本帖最后由 adds 于 2017-12-31 23:20 编辑
无线控制器型号:NAC-3700
无线控制器版本:NAC-3.6.3
一、故障情况 无线部署完成后,客户想把位于核心交换机的DHCP服务转移到无线控制器NAC身上。但切换完成后,发现所有AP离线。 核心交换机DHCP配置: # interface Vlan-interface30 ip address 192.168.30.250 255.255.255.0 #
# dhcp server ip-pool vlan30 network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.250 dns-list 8.8.8.8 114.114.114.114 expired day 2 #
NAC控制器的DHCP配置:
1、故障排查 切换完成后,AP由于获取到了之前DHCP的地址,已经在NAC上注册过,并没有离线。但是观察AP的地址参数,发现网关依然指向了核心交换机。 这里的默认网关应该为NAC的vlan 1地址(即控制器的192.168.10.254)。
a.考虑AP需要重启才能重新获取地址,于是重启交换机 重启之后,发现所有AP离线。
b.检查NAC(无线控制器)配置,核心交换机配置,Sundray SW(信锐PoE交换机)配置。 NAC、核心交换机、Sundray SW互联接口均为Trunk,Trunk所有Vlan,其他配置均未发现问题。 c.最后,放大招。 将核心交换机、Sundray SW、NAC全部重启。故障依旧。 d.求助400(400-878-3389),400查看后,怀疑是交换机开启了DHCP snooping,于是我去问客户工程师,客户工程师信挚旦旦的说,我刚把配置重置了,肯定没有开DHCP snooping。 e.指定AP的IP地址。既然DHCP获取不到,那手工指定是不是可以呢? 使用“系统维护--调试选项--设备故障分析”搜索出离线的AP,指定其固定IP,AP上线。然后使用手机连接该AP发出的SSID,手机获取不到IP地址。 感觉走到了死胡同,又绕回了原点。这时信锐北京办的同事来协助排查。
二、讲师(信锐北京办渠道培训的工程师)排查思路 1、了解拓扑环境 讲师到了现场,打开笔记本第一项就是询问拓扑。简单拓扑说明:
2、逐步排查 既然AP和终端获取不到地址,那就从上往下一个个排查。 a.NAC排查 将NAC空闲接口“eth3”口划到vlan 10(AP管理IP段),然后将PC接到Eth3口,看PC能否获取到IP。
测试结果,PC能获取到IP,证明NAC的DHCP配置没有问题。
b.核心交换机排查 NAC连接核心交换机,将核心交换机的Eth10划到Vlan 10下,PC连接Eth10口,看能否获取到IP。 测试结果:PC无法获取IP,也就是说故障点在核心交换机上。
讲师问我:交换机有没有开DHCP Snooping,我说没有,找客户确认过,客户将配置重置过。 于是,我们将情况反馈给客户的工程师,工程师看到现象后,表示,有可能是交换机太老,需要配置DHCP中继才可以。 于是,我们又研究起客户的H3c交换机如何配置DHCP relay。研究结果:核心交换机与NAC中间是Trunk,Trunk是二层,二层根本不用起DHCP relay。 最终,检查出问题在核心交换机上,交换机开启了DHCP Snooping。
讲师问我:你不是说没有开DHCP Snooping? 我:我问客户的网络工程师了,他说没有。 讲师:其实我也检查了一遍交换机配置,也没有发现问题。另外有一点,不要相信客户说的,他们对很多时候对自己的网络也不了解,如果确定故障点在某台设备上,自己去判断,不要去听。
第一次见识了DHCP Snooping的厉害,当时400提及时,我脑子转了一圈,学过这个概念,但具体怎么敲,怎么用不是很明朗,所以,想当然的找别人确认,也相信别人所说,不曾怀疑。但正时依赖别人的判断,导致故障迟迟得不到解决。 最重要的是:那个交换机的配置我看了几十遍了,从来没有发现过“dhcp-snooping”这个命令!!!所以,没有再一次的检查。 DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。 | 
发表于 2017-12-31 22:09
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家4级 
