AP430-E终端获取不到IP地址

发布时间:  2017-03-15 浏览次数:  153 下载次数:  0
问题描述

1、宁夏某局点,客户反应二楼上的客户手机和PC连接到无线上获取不到IP地址;如果手机或者电脑拿到其它地方获取到了IP地址之后在到五楼,就可以连接到无线AP上的。


2、S5700POE交换机做接入交换机,S12708上集成AC,ME60作为认证和出口和DHCP服务器。

  AP版本:V200R007C00SPC100

  S5700版本:V200R007C00SPC500

  S12708版本:V200R009C00SPC500

  ME60版本:V600R008C10SPC300

3、配置脚本:

S5700配置:

<NXZX_JR_TSG_WLAN_2F_5700>disp cur
Software Version V200R007C00SPC500
#
sysname NXZX_JR_TSG_WLAN_5F_5700
#
vlan batch 888 3999 to 4000
#
telnet server enable
#
lldp enable
#
clock timezone Indian Standard Time minus 05:13:20
#
dhcp enable
#
dhcp snooping enable
#

#
acl number 3333
 rule 5 permit udp source-port eq bootpc destination-port eq bootps
 rule 10 permit udp source-port eq bootps destination-port eq bootpc
#
traffic classifier 3333 operator and
 if-match acl 3333
 if-match source-mac 3052-cb62-5855
#
traffic behavior 3333                   
 statistic enable                       
#                                       
traffic policy 3333                     
 classifier 3333 behavior 3333          
#                                        
 dhcp snooping enable                    
#
interface GigabitEthernet0/0/2          
 port link-type trunk                    
 port trunk pvid vlan 3999               
 port trunk allow-pass vlan 888 3999     
 dhcp snooping enable                    




处理过程

1,在S5700S12708上面做流统,结果显示在S12708上面有流量,在5700上面没有流量;

2,已知连接失败获取不到IP地址的设备的MAC地址,查看MAC,在S5700S12708上面都学习到了连接失败的终端的MAC地址;

3、在S12708的入口和出口上抓包,在抓包的结果中没有找到已知MAC地址相应的DHCP报文,在PC侧抓包能看到PC发送的dhcp discover 但是看不到回包

4、在S5700上抓包,抓包结果显示也没有相应的MAC地址的DHCP报文;

5、重启接入POE交换机S5700,结果问题解决,PC和手机都能够获取到IP地址,而且也能上网;由于当时已经是晚上十二点多,人比较少所以问题没有复现,怎样切换都能快速的连接上;

6、第二天早上问题复现,同样有很多的人连接不到无线网络,获取不到IP地址;

7,又重新开始排查,查看S5700配置,发现客户在S5700上面的配置  dhcp  enable 并且 dhcp snooping enable ;使用命令:display dhcp snooping

[NXZX_JR_TSG_WLAN_2F_5700]dis dhcp snooping

 DHCP snooping global running information :

 DHCP snooping                            : Enable  

 Static user max number                   : 256   

 Current static user number               : 0      

 Dhcp user max number                     : 256     (default)

 Current dhcp user number                 : 256      (备注:表项已满)

 Arp dhcp-snooping detect                 : Disable  (default)

 Alarm threshold                          : 100      (default)

 Check dhcp-rate                          : Disable  (default)

 Dhcp-rate limit(pps)                     : 100      (default)

 Alarm dhcp-rate                          : Disable  (default)

 Alarm dhcp-rate threshold                : 100      (default)

 Discarded dhcp packets for rate limit    : 0      

 Bind-table autosave                      : Disable  (default)

 Offline remove mac-address               : Disable  (default)

 Client position transfer allowed         : Enable   (default)

8、在接口视图下配置命令 dhcp snooping enable no-user-binding;故障解决,故障在没有复现。


根因

客户在接入交换机S5700配置了DHCP enable 和DHCP snooping enable ;并且在接口底下DHCP snooping enable;导致动态的DHCP绑定达到了最大数;

[NXZX_JR_TSG_WLAN_5F_5700]dis dhcp snooping

 DHCP snooping global running information :

 DHCP snooping  : Enable  

 Static user max number  : 256   

 Current static user number: 0      

 Dhcp user max number: 256  (default)

 Current dhcp user number: 256     (备注:表项已满) 

 Arp dhcp-snooping detect: Disable  (default)

 Alarm threshold: 100      (default)

 Check dhcp-rate: Disable  (default)

 Dhcp-rate limit(pps) : 100      (default)

 Alarm dhcp-rate: Disable  (default)

 Alarm dhcp-rate threshold: 100      (default)

 Discarded dhcp packets for rate limit    : 0      

 Bind-table autosave : Disable  (default)

 Offline remove mac-address: Disable  (default)

 Client position transfer allowed: Enable   (default)


解决方案

解决方案有两个:

1、DHCP Snooping是一种DHCP安全特性,使能设备的DHCP Snooping功能,可有效提高DHCP的安全性;如果没有dhcp的特殊要求和配置可以直接输入两条命令 undo dhcp enable和undo dhcp snooping enable。

2、如果dhcp snooping确实需要使用,请在接AP的接口视图下输入dhcp snooping enable no-user-binding。

规避问题的措施:

1、接入交换机无特殊要求,请勿使能dhcp 和dhcp snooping ,查看配置dhcp 和 dhcp snooping 是否使能;

2、使用命令 display dhcp snooping 看里面的默认最大绑定数,是否达到了最大值;并且查看是否在接AP的接口下dhcp snooping enable;

3、如果接AP的接口底下dhcp snooping enable,并且达到了默认的最大值,解决方案是在接AP的接口视图里面输入dhcp snooping enable no-user-binding

END