• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5130S和 S7500E 的DHCP Snooping和IPSG故障

2024-05-22提问
  • 1关注
  • 0收藏,184浏览
粉丝:0人 关注:0人

问题描述:

交换机非正常的阻挡PC终端的合理数据

组网及组网描述:

1、故障背景 我有一个h3c交换机搭建的局域网。核心交换机是:S7500E。应用地点:学校。 我的接入层交换机(S5130S-52S-EI)所有接入端口有 ip verify source ip-address mac-address 和 dhcp snooping binding record 安全配置。 核心交换机作为所有vlan的DHCP服务器,所有区域的VALN都在核心交换机上有 VLAN interface,且是这些VLAN的网关,每个VLAN大致容纳250台左右终端。 在windows机房教室里,有两台接入层交换机,.23和.24;.23交换机上联到核心交换机S7500E,.23交换机和.24交换机通过级联口(光口)互联。 目前,在此教室的PC终端上看到,所有的pc都配置的自动获取IP地址,且大部分都能上网。 但有六台台式PC终端,虽然也是自动获取IP地址,虽然也有IP地址了,但就是无法上网,连网关都PING不通;已经将彼此的网线互换,以前可以上网的PC依然可以,但以前不能上网的PC依然不可以上网。 这六台PC的IP和交换机接入端口如下: 10.20.210.221 e0be-039a-fe2a .24交换机 GE1/0/11 10.20.210.199 e0be-039b-1af6 .24交换机 GE1/0/10 10.20.210.209 e0be-039b-1df5 .24交换机 GE1/0/17 10.20.210.241 1c69-7afb-d0d4 .23交换机 GE1/0/28 10.20.210.77 e0be-039a-fe38 .23交换机 GE1/0/14 10.20.210.39 e0be-039b-24dc .24交换机 GE1/0/22 注意:这六台电脑都是全新电脑,才到教室的,安装的是win10企业版(总共是13台新电脑)。第一次开机的时候,所有新电脑都能正常上网的。以后每次开机就都有部分新电脑上不了网。 2、排障如下 (1)核心交换机 1)disp dhcp server ip-in-use pool 210 注1:出问题时,没有用此命令,所以没什么参考价值; 注2:且出故障时,还尝试在 dhcp server ip-pool 210 配置模式下,为这六台增加了 static-bind ip-address xxx hardware-address yyy 命令;执行命令后,全部还是无法上网。 2)display ip source binding display ip source binding | i 10.20.210. ... 10.20.210.77 e0be-039a-fe38 Vlan210 210 DHCP server ... 通过结果可知:只有 10.20.210.77 才在核心交换机的 ip source 绑定表中。 3) disp arp vlan 210 count Total number of entries on interface vlan 210: 66 通过结果可知:210 VLAN的 arp 条目还是够用的,因为总共有200多个,目前采用66个。 4)核心交换机有相关利害的配置 dhcp enable dhcp server forbidden-ip 10.20.210.25 10.20.210.30 dhcp server forbidden-ip 10.20.210.250 10.20.210.254 dhcp server ip-pool 210 gateway-list 10.20.210.1 network 10.20.210.0 mask 255.255.255.0 address range 10.20.210.11 10.20.210.254 dns-list 10.20.0.201 10.20.0.200 expired day 0 hour 0 minute 10 # 专门把地址池租期调小了的。 (2)两台接入交换机 1)查看 绑定表 display dhcp snooping binding display ip source binding 通过在接入交换机上使用上面两条命令可得:除了 10.20.210.77外,接入交换上的 dhcp snooping表 和 ip source绑定表 都没有上述六台PC的绑定记录。 2)接入交换机有相关利害的配置 dhcp snooping enable interface range g1/0/1 to g1/0/48 port access vlan 210 stp edged-port ip verify source ip-address mac-address dhcp snooping binding record (3)我临时解决的方案 我尝试在这些PC连接的接入交换机上的接口上配置:undo ip verify source 后,然后,这些PC就都可以上网了。 这个方法也是临时的,我们不能一直 undo ip verify source。我们需要教室区域的网络开启 DAI 和 IPSG 的。 (4)思考 我怀疑是不是这些电脑刚才开机时,自动尝试使用以前用过的IP地址;但是核心交换机并没有同意他们用这些IP地址,从而并没有DHCP ACK包回到这些客户端。 所以,dhcp snooping表 和 ip source绑定表 没有这些PC的记录,因此,接入交换机并不放行这些PC的数据包(非DHCP的)。简而言之,”交换机非正常的阻挡PC终端的合理数据“。 如果真实这样的话,如何解决呢? 3、问题 为什这6台中有5台动态生成绑定表?如何才能去动态生成呢? 4、需求 具体要求:windows计算机机房教室的h3c接入交换机连接到这些PC的终端的接口上,既能成功打上 ip verify source,且连接的PC终端又能正常上网。

1 个回答
粉丝:141人 关注:8人

根据您提供的信息和故障背景,这里有几个可能的故障点和排查建议:

  1. DHCP Snooping 和 IP Source Guard
    您提到所有接入端口都配置了ip verify source ip-address mac-addressdhcp snooping binding record安全配置。这些配置是为了防止IP地址欺骗和DHCP欺骗。但是,如果配置不当或网络中有设备(如PC)未能正确参与DHCP过程,可能会导致网络问题。

    • 排查建议
      • 确认这六台PC的DHCP请求是否都被正确转发到DHCP服务器(核心交换机)。
      • 尝试暂时关闭dhcp snoopingip source guard功能(在一个端口上或整个交换机上),然后检查问题是否解决。如果解决了,再重新检查配置并逐一排查。
  2. 静态绑定
    您提到在DHCP服务器上为这六台PC增加了静态绑定,但问题仍然存在。

    • 排查建议
      • 仔细检查静态绑定的配置是否正确,包括IP地址、MAC地址和VLAN信息。
      • 清除这些静态绑定,然后再次尝试让PC自动获取IP地址。
  3. ARP 表和路由
    虽然ARP条目数量看起来足够,但还需要检查ARP条目是否正确,并且路由表是否正确。

    • 排查建议
      • 使用display arp命令检查核心交换机上是否有这些PC的ARP条目。
      • 检查核心交换机的路由表,确保没有路由黑洞或路由错误。
  4. 物理连接和线缆
    虽然您提到已经互换了网线,但还需要进一步检查物理连接和线缆的质量。

    • 排查建议
      • 使用网络测试仪检查线缆的连通性和质量。
      • 尝试使用其他已知的好线缆替换当前线缆。
  5. 接入交换机之间的级联口
    由于.23.24交换机之间通过级联口(光口)互联,需要确保级联口配置正确,并且没有故障。

    • 排查建议
      • 检查级联口的配置,包括VLAN、IP地址(如果有的话)和端口状态。
      • 尝试在级联口之间发送ping包或traceroute来检查连通性。
  6. PC 端配置
    由于这些是新电脑,还需要检查PC端的网络配置和设置。

    • 排查建议
      • 检查PC的网络适配器设置,确保它们被配置为自动获取IP地址和DNS。
      • 尝试在PC上禁用和重新启用网络适配器,或者重启PC来重新获取IP地址。
      • 检查PC的防火墙和安全软件设置,确保它们没有阻止网络访问。
  7. 日志和监控
    使用交换机的日志和监控功能来查找可能的错误或警告信息。

    • 排查建议
      • 启用交换机的日志功能,并检查与这六台PC相关的日志条目。
      • 使用网络监控工具来检查网络流量和性能。

 

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明