背景描述：

某个高校用户现有无线网络包括 Aruba 和 H3C 两个品牌，随着用户数量的快速增加，原有 H3C 无线 核心交换机 ARP 表项不足，导致无线用户访问网络出现随机中断现象，为了提升无线用户的上网体验， 用户采购一台 Aruba CX8400 替换原有的 H3C 交换机作为 WLAN 网络核心交换机，部署上线后发现 Aruba WLAN 下的用户可以正常上网，H3C WLAN 下的用户无法正常获取 IP 地址，并且手工配置静态地址也无法 正常访问。

原因：

从故障现象分析，怀疑可能存在如下几种原因：

1. 8400 交换机与 H3C 控制器之间存在物理层或者链路层兼容性问题 【排查】：通过现场端口镜像和抓包分析，可以证实所有的双向通信报文都可 以到达 H3C 控制器；同时通过串接 H3C 交换机可以验证 CX8400 与 H3C 交换机之 间不存在物理层或者链路层兼容性问题，但是故障现象仍然存在。—— 上述测 试验证了兼容性不会是 H3C WLAN 用户无法上网的原因。
2. H3C 控制器上配置了 DHCP Snooping 【排查】：经过仔细核对 H3C 控制器的当前配置，其中没有与 DHCP Snooping 有关的配置，因此这个可能性也可以排除。
3. H3C 控制器上配置了二层隔离，限制只有特定 MAC 地址可以与无线用户通 【排查】：经过仔细核对 H3C 控制器的当前配置，发现其中存在如下配置 存在如下配置： user-isolation vlan 10 enable user-isolation vlan 10 permit-mac 307b-acda-f6f8

该配置意味着 H3C 控制器在 vlan 10 上启用了二层隔离，并且仅仅放行了 307b-acda-f6f8 这个 mac 地 址与无线终端直接通信，因此，在更换了 CX8400 作为新的核心交换机之后，CX8400 的 mac 地址无法与

无线终端直接通信，包括 dhcp offer 和 ACK 在内的所有从 CX8400 返回的报文均被 H3C 控制器丢弃，从 而导致无线终端无法顺利获得 IP 地址和访问网络。

解决办法：

1. 检查 H3C 控制器中是否启用的二层隔离
2. 如果启用二层隔离，则需要在 H3C 控制器中添加 CX8400 的 mac 地址，允许这个地址与用户 vlan 中的无线终端直接通信 参考命令如下： user-isolation vlan 10 permit-mac 1111-2222-3333