utilization threshold : 90.00%
    Output bandwidth utilization threshold: 90.00%
    Input bandwidth utilization  :    0%
    Output bandwidth utilization :    0%
2.将该接口取消mac认证 改为静态vlan通信正常
interface GigabitEthernet0/0/37
port link-type access
port default vlan 405
3.发现问题主要现象为ping不通网关,其原因为学不到arp。于是在交换机上做了镜像口抓包。
先做了正常电脑的镜像抓包,将连接PC的接口g0/0/27流量镜像到观测口g0/0/46并用笔记本抓包在下联口g0/0/27的in方向可以收到PC发出的arp request包 10.18.85.24解析网关10.18.85.252的mac

在下联口g0/0/27的out方向可以收到交换机回复的arp reply包 解析到了网关mac

最后做了问题PC的镜像抓包 接口是g0/0/37,发现在入方向可以收到PC发出的arp request包,但是出方向没有网关的reply。
研发分析:下面的这个MAC地址(74-46-A0-A8-4B-3F ,vlan405)只在0号芯片上有,而一号芯片上没有,应该是下线删除静态MAC时有残留,下次认证成功后下发静态MAC会返回失败导致一号芯片上一直没有该静态MAC,0/0/37接口收到的报文也会被全部丢弃。
需要打上最新的sph008重启恢复
4.打上补丁问题依旧,研发继续抓包分析发现,接口下配置了对arp报文的流量统计,导致arp报文不能命中ACL上送CPU,则MAC认证信息中就没有对应设备的IP地址信息,当探测时间(5分钟)到后即会探测失败即对应的用户会下线。删除接口0/0/37接口下的流量统计信息后观察,PC一直可以正常上网


根因
接口下配置了对arp报文的流量统计,导致arp报文不能命中ACL上送CPU,则MAC认证信息中就没有对应设备的IP地址信息,当探测时间(5分钟)到后即会探测失败即对应的用户会下线。
解决方案
删除接口0/0/37接口下的流量统计

END