sna 控制器的dhcp服务出问题

1. 检查DHCP服务器基础状态

• 确认服务运行：首先登录SNA控制器的管理界面或操作系统，确认DHCP服务器服务（如isc-dhcp-server、dhcpd或相应的Windows服务）处于“正在运行”状态。如果服务未启动或意外停止，需尝试启动或重启该服务。
• 检查地址池容量：在DHCP服务器管理界面中，检查为对应网段配置的IP地址池（作用域）是否已耗尽。如果地址池中没有可用地址，新客户端将无法获得IP。确保地址池范围设置合理，且没有因租约过期时间过长而导致地址无法回收。

2. 审查DHCP服务器配置与日志

• 核对核心配置：检查DHCP服务器的配置文件，确保为客户端分配的子网掩码、默认网关、DNS服务器等关键参数配置正确无误。错误的网关或DNS配置会导致客户端即使获得IP也无法访问网络。
• 分析系统日志：查看DHCP服务器的日志文件（如Linux系统的/var/log/syslog，或Windows系统的事件查看器中“Microsoft-Windows-DHCP-Server/Admin”日志）。日志中通常会记录地址分配失败、收到非法请求等错误信息，是定位问题最直接的途径。

在 VXLAN + SNA 控制器的 ADCampus 方案里，DHCP 不通但手动 IP 正常，问题通常出在几个关键环节：DHCP 服务本身的健康状态、VXLAN 特有的 DHCP Option 82 策略配置，或是 Leaf 交换机的 DHCP 中继设置。

建议依次排查以下几个核心层面：

 1. 基础诊断：DHCP 服务状态

首先，请直接在 SNA Center 的 Web 管理界面上，确认 DHCP 服务器的状态和资源是否正常。

• 检查服务状态：检查 SNA Center 自带的 vDHCP 服务器是否在线且服务 UP。如果使用的是外部微软 DHCP 服务器，还需检查其上的 DHCP 服务及 DHCP Plug 插件是否正常运行。

• 确认地址池容量与参数：确认对应网段的 IP 地址池尚有可用 IP，租约设置也合理。同时，务必检查分配的子网掩码、默认网关、DNS 等核心参数是否正确。

• 审查 EIA 与控制器网络：如果部署了 EIA 认证，检查 EIA 服务器状态。同时，在 Leaf 交换机上带源 ping 测试到 DHCP 服务器的连通性。

 2. 核心排查：ADCampus 方案特有配置

如果基础状态没问题，问题很可能出在 ADCampus 方案特有的配置机制上。

• 检查Leaf上的DHCP中继设置：在 ADCampus 分布式 VXLAN 网关中，不能直接使用业务网关地址，需使用每台 Leaf 设备 VLAN 4094 的三层接口地址作为中继源地址。同时，需在 VSI 接口上正确指定 DHCP 中继的目标 IP（即 DHCP 服务器地址）。例如：

  interface Vsi-interfaceX

  dhcp select relay dhcp relay server-address <DHCP服务器IP>

• 检查微软DHCP服务器的Option 82策略：这是方案中最易遗漏的配置。微软 DHCP 服务器需依赖 DHCP 请求中的 Option 82 字段来判断请求来自哪个 VXLAN 业务网段。

  • SNA 控制器通常能为业务网段（安全组）自动创建策略，但 VLAN 1 和 VLAN 4094 的策略必须手动创建。如果不手动配置这两个作用域的策略，终端很可能获取不到业务地址，或获取到错误的 4094 地址，导致无法上网。

  • 排查操作：登录微软 DHCP 服务器，找到 VLAN 1 和 VLAN 4094 的作用域，右键点击“策略”，手动创建匹配 Option 82 的分配策略。创建时，需要精确设置 Circuit ID 或 Remote ID 的匹配条件，并与对应的 IP 地址范围关联起来。

 3. 深入排查：抓包分析与日志

如果配置无误但问题依旧，就需要通过抓包和日志来深入分析。

• 分关键点抓包：在客户端、Leaf交换机、DHCP服务器等关键位置同时抓包，观察是卡在 Discover、Offer、Request 还是 ACK 阶段，可以快速定位问题节点。

• 检查日志与表项：同时检查 DHCP 服务器日志-1和 Leaf 交换机上的 display dhcp relay statistics 统计信息，以获取更多排查线索。

 4. 应急恢复：手动恢复DHCP作用域

如果 DHCP 服务器上的业务作用域全部丢失，可以参考官方“ADCampus五期B02方案恢复丢失的微软DHCP Server作用域”的案例，在 SNA Center 上先行删除 EIA 和 DHCP 相关配置，再逐步重建服务器、作用域和 Failover 关系。

SNA 控制器里的 vDHCP 服务 down，导致 VXLAN 网络里终端拿不到地址或拿到地址但无法正常上网，手动设置 IP 能上，说明是 DHCP 服务本身的问题，不是物理 / 三层路由问题。
你截图里的关键信息：
名称：VDHCP
管理方式：紧耦合
状态：down/down
厂商：H3C
高可用：是
→ 说明你部署了双机 vDHCP 紧耦合服务，现在两台节点都 down 了，SNA 控制器和 vDHCP 进程通信中断。
一、先快速定位问题根因
1. 先确认：手动 IP 能上，DHCP 不能上，排除的问题
✅ 物理链路正常
✅ VXLAN 隧道正常
✅ 三层网关、路由正常
✅ 防火墙策略正常
❌ 问题 1：vDHCP 服务进程 down
❌ 问题 2：vDHCP 与 SNA 控制器通信中断
❌ 问题 3：vDHCP 地址池未同步 / 配置错误
❌ 问题 4：Leaf 设备上的 DHCP Relay 配置异常
二、按顺序排查解决（从简单到复杂）
步骤 1：检查 SNA 上 vDHCP 服务状态
在 SNA 管理界面：
进入【自动化】→【园区网络】→【网络服务】→【DHCP】
查看 vDHCP 服务状态：
你的截图显示 down/down，说明双机服务都没起来
先尝试点击【重启】按钮，看是否能恢复 up
如果重启无效，进入下一步排查
步骤 2：登录 vDHCP 节点服务器（Linux），检查进程状态
SSH 登录到部署了 vDHCP 的服务器（双机的话两台都查）：
bash
运行
# 1. 查看 vDHCP 进程
ps -ef | grep dhcp
ps -ef | grep kea
# 2. 查看服务状态
systemctl status vdhcp
# 3. 查看服务日志
journalctl -u vdhcp -f
常见报错：
端口被占用（546/547/67/68）
配置文件同步失败（和 SNA 控制器通信失败）
数据库连接失败（紧耦合时和控制器数据库同步异常）
步骤 3：检查 vDHCP 与 SNA 控制器的通信
从 vDHCP 节点 ping SNA 控制器 IP
检查防火墙 / SELinux 是否放行通信端口（通常 8080、546、547 等）
检查双机 vDHCP 之间的心跳通信是否正常（高可用集群状态）
步骤 4：确认 SNA 上的地址池配置是否正常
进入【资源】→【IP 地址池】
检查对应网段的地址池：
是否已关联到正确的 VXLAN 网段 / VLAN
地址池状态是否为 “已同步”
是否有地址被耗尽、冲突的情况
如果地址池状态异常，点击【重新同步】按钮
步骤 5：检查 Leaf 设备上的 DHCP Relay 配置
登录任意 Leaf 交换机，执行：
bash
运行
display dhcp relay all
display ip interface brief | include Vlan-interface
重点看：
每个业务 VLAN 三层接口下，dhcp select relay 是否开启
dhcp relay server-ip 是否指向了 vDHCP 的服务 IP
配置是否和 SNA 上的下发策略一致
如果不一致，执行：
bash
运行
system-view
vlan 10
interface Vlan-interface 10
dhcp select relay
dhcp relay server-ip <vDHCP_IP>
然后在 SNA 上重新下发配置。
三、最常见的 3 个坑与解决方法
坑 1：vDHCP 双机集群脑裂
现象：两台 vDHCP 都显示 down，日志里有 split-brain 报错
解决：
先停掉其中一台节点的 vDHCP 服务
启动另一台节点的服务，确认单节点能正常 up
修复心跳网络后，再启动第二台节点
坑 2：地址池同步失败
现象：SNA 上显示地址池已同步，但终端拿不到 IP
解决：
检查 SNA 与 vDHCP 之间的时间同步（NTP 必须一致）
删除并重新添加地址池，强制同步配置
重启 SNA 控制器上的 seerengine-dhcp 进程
坑 3：Leaf 设备 DHCP Relay 未下发
现象：SNA 上配置了，但设备上没生效
解决：
在 SNA 上重新下发全网配置
检查 Leaf 设备是否在线、配置是否被锁定
手动登录设备确认配置是否正确
四、快速恢复业务的临时方案
如果需要立刻恢复 DHCP 业务，可以：
在 Leaf 设备上临时配置本地 DHCP 地址池（仅用于业务恢复）
或临时把终端网关指向一台手动配置的 DHCP 服务器
等 vDHCP 服务恢复正常后，再切回原配置
五、预防后续问题
确保 SNA 控制器、vDHCP 节点、Leaf 设备的 NTP 时间同步
定期备份 vDHCP 配置和地址池数据
监控 vDHCP 服务状态和端口（67/68/546/547）的连通性
升级 SNA 和 vDHCP 到同一版本的最新稳定补丁