简易拓扑结构
这边现场S5130S是使用dhcp snooping + arp detection的场景;
原来终端接在10.43.252.4接入交换机下,交换机有 dhcp snooping表项和dis ip source binding 表项;
当在 10.43.252.4下串接一台新的接入交换机 10.43.252.240,终端改接到 252.240交换机上,此时 10.43.252.4和 10.43.252.240都有该终端的 dhcp snooping表项,但是此时该终端能获取到IP地址,但是无法ping通网关,只能在 10.43.252.4上reset掉关于该终端的 dhcp snooping表项后,终端才能正常通讯。
1、 现场两个设备上都可以查到dhcp snooping 表项
1.2、下连交换机的表项
1. PC迁移后能正常使用,但是每120s就需要重新认证802.1X,影响用户正常使用。
该功能需要终端PC具备自动上报用户名密码等功能,可以在重认证时不需要用户反复提交相关信息进行认证,由于现场PC不具备该能力,所以无法使用。
2.配置运行MAC迁移功能后,PC迁移后无法使用,获取不了IP地址
远程排查发现实际只在S5130-S02设备上开启了port-security mac-move permit,而S01上未开启,所以现场将PC从S01设备上的1/0/25口迁移到1/0/24口上后,查看lldp邻居在1/0/24口上,但是ip source bind表项仍显示在1/0/25口下。
<H3C>dis l n l
Chassis ID : * -- -- Nearest nontpmr bridge neighbor
# -- -- Nearest customer bridge neighbor
Default -- -- Nearest bridge neighbor
Local Interface Chassis ID Port ID System Name -
GE1/0/20 2cf0-5d49-a092 2cf0-5d49-a092 -
GE1/0/24 84a9-3e75-041a 84a9-3e75-041a -
GE1/0/24 2cf0-5dc3-0701 2cf0-5dc3-0701 -
GE1/0/24 a44c-c82d-74e0 a44c-c82d-74e0 -
<H3C>dis ip source binding | in 74e0
10.43.207.21 a44c-c82d-74e0 GE1/0/25 207 DHCP snooping
10.43.207.21 a44c-c82d-74e0 GE1/0/25 207 802.1X
在S01上开启MAC迁移功能后,终端在SW01上迁移后,可以重新在新端口上上线,原始端口会将该用户立即进行下线处理。此时终端可以正常发送DHCP discovery报文,并更新dhcp snooping表项。
这种方案可以允许如上图组网中在S01上配置1x认证的端口来回迁移,但是如果是从S01迁移到S02则不行,原因是设备迁移至S02后,S01原来的端口没down,感知不到这个mac迁移到了S02,当前无法解决该问题。
针对当前现场存在跨设备迁移的情形,建议在S01和S02上增加一台汇聚设备,汇聚设备分别下联S01和S02,将1x认证只集中在汇聚上配置。或者改S01和S02为同型号设备后配置堆叠,这样两台设备虚拟成同一台设备,终端迁移后,两台设备上可以相互感知,正常迁移。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作