华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置MFF功能后用户不能上网
配置MFF功能后用户不能上网
故障现象
设备配置完MFF功能后,下接的用户不能上网。
操作步骤
- 执行命令display mac-forced-forwarding vlan vlan-id,检查MFF生成信息。
- 如果输出信息中User IP和User MAC字段的显示内容为空,表示主机信息未生成,请执行步骤2。
- 如果输出信息中Gateway MAC字段的显示内容为空,表示没有学习到网关MAC,请执行步骤3。
- MFF主机信息未生成排查过程
- 检查用户绑定表项是否生成
| 用户类型 |
使用命令 |
输出处理 |
| 动态用户 |
display user-bind dhcp snooping vlan vlan-id |
- 如果输出信息中没有用户IP对应的绑定表项,请执行步骤b。
- 如果输出信息中有用户IP对应的绑定表项,说明用户已成功上线,请执行步骤c。
|
| 静态用户 |
display user-bind static vlan vlan-id |
- 如果输出信息中没有对应用户IP的绑定表项,执行步骤b。
- 如果输出信息中有对应用户IP的绑定表项,说明用户已成功上线,请执行步骤c。
|
- 检查用户相关配置是否正确
| 用户类型 |
检查项 |
检查方法 |
输出处理 |
| 动态用户 |
用户接口是否使能DHCP Snooping功能 |
进入用户接口视图,执行命令display this,检查是否有dhcp snooping enable命令。 |
如果没有,请在接口视图下执行命令dhcp snooping enable配置。此命令也可以在VLAN视图下执行,需保证用户接口加入到该VLAN中。 |
| 网络接口是否为“信任”状态 |
进入网络接口视图,执行命令display this,检查是否有dhcp snooping trusted命令。 |
如果没有,请在接口视图下执行命令dhcp snooping trusted配置。也可以在VLAN视图下执行命令dhcp snooping trusted配置。需保证接口已加入该VLAN。 |
| 用户是否成功上线 |
在确保用户接口使能DHCP Snooping功能、网络接口为“信任”状态后,执行命令display user-bind dhcp snooping vlan vlan-id,查看DHCP Snooping表项。 |
如果不存在用户IP对应的DHCP Snooping表项,说明用户没有成功上线,请参考DHCP Snooping导致用户无法上线解决用户不能成功上线问题。 |
| 静态用户 |
静态网关地址是否正确配置 |
进入配置MFF的VLAN视图,执行命令display this,检查是否有mac-forced-forwarding
static-gateway ip-address命令,并检查静态网关IP地址是否与静态用户IP地址属于同一网段。 |
如果没有或者静态用户IP地址与静态网关IP地址不在同一网段,请执行命令mac-forced-forwarding
static-gateway ip-address配置与静态用户在同一网段的静态网关。 |
| 静态用户是否正确配置 |
进入系统视图,执行命令display user-bind static vlan vlan-id,检查是否有指定IP的静态用户绑定表项。 |
如果没有,请执行命令user-bind static配置。 |
如果表中检查项均正确或者修改配置后问题仍然存在,请执行下一步。
- 检查MFF相关配置是否正确
- 进入用户接口视图,执行命令display this,查看接口是否加入配置MFF的VLAN。如果没有加入,请执行相应命令加入。
- 进入网络接口视图,执行命令display this,查看该接口上是否配置有mac-forced-forwarding
network-port命令,如果没有,请执行该命令配置。
- MFF未学习到网关MAC排查过程
- 检查设备到网关的链路是否有问题
从设备Ping网关以检查路由是否可达:
- 如果Ping不通,请先根据排除路由故障。
- 如果能Ping通,请执行步骤b。
- 检查ARP应答报文是否被丢弃
