S交换机下挂PC切换为TC后TC获取不到IP地址故障

发布时间:  2017-01-12 浏览次数:  200 下载次数:  0
问题描述

客户网络接入交换机接口下挂IP话机和PC,接口配置如下:

interface GigabitEthernet1/0/17
 port link-type hybrid
 voice-vlan 20 enable
 voice-vlan legacy enable
 port hybrid pvid vlan 10
 undo port hybrid vlan 1
 port hybrid tagged vlan 20
 port hybrid untagged vlan 10
 stp edged-port enable
 poe legacy enable
 lldp compliance cdp txrx
 port-security enable
 port-security max-mac-num 3
 port-security aging-time 2 type inactivity
 trust 8021p
 unicast-suppression packets 80
 multicast-suppression packets 80
 broadcast-suppression packets 80
 dhcp snooping check dhcp-rate enable
 dhcp snooping check dhcp-rate 10

客户需要部署TC,将与话机相连的PC切换为TC后,需要等待一定时间后才能正常获取IP地址,或者将与交换机的网线进行插拔后才能正常获取到IP地址


处理过程

1. 将与话机相连的PC拔掉后,查看交换机对应接口的MAC地址信息如下,其中0017-5976-861f为话机的MAC地址(话机会分别在PVID 10和协商的voice vlan 20中分别生成安全MAC),c409-38f1-6df1为拔掉的PC MAC地址信息:

[RHF4C2S5720-ST3-1]dis mac-address  GigabitEthernet  1/0/8
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI                          Learned-From        Type     
-------------------------------------------------------------------------------
0017-5976-861f 10/-                              GE1/0/8             security 
c409-38f1-6df1 10/-                              GE1/0/8             security 
0017-5976-861f 20/-                              GE1/0/8             security 

2. 配置了端口安全接口生成的MAC地址信息为安全MAC,当接口物理状态一直为UP时该MAC地址一直存在,直至老化(缺省不老化,该接口配置了老化时间为2分钟);

3. 当等待PC的MAC地址老化后,或者将与交换机的网线进行插拔后才能正常获取到IP地址,此时查看MAC地址信息,其中c409-38f1-6c9e 为TC的MAC地址:

[RHF4C2S5720-ST3-1-GigabitEthernet1/0/8]dis mac-address  GigabitEthernet  1/0/8
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI                          Learned-From        Type     
-------------------------------------------------------------------------------
0017-5976-861f 10/-                              GE1/0/8             security 
c409-38f1-6c9e 10/-                              GE1/0/8             security 
0017-5976-861f 20/-                              GE1/0/8             security 

根因
接口下配置了端口安全且安全MAC地址数为3,只有等待MAC老化或者接口DOWN/UP后才能允许新的MAC地址通过。
解决方案

1. 此场景下端口安全主要是为了防止接入层有人私接设备,保护客户网络安全,不能随便删除。

2. 针对需要部署TC的楼层接口交换机将安全MAC地址数修改为4,待部署完毕后再修改为3:

port-security max-mac-num 4

建议与总结
对于连接了话机的接口如果要配置端口安全,安全MAC数需要比接入的终端数多1,因为话机会占用两个MAC地址资源。

END