ME60无线认证，手机反复连接WLAN后会出现中断现象且获取地址异常

ME60版本补丁：V800R010C10SPC500+V800R010SPH106-SPC500

拓扑：ME60---华三无线核心---接入---AP---手机终端

故障现象：ME60无线认证，手机反复连接WLAN后会出现中断现象且获取地址异常

无

1、在ac上开启debug发现终端正常速度关联无线。同时在核心侧开启debuging dhcp client 发现ME60有DHCP回包，但连续收到七八个包都未携带分配的IP地址，故初步判断问题与dhcp服务器有关；

2、采集异常终端mac信息；

trace access-user object 1 mac-address 后面加上异常终端的mac

display aaa online-fail-record mac-address 后面加上异常终端的mac

display aaa offline-record mac-address 后面加上异常终端的mac

display access-user mac-address 后面加上异常终端的mac

发现终端收到的DHCP报文都未携带分配的IP地址

[trace info: DHCP Agent receive failed by chasten.]

Aug 19 2020 14:08:47 jxqstuME60 BTRC/7/BTRC_DebugInfo:
[objectID=1][slotID=5][DHCP][user info:
  MAC Address    : 3897-D6B4-F001
  IP Address     : 255.255.255.255
  Interface      : GigabitEthernet5/0/1.100
  PE VLAN ID     : 2801
  Access Mode    : IPoE]
[trace info: DHCP Agent receive IPoE packet.]

Aug 19 2020 14:08:47 jxqstuME60 BTRC/7/BTRC_DebugInfo:
[objectID=1][slotID=5][DHCP][user info:
  MAC Address    : 3897-D6B4-F001
  IP Address     : 255.255.255.255
  Interface      : GigabitEthernet5/0/1.100
  PE VLAN ID     : 2801
  Access Mode    : IPoE]

因用户的dhcp报文太多了，触发了dhcp的惩罚，这个功能正好是当前补丁增加的功能，目的是为了防止dhcp攻击。

dhcp connection chasten命令用来配置限制DHCP用户请求连接。

缺省情况下，设备限制DHCP用户请求连接。在180秒内，如果请求连接的报文数目超过10或者认证失败次数超过5，则DHCP用户进入抑制状态，抑制时间300秒。

配置dhcp connection chasten authen-packets 1000 check-period 60 restrain-period 120后，故障不复现，业务正常。

dhcp connection chasten

命令功能

dhcp connection chasten命令用来配置限制DHCP用户请求连接。

undo dhcp connection chasten命令用来删除配置DHCP用户上线请求连接限制。

缺省情况下，设备限制DHCP用户请求连接。在180秒内，如果请求连接的报文数目超过10或者认证失败次数超过5，则DHCP用户进入抑制状态，抑制时间300秒。