问题描述:
所有接入用户无法获取到IP地址,无法正常使用无线网络,请问是否与security-policy ip项空配置有关?
组网及组网描述:
系统版本version 7.1.064, Release 5822P12
- 2026-06-05提问
- 举报
-
(0)
hedgeknight
九段
没有关系
终端无法获取IP地址,可以pai"cha"xia:
① 是否获取了正确的vlan,对应的vlan的DHCP Server是否正常;
② 本地转发是否正确放通了AP上行端口permit vlan和中间交换机是否放通了对应的vlan。
- 2026-06-05回答
- 评论(2)
- 举报
-
(0)
谢谢老哥,我的问题是security-policy ip项内容为空是否对网络有影响。
zhiliao_G2n7zb
发表时间:2026-06-05
zhiliao_Gixe
六段
是,该问题与security-policy ip空配置直接相关。
原因:H3C V7版本IP安全策略默认最后一条为deny all,无配置时所有IP流量(含DHCP交互的UDP 67/68端口)被阻断,无线用户无法完成DHCP地址获取。
排查步骤:
1. 执行display security-policy ip,确认策略为空、默认规则为deny ip any any;
2. 执行display dhcp server ip-in-use/display dhcp relay interface,验证DHCP地址池/中继配置正常;
3. 在AC对应无线VLAN接口抓包,确认是否存在DHCP Discover报文。
解决命令:配置安全策略允许DHCP流量,如security-policy ip rule 1 permit udp source-port 68 destination-port 67或security-policy ip rule 1 permit ip any any。
原因:H3C V7版本IP安全策略默认最后一条为deny all,无配置时所有IP流量(含DHCP交互的UDP 67/68端口)被阻断,无线用户无法完成DHCP地址获取。
排查步骤:
1. 执行display security-policy ip,确认策略为空、默认规则为deny ip any any;
2. 执行display dhcp server ip-in-use/display dhcp relay interface,验证DHCP地址池/中继配置正常;
3. 在AC对应无线VLAN接口抓包,确认是否存在DHCP Discover报文。
解决命令:配置安全策略允许DHCP流量,如security-policy ip rule 1 permit udp source-port 68 destination-port 67或security-policy ip rule 1 permit ip any any。
- 2026-06-05回答
- 评论(0)
- 举报
-
(0)
一、 核心结论:是否与 security-policy ip 配置为空有关?
有一定关系,但通常不是唯一原因。:
二、 综合排查步骤指南
1. 完善安全策略与本地域互通
由于终端发起 DHCP 请求时,报文会经过 AC 的 Local 域。请检查并补充必要的安全策略,确保 DHCP 报文不被拦截:
- 进入 IPv4 安全策略视图,创建放行规则。
- 务必放通源/目的安全区域中包含
Local域的流量,以及对应业务 VLAN 的流量,动作设置为pass。
2. 核查转发模式与 VLAN 可达性(关键)
根据 AP 采用的是集中转发还是本地转发,排查路径有所不同:
- 集中转发模式:数据流量必须全部回传到 AC 统一处理。需检查 AC 到核心交换机的上行链路是否放通了所有的业务 VLAN。
- 本地转发模式:数据流量由 AP 直接上联至接入交换机,不经过 AC。此时必须确保:
- 接入交换机连接 AP 的端口为 Trunk 模式,且
port trunk permit vlan列表中包含了该 SSID 绑定的业务 VLAN。 - 核心交换机或网关设备上已创建对应的 VLAN 接口(Vlan-interface),并正确配置了网关 IP 地址。
- 接入交换机连接 AP 的端口为 Trunk 模式,且
3. 验证 DHCP 服务状态与中继配置
- 若 AC 作为 DHCP Server:使用
display dhcp server pool检查对应业务 VLAN 的地址池是否已正确创建,且地址空间未耗尽。 - 若采用外部 DHCP Server(Relay 模式):
- 检查中间链路的 DHCP Relay 配置是否完整。
- 重点排查:检查 AC 或网关上是否开启了 DHCP Relay MAC 地址检查 或 DHCP Snooping。如果开启,必须将真实 DHCP 服务器的 IP 和 MAC 地址添加到信任列表(Trust List)中,否则设备会丢弃合法的 DHCP Offer 报文。
4. 确认认证流程是否正常
如果网络开启了 MAC 认证、Portal 认证或 802.1X 认证,认证失败会直接阻断后续的 DHCP 流程:
- 执行
display mac-authentication connection查看用户的认证状态。 - 如果终端开启了“随机 MAC 地址”功能,可能导致 MAC 认证失败。
- 确认认证域(ISP Domain)是否正确下发了授权 VLAN(Access-VLAN),且该 VLAN 的 DHCP 服务正常。
5. 抓包定位最终故障点
如果上述基础配置均无异常,建议采用分段抓包法来明确责任界限:
- 在 AC 侧或核心交换机侧抓取 DHCP 交互报文,观察终端发出的
DHCP Discover报文是否能到达服务器。 - 如果服务器未收到 Discover 报文,说明二层链路或 VLAN 路由不通;如果收到了但没有回复,说明是 DHCP 服务器本身的问题或 ACL 拦截。
- 2026-06-06回答
- 评论(0)
- 举报
-
(0)
一、security‑policy ip 空配置到底起什么作用
WX3010H‑L 从 7.1 起内置 “类防火墙” 安全策略:
security‑policy ip:控制跨安全域的三层流量放行 / 阻断;- 默认:空策略 = 拒绝所有跨域流量(隐式 deny)。
无线用户 DHCP 流程(简化):
无线终端 → AP → AC(WX3010H)→ DHCP 服务器
对应安全域:
- 无线用户:通常在 WLAN‑Trust / Wireless 域;
- DHCP 服务器:通常在 Trust / LAN / Upstream 域;
- DHCP 报文:UDP 67/68,必须跨域转发。
关键结论
- security‑policy ip 为空 = 跨域 DHCP 报文被全部丢弃;
- 表现:终端一直 “获取 IP 中”,最后拿到 169.254.x.x 私有地址;
- 你现在现象完全吻合:空策略 + 所有用户拿不到 IP。
二、为什么会出现 “空 security‑policy ip”
常见 3 种原因:
- 升级到 7.1.064 后默认开启安全策略,且默认空规则 = 拒绝;
- 误删 / 重置过策略,导致只剩空壳;
- 恢复过出厂配置,7.1 出厂就是空安全策略。
三、立刻能解决的配置(放行 DHCP)
1)命令行(直接复制)
bash
运行
# 进入安全策略视图
security-policy ip
# 放行无线→内网 DHCP(UDP 67/68)
rule name Permit-WLAN-DHCP
source-zone wireless
destination-zone trust
service dhcp
action permit
# 放行无线→内网所有IP(先恢复业务,后续再细化)
rule name Permit-WLAN-All
source-zone wireless
destination-zone trust
action permit
quit
save
2)Web 界面快速操作
- 进入 “策略 → 安全策略 → IPv4 安全策略”;
- 新建:
- 源安全域:wireless
- 目的安全域:trust
- 服务:DHCP
- 动作:允许
- 再建一条同上,服务选 “IP”,动作允许;
- 保存配置。
四、除了安全策略,还要排查这 4 点
-
DHCP 中继是否配置正确bash运行
display dhcp relay interface Vlan-interface X无线所在 VLAN 必须配置 dhcp relay server‑ip <DHCP 服务器 IP>。 -
VLAN 接口是否 UP、IP 是否正确bash运行
display ip interface brief -
AP 是否正常注册、无线服务是否绑定正确 VLANbash运行
display wlan ap all display wlan service-template all -
是否有 ACL 或端口隔离拦截 DHCPbash运行
display acl all display interface GigabitEthernet X/X/X
五、总结
- 直接原因:
security‑policy ip为空 → 跨域 DHCP 被拒绝 → 所有无线用户拿不到 IP; - 快速恢复:在安全策略里放行 wireless → trust 的 DHCP/IP 流量;
- 后续优化:业务恢复后,再细化策略,只放必要流量。
- 2026-06-07回答
- 评论(0)
- 举报
-
(0)
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
没啥影响