• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5130S和S5130S DHCP Snooping、DAI和IPSG故障

2024-05-22提问
  • 0关注
  • 0收藏,522浏览
粉丝:0人 关注:0人

问题描述:

交换机非正常的阻挡PC终端的合理数据

组网及组网描述:

1、故障背景 我有一个h3c交换机搭建的局域网。核心交换机是:S7500E。应用地点:学校。 我的接入层交换机(S5130S-52S-EI)所有接入端口有 ip verify source ip-address mac-address 和 dhcp snooping binding record 安全配置。 核心交换机作为所有vlan的DHCP服务器,所有区域的VALN都在核心交换机上有 VLAN interface,且是这些VLAN的网关,每个VLAN大致容纳250台左右终端。 在windows机房教室里,有两台接入层交换机,.23和.24;.23交换机上联到核心交换机S7500E,.23交换机和.24交换机通过级联口(光口)互联。 目前,在此教室的PC终端上看到,所有的pc都配置的自动获取IP地址,且大部分都能上网。 但有六台台式PC终端,虽然也是自动获取IP地址,虽然也有IP地址了,但就是无法上网,连网关都PING不通;已经将彼此的网线互换,以前可以上网的PC依然可以,但以前不能上网的PC依然不可以上网。 这六台PC的P和交换机接入端口如下: 10.20.210.221 e0be-039a-fe2a .24交换机 GE1/0/11 10.20.210.199 e0be-039b-1af6 .24交换机 GE1/0/10 10.20.210.209 e0be-039b-1df5 .24交换机 GE1/0/17 10.20.210.241 1c69-7afb-d0d4 .23交换机 GE1/0/28 10.20.210.77 e0be-039a-fe38 .23交换机 GE1/0/14 10.20.210.39 e0be-039b-24dc .24交换机 GE1/0/22 注意:这六台电脑都是全新电脑,才到教室的,安装的是win10企业版(总共是13台新电脑)。第一次开机的时候,所有新电脑都能正常上网的。以后每次开机就都有部分新电脑上不了网。 2、排障如下 (1)核心交换机 1)disp dhcp server ip-in-use pool 210 注1:出问题时,没有用此命令,所以没什么参考价值; 注2:且出故障时,还尝试在 dhcp server ip-pool 210 配置模式下,为这六台增加了 static-bind ip-address xxx hardware-address yyy 命令;执行命令后,全部还是无法上网。 2)display ip source binding display ip source binding | i 10.20.210. ... 10.20.210.77 e0be-039a-fe38 Vlan210 210 DHCP server ... 通过结果可知:只有 10.20.210.77 才在核心交换机的 ip source 绑定表中。 3) disp arp vlan 210 count Total number of entries on interface vlan 210: 66 通过结果可知:210 VLAN的 arp 条目还是够用的,因为总共有200多个,目前采用66个。 4)核心交换机有相关利害的配置 dhcp enable dhcp server forbidden-ip 10.20.210.25 10.20.210.30 dhcp server forbidden-ip 10.20.210.250 10.20.210.254 dhcp server ip-pool 210 gateway-list 10.20.210.1 network 10.20.210.0 mask 255.255.255.0 address range 10.20.210.11 10.20.210.254 dns-list 10.20.0.201 10.20.0.200 expired day 0 hour 0 minute 10 # 专门把地址池租期调小了的。 (2)两台接入交换机 1)查看 绑定表 display dhcp snooping binding display ip source binding 通过在接入交换机上使用上面两条命令可得:除了 10.20.210.77外,接入交换上的 dhcp snooping表 和 ip source绑定表 都没有上述六台PC的绑定记录。 2)接入交换机有相关利害的配置 dhcp snooping enable interface range g1/0/1 to g1/0/48 port access vlan 210 stp edged-port ip verify source ip-address mac-address dhcp snooping binding record (3)我临时解决的方案 我尝试在这些PC连接的接入交换机上的接口上配置:undo ip verify source 后,然后,这些PC就都可以上网了。 这个方法也是临时的,我们不能一直 undo ip verify source。我们需要教室区域的网络开启 DAI 和 IPSG 的。 (4)思考 我怀疑是不是这些电脑刚才开机时,自动尝试使用以前用过的IP地址;但是核心交换机并没有同意他们用这些IP地址,从而并没有DHCP ACK包回到这些客户端。 所以,dhcp snooping表 和 ip source绑定表 没有这些PC的记录,因此,接入交换机并不放行这些PC的数据包(非DHCP的)。简而言之,”交换机非正常的阻挡PC终端的合理数据“。 如果真实这样的话,如何解决呢? 3、需求 具体要求:windows计算机机房教室的h3c接入交换机连接到这些PC的终端的接口上,既能成功打上 ip verify source,且连接的PC终端又能正常上网。

最佳答案

粉丝:57人 关注:2人

这个问题挺经典的,要是解决了值得分享一下

我看你又发了一边,我就不再那个回复你了,都不回复,被原厂的看见,可能就有原厂的人来解答了


如果你不做 dhcp snooping binding record ,只在交换机上配置

ip verify source ip-address mac-address  之后在接口模式下静态绑定有问题的IP和mac ,看是否能上网呢

先缩小一下故障范围,看是动态绑定的问题还是 ip verify source 导致的

暂无评论

1 个回答
粉丝:336人 关注:0人

您好,DAI是思科的叫法,h3c的是ip source guard,配置参考

https://www.h3c.com/cn/d_201908/1222690_30005_0.htm#_Toc17893311

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明