随着网络的日益复杂和数据安全威胁的不断增加,路由协议的安全性成为确保网络稳定性和数据保密性的关键因素之一。在一个使用OSPF(Open Shortest Path First)协议传递路由的内部网络中,确保路由信息的安全性至关重要,以防止恶意注入非法路由,改变数据流向,导致敏感信息泄露或网络功能异常。
1.如果查询不到失败原因,则需要检查STA是否获取到正确的IP地址。
执行命令display ip pool { interface interface-pool-name | name ip-pool-name } used,查看已分配的IP地址情况,通过MAC地址对比看STA是否已经获取到IP地址。
2.检查Service VLAN是否创建且配置正确,并注意业务VLAN不要和管理VLAN相同。
业务数据直接转发模式下:
检查AP和STA网关之间的设备是否创建业务VLAN并配置允许业务VLAN通过,若没有, 会导致转发业务VLAN的报文失败。
业务数据隧道转发模式下:
为STA分配地址的DHCP服务器不是AC时,检查AC上是否创建业务VLAN并配置允许 业务VLAN通过,若没有,会导致转发业务VLAN的报文失败。
建议管理VLAN和业务VLAN分别使用不同的VLAN。只有业务数据直接转发模式下,AP上配置了management-vlan,接入交换机连接AP的接口不将PVID配置成管理VLAN的场景下,才允许管理VLAN和业务VLAN相同,其他场景下管理VLAN和业务VLAN相同会导致STA无法获取IP地址。
V200R005版本操作:
a.执行命令display service-set id service-set-id查看Service VLAN的配置值。
b.如果Service VLAN未配置正确,请参考以下命令配置,配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。
V200R006及之后版本操作:
a.执行命令display vap-profile name profile-name查看Service VLAN的配置值。
b.如果Service VLAN未配置正确,请参考以下命令配置,配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。
3.如果Service VLAN为VLAN Pool,检查VLAN Pool相关的配置。只有V200R006及之后版本支持此步骤。
a.查看VLAN Pool中的VLAN是否全部创建。
执行命令display vlan pool name pool-name查看VLAN Pool中包含的VLAN。
b.执行命令display vlan查看当前设备已经创建的VLAN。
c.请参考以下命令创建VLAN Pool中的所有VLAN ID,配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。d.检查中间网络设备上需要放通业务VLAN的接口是否已经放通了VLAN Pool中的所有VLAN。以交换机为例:
配置完成后请重新让STA关联WLAN网络,查看STA是否可以获取到IP地址。
4.检查DHCP相关配置。
a.检查接入交换机是否配置了DHCP Snooping
无线用户流动性大,用户离线通常不会发送DHCP Release报文释放IP地址,导致DHCP Snooping绑定表经常满规格,新用户无法获取IP地址。
AP已默认开启针对无线用户的DHCP snooping功能,建议接入交换机上删除DHCP Snooping配置。如果接入交换机上连接了有线终端,确实需要开启DHCP Snooping功能,建议在连接AP的端口上执行dhcp snooping enable no-user-binding命令,使该端口下挂的用户不生成DHCP Snooping绑定表。
b.检查是否关闭了AP上行口DHCP信任功能,缺省情况下该功能是打开的。
V200R005版本操作:
执行命令display ap-profile id profile-id查看是否关闭了AP上行口的DHCP信任功能。
执行命令dhcp trust port打开AP上行口的DHCP端口信任功能。然后请重新关联STA,查看STA是否可以获取到IP地址。
V200R006及之后版本操作:
执行命令display wired-port-profile name profile-name查看是否关闭了AP上行口的DHCP信任功能。
执行命令dhcp trust port打开AP上行口的DHCP端口信任功能。然后请重新关联STA,查看STA是否可以获取到IP地址。
c.检查DHCP服务器配置是否正确,如果配置正确请执行下一步。
DHCP配置可以参考以下三种情况:
如果STA和DHCP服务器同网段时可以使用接口地址池,请参考以下配置检查,使用VLANIF100作为接口地址池。
如果STA和DHCP服务器同网段时可以使用全局地址池,请参考以下配置检查,使用全局地址池pool1,并绑定在接口VLANIF100上。
如果STA和DHCP服务器不同网段时必须使用全局地址池,且必须在中继设备上配置DHCP中继,请参考以下配置检查。
DHCP服务器上的配置:中继设备上的配置(此处假设是交换机):
[Switch] interface vlanif 200
[Switch-Vlanif200] ip address 10.23.200.1 24
[Switch-Vlanif200] dhcp select relay //该命令使能设备DHCP中继功能,如果缺少需添加。
[Switch-Vlanif200] dhcp relay server-ip 10.23.100.1 //该命令指定DHCP服务器的地址,若未指定或指定错误的DHCP服务器地址,DHCP请求报文无法被转发给DHCP服务器,会导致STA无法获取到IP地址。
[Switch-Vlanif200] quit
官方公众号
商务合作
