S5700-SI上配置了cpu-defend-policy拒绝了DHCP报文导致终端通过DHCP获取不到IP地址

发布时间:  2015-05-22 浏览次数:  445 下载次数:  0
问题描述

如图所示,S7703主设备上配置了DHCP地址池,而S7703备设备上没有配置DHCP地址池。发生故障现象为:PC通过AP获取不到IP地址,用户不能上网。

告警信息
处理过程

1. 根据PC通过DHCP获取不到IP地址的常规思维排查,首先检查链路的通畅情况,通过更换网线和接口,验证了物理链路和端口是没问题的。

2. 把PC直接挂S5700-B上,PC仍然获取不到IP;PC挂S5700-A上也获取不到IP;PC直接挂S7703主设备上可以获取到IP。这说明是中间网络有问题,网关S7703上DHCP的配置是没有问题的。

3. 网络中配置了VRRP的两台S7703和S5700-A组成了一个物理环,怀疑S5700-A的GE0/0/1端口被mstp阻塞了,下连网络不通导致终端获取不到IP。但是,经过查验S5700-A的stp信息,发现阻塞的端口为S5700-A的GE0/0/2口。推翻此怀疑。

4. 将PC直接挂S5700-B上时,通过报文获取分析,PC有发送DHCP discover包出去,S5700-A也有收到,并且S5700-A连S7703主设备的出接口也有发送discover包,但是S7703主设备未收到discover包。

5. 检查各设备的配置,最终发现,现网环境用的是ipv6的报文,而S5700-B设备上配置了一个cpu-defend-policy,丢弃了dhcpv6报文 。

deny packet-type icmp

deny packet-type dhcpv6-request

deny packet-type dhcpv6-reply

cpu-defend-policy shx global

根因

现网环境用的是ipv6的报文,而S5700-B设备上配置了一个cpu-defend-policy,丢弃了dhcpv6报文。

解决方案

删除以上cpu-defend-policy的相关配置,问题解决。

END