组网:网关------胖AP- - - -无线终端
某局点反馈使用的是WA5530胖模式,网关在上行防火墙上,无线终端会偶发性的出现和网关不通的情况,出现问题时终端还连着WiFi,且AC上能看到client信息,但终端无法ping通网关,重连WiFi即可恢复。
1. 终端连着WiFi,却和网关不通,通常伴随的现象时终端上没有了网关的ARP信息。终端复现现象时,运行cmd,通过arp –a查看终端的arp表项,发现终端侧没有网关的arp信息。所以终端和网关不通的直接原因就是ARP学习异常。
2. AP下某一终端复现和网关不通的时候其它终端通信是正常的。
3. AP上配置一个和终端同vlan的IP地址,使终端和网关通信的ARP报文可以上送AP CPU处理,便于debug。AP 上debug arp 报文发现AP有收到终端的ARP请求,也有收到网关回应的ARP请求。AP软件层面显示ARP学习正常。
4. AP 驱动上进行debug,发现AP也有发送网关的ARP回应报文。
[AP]probe
[AP-probe] debugging system internal mac-forwarding packet content 11:11:11:11:11:11
[AP-probe]debugging ar5 1 packet output dest-mac 1111-1111-1111 verbose
[AP-probe]debugging ar5 1 packet input src-mac 1111-1111-1111 verbose
5. 经过以上分析,AP软件驱动层面处理报文是没有问题的,都有正常收发ARP报文,但是终端侧没有学到ARP表项,看着像是终端侧问题。
6. 了解了一下终端的网卡信息,网卡驱动型号如下,客户现场采购的是比较新的笔记本
7. 还是怀疑是终端侧问题。查看AP配置发现服务模板下加密方式是如此配置的
wlan service-template 1
ssid H3C-Guest
akm mode psk
preshared-key pass-phrase cipher $c$3$EIx/nFwYOY+IsLyDCCKXE+swvh1rSWA1xf+uwbjh
cipher-suite tkip
security-ie rsn
security-ie wpa
service-template enable
考虑到某些终端可能对tkip加密算法兼容性不好,建议前方删除tkip观察。删除tkip配置后,问题解决,终端未再出现偶发性和网关不通的现象。
tkip和ccmp这俩是两种不同的加密算法,密钥衍生机制和加密算法不同,tkip比较早期的协议,后来因为安全性不高,逐渐被ccmp替换。某些终端可能对tkip加密算法兼容性不好,尽量避免配置tkip。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作