CX8400 作为无线核心时 H3C 无线终端无法上网故障排查

背景描述:

某个高校用户现有无线网络包括 Aruba 和 H3C 两个品牌,随着用户数量的快速增加,原有 H3C 无线 核心交换机 ARP 表项不足,导致无线用户访问网络出现随机中断现象,为了提升无线用户的上网体验, 用户采购一台 Aruba CX8400 替换原有的 H3C 交换机作为 WLAN 网络核心交换机,部署上线后发现 Aruba WLAN 下的用户可以正常上网,H3C WLAN 下的用户无法正常获取 IP 地址,并且手工配置静态地址也无法 正常访问。

原因:

从故障现象分析,怀疑可能存在如下几种原因:

  1. 8400 交换机与 H3C 控制器之间存在物理层或者链路层兼容性问题 【排查】:通过现场端口镜像和抓包分析,可以证实所有的双向通信报文都可 以到达 H3C 控制器;同时通过串接 H3C 交换机可以验证 CX8400 与 H3C 交换机之 间不存在物理层或者链路层兼容性问题,但是故障现象仍然存在。—— 上述测 试验证了兼容性不会是 H3C WLAN 用户无法上网的原因。
  2. H3C 控制器上配置了 DHCP Snooping 【排查】:经过仔细核对 H3C 控制器的当前配置,其中没有与 DHCP Snooping 有关的配置,因此这个可能性也可以排除。
  3. H3C 控制器上配置了二层隔离,限制只有特定 MAC 地址可以与无线用户通 【排查】:经过仔细核对 H3C 控制器的当前配置,发现其中存在如下配置 存在如下配置: user-isolation vlan 10 enable user-isolation vlan 10 permit-mac 307b-acda-f6f8

该配置意味着 H3C 控制器在 vlan 10 上启用了二层隔离,并且仅仅放行了 307b-acda-f6f8 这个 mac 地 址与无线终端直接通信,因此,在更换了 CX8400 作为新的核心交换机之后,CX8400 的 mac 地址无法与

无线终端直接通信,包括 dhcp offer 和 ACK 在内的所有从 CX8400 返回的报文均被 H3C 控制器丢弃,从 而导致无线终端无法顺利获得 IP 地址和访问网络。

解决办法:

  1. 检查 H3C 控制器中是否启用的二层隔离
  2. 如果启用二层隔离,则需要在 H3C 控制器中添加 CX8400 的 mac 地址,允许这个地址与用户 vlan 中的无线终端直接通信 参考命令如下: user-isolation vlan 10 permit-mac 1111-2222-3333

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注