交换机s12700(V2R9版本)下挂终端无法获取ip地址

发布时间:  2017-03-10 浏览次数:  106 下载次数:  0
问题描述

设备型号:s12712

软件版本:V200R009C00SPC500

组网概述:

s12712-----SW1----pc

故障现象:客户配置acl访问控制功能以后,下挂终端无法获取ip地址

访问控制acl配置如下:

acl number 3001 
 description XXX
 rule 5 permit ip source 10.141.x.0 0.0.0.255
 rule 10 permit ip source 10.141.x.0 0.0.0.255
 rule 15 permit ip source 10.141.x.0 0.0.0.255
 rule 20 permit ip source 10.141.x.0 0.0.0.255
 rule 25 permit ip source 10.141.x.0 0.0.0.255
 rule 30 permit ip source 10.141.x.0 0.0.0.255 
 rule 35 deny ip
#
traffic classifier nacc operator or precedence 5
 if-match acl 3001
#
traffic behavior nacc
 permit

interface Vlanif102
 description #1tuoliu
 ip address 10.141.X.X 255.255.255.0
 traffic-policy nacc inbound

 

处理过程

1:检查接口正常up

2:stp状态正常,没有阻塞端口

3:debug发现没有从该接口收到dhcp discover报文

4:更换网线,更换电脑测试结果一样无法获取IP地址

5:修改acl访问控制功能,允许dhcp的源端口报文通过bootpc和bootps报文通过,配置以后问题解决

根因

在vlan上配置了acl访问控制功能,导致dhcp报文进入接口后被acl访问控制阻止掉,设备cpu没有接收到dhcp报文进而没有响应dhcp请求.

解决方案

在acl访问控制功能上面增加允许源端口为dhcp报文交互端口的报文通过

acl
number 3001 

rule 1 permit udp source-port eq bootpc   ---允许源端口是bootpc的报文通过

rule 2 permit udp source-port eq bootps   ---允许源端口是bootps的报文通过
rule 5 permit ip source 10.141.x.0 0.0.0.255
rule 10 permit ip source 10.141.x.0 0.0.0.255
rule 15 permit ip source 10.141.x.0 0.0.0.255
rule 20 permit ip source 10.141.x.0 0.0.0.255
rule 25 permit ip source 10.141.x.0 0.0.0.255
rule 30 permit ip source 10.141.x.0 0.0.0.255 
rule 35 deny ip

建议与总结

在dhcp服务器上面配置acl访问控制功能的时候,需要注意想pc如果是自动获取ip地址,由于还没有获取到ip地址以前,是无法匹配到acl访问控制列表的规则的,所以需要在规则里面添加允许源端口是dhcp端口的报文通过.

END