标准ADCampus方案组网。
某局点反馈终端接入ADCampus网络后,并没有获取到byod作用域的地址,而是直接拿到了某个作用域的地址。例如byod作用域的地址是97.1.1.0/24网段的,结果终端接入获取的地址是87.1.1.5,该地址是属于”互联网安全组“作用域的。
虽然拿到了业务段的地址,但是终端并不能ping通网关,以至于影响了客户的业务。
首先在Leaf上查看终端的VSI认证表项,发现该终端已授权到byod作用域所在的VSI,说明MAC认证是正常的。
接着在DHCP后台抓包,发现DHCP Discover报文的Option82字段所携带的授权vxlan id是3510,说明上送DHCP Server处理的报文也是正常的。
然后查看DHCP Offer报文,发现DHCP Server给终端分配了一个”互联网安全组“作用域的地址,并非byod作用域的地址。这说明DHCP Server处理报文出现了问题。
最后查看DHCP Server的DHCP管理器,发现”互联网安全组“作用域所绑定策略的地址范围是”87.1.1.100~87.1.1.200“,而”互联网安全组“作用域的地址池是”87.1.1.1~87.1.1.254“,说明该作用域的地址并非都绑定了策略。当前微软DHCP Server的实现机制是基于策略的作用域地址比未配置策略的作用域地址分配优先级低。如果DHCP Server有多个作用域,且其中一个作用域未绑定策略,则该作用域的地址会被优先分配。以”互联网安全组“作用域的地址分配为例,微软DHCP Server会优先分配”87.1.1.1~87.1.1.99、87.1.1.201~87.1.1.254“范围内的地址。
所以终端在第一次MAC认证后,优先获取了”互联网安全组“作用域的地址,而不是byod作用域的地址。
为了解决上述场景的问题,需要将”互联网安全组“作用域内的地址都和策略绑定,确保同一个DHCP Server内的作用域均已绑定策略,特别是手工创建作用域时,务必注意绑定策略。如下图所示,修改策略的IP地址范围。
如果客户有需求,希望只将某作用域内的部分地址分配给用户,则可以通过在DR2000的DDI配置界面(资源—DDI—DHCP配置),添加不分配的IP地址范围来实现。操作过程如下图所示:
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作