dot1x认证成功无法ping 通网关
- 0关注
- 0收藏,61浏览
问题描述:
交换机开debug,都看到收到报文和回复
ping -a 30.1.1.1 30.1.1.2
*Jan 24 10:17:34:112 2021 distribution_18.1.189.1 ARP/7/ARP_RCV: -Slot=2; Received an ARP message, operation: 1, sender MAC: 1451-7e9c-8bc6, sender IP: 30.1.1.2, target MAC: 4873-9743-1563, target IP: 30.1.1.1
*Jan 24 10:17:34:112 2021 distribution_18.1.189.1 ARP/7/ARP_SEND: -Slot=2; Sent an ARP message, operation: 2, sender MAC: 4873-9743-1563, sender IP: 30.1.1.1, target MAC: 1451-7e9c-8bc6, target IP: 30.1.1.2
Request time out
--- Ping statistics for 30.1.1.2 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
终端上抓包
执行display dot1x session interface <接入接口名>,确认dot1x认证成功后下发的授权VLAN是30网段所属VLAN,接入端口已正确加入该VLAN,未被强制划入未授权隔离VLAN阻断流量。
第二段:二层转发配置排查
执行display vlan 30、display port-isolation interface <接入接口名>,确认接入端口和网关所属上联口同属VLAN30,未配置端口隔离组阻断二者互访,同时执行display arp 30.1.1.2确认终端ARP表项学习正确。
第三段:安全策略拦截排查
执行display acl all、display packet-filter interface <接入接口名>,确认接入端口下无绑定ACL丢弃ARP/ICMP报文,未开启URPF校验、ARP过滤策略误丢包,dot1x授权ACL也未拦截终端访问网关的流量。
第四段:报文路径实勘
配置本地端口镜像:
mirroring-group 1 local
mirroring-group 1 mirroring-port <接入接口> both
mirroring-group 1 monitor-port <空闲监控口>
监控口接抓包工具确认交换机发出的ARP应答、ICMP应答已从接入端口发出,最终排查终端本地防火墙是否丢弃网关返回的报文。
授权的是微分段Total connections: 1 Slot ID: 1 User MAC address: 1451-7e9c-8bc6 Access interface: Bridge-Aggregation202 Username: ac1 User access state: Successful Authentication domain: campus IPv4 address: 30.1.1.2 IPv4 address source: User packet EAP packet identifier: 159 Authentication method: CHAP AAA authentication method: RADIUS Initial VLAN: 801 Authorization untagged VLAN: N/A Authorization tagged VLAN list: N/A Authorization VSI: N/A Authorization microsegment ID: 15001 Authorization ACL number/name: N/A Authorization dynamic ACL name: N/A Authorization user profile: N/A Authorization CAR: N/A Authorization URL: N/A Authorization IPv6 URL: N/A Authorization temporary redirect: Disabled Start accounting: Successful Real-time accounting-update failures: 0 Termination action: Default Session timeout period: 86400 sec Online from: 2021/01/24 09:04:33 Online duration: 17h 45m 39s
授权的是微分段Total connections: 1 Slot ID: 1 User MAC address: 1451-7e9c-8bc6 Access interface: Bridge-Aggregation202 Username: ac1 User access state: Successful Authentication domain: campus IPv4 address: 30.1.1.2 IPv4 address source: User packet EAP packet identifier: 159 Authentication method: CHAP AAA authentication method: RADIUS Initial VLAN: 801 Authorization untagged VLAN: N/A Authorization tagged VLAN list: N/A Authorization VSI: N/A Authorization microsegment ID: 15001 Authorization ACL number/name: N/A Authorization dynamic ACL name: N/A Authorization user profile: N/A Authorization CAR: N/A Authorization URL: N/A Authorization IPv6 URL: N/A Authorization temporary redirect: Disabled Start accounting: Successful Real-time accounting-update failures: 0 Termination action: Default Session timeout period: 86400 sec Online from: 2021/01/24 09:04:33 Online duration: 17h 45m 39s
关键结论先给
- 交换机收到了 30.1.1.2 发的 ARP 请求
- 交换机正常回复了 ARP 应答
- ARP 层面完全正常、收发都有
- 但终端 Ping 还是 100% 丢包、超时问题根本不在 ARP,在三层转发 / 网关回程路由 / ACL / 端口隔离 / VLAN 二层阻断,不是 ARP 故障。
一、逐条解析你的 Debug 日志
ARP_RCV:收到ARP请求 30.1.1.2 → 查30.1.1.1
ARP_SEND:交换机30.1.1.1 正常回ARP应答给30.1.1.2
ARP 通了(二层 MAC 可达),ICMP Echo 请求能到交换机,但交换机的 ICMP 应答回不去终端 或者 ICMP 被拦截、二层被隔离
二、最贴合你现场的 5 个必查原因(按概率从高到低)
1. 汇聚 / 交换机下行口配置了端口隔离(最高概率)
- ARP 是广播 / 组播,部分机型端口隔离不拦 ARP,所以 ARP 能交互、Debug 能看到收发
- 单播 ICMP 报文被端口隔离直接二层阻断现象完全对上:ARP 正常互通 → Ping 单播被隔离阻断 → 100% 丢包
2. 终端和交换机在同一个 VLAN,但配置了私有 VLAN / 隔离组
3. 交换机配置了ACL 禁止 ICMP / 禁 ping
- ARP 允许通过
- 下发 ACL 规则丢弃 ICMP Echo-Reply表现:ARP 正常,Ping 不通。
4. 三层接口 / 回程路由异常
- 终端发的 ICMP 请求能到 VLANIF
- 交换机没有回程路由把应答送回终端所在接口但同网段直连一般不存在路由问题,概率偏低。
5. 终端防火墙 / 系统防火墙拦截 ICMP
- 看终端有没有发出 ICMP 请求
- 看有没有收到交换机回的 ICMP 应答
三、你现在立刻做 2 个定位动作(最快锁定根因)
动作 1:终端抓包看 2 点
- 终端是否发出了 ICMP Echo 请求
- 终端是否收到了交换机发回来的 ICMP Echo 应答
- 只发请求、没收到应答 → 交换机回包被二层阻断(端口隔离 / VLAN 隔离 / ACL)
- 连 ARP 应答都没收到 → 终端网卡 / 配置问题(但你交换机 Debug 有 ARP 回复,基本排除)
动作 2:在交换机查 2 条关键配置
- 查下行接口是否有 端口隔离、隔离组
display port-isolate group
display interface GigabitEthernet x/x/x | include isolate
- 查是否有 ACL 丢弃 ICMP
display acl all
display packet-filter interface 入接口 inbound
四、极简总结
- ARP Debug 收发正常 = ARP 无任何问题,别再纠结 ARP;
- 故障本质:ARP 广播放行、ICMP 单播被二层隔离 / ACL 拦截;
- 头号嫌疑:汇聚下行端口隔离 直接阻断同 VLAN 单播 Ping;
- 优先排查:端口隔离 > 隔离组 > ACL 禁 ICMP > 终端防火墙。
一、核心现象拆解
ARP 交互完全正常:
终端(30.1.1.2)发 ARP 请求,交换机(30.1.1.1)收到并回复了 ARP 响应;
说明二层互通、ARP 学习都没问题,交换机已经知道终端 MAC,终端也知道网关 MAC。
ICMP ping 100% 丢包:
交换机 debug 里能看到收到 ICMP Echo 请求(ping 包),也发了 ICMP Echo Reply(回包);
但终端抓包看不到回包,说明回包被交换机拦截 / 丢弃,没发回终端。
二、最可能的根因(按概率排序)
1. 802.1X 认证后,端口的授权 VLAN / 控制 VLAN 配置错误
这是 dot1x 认证场景下的典型问题:
认证成功后,交换机给端口分配了授权 VLAN,但你终端实际 IP(30.1.1.0/24)不在这个 VLAN 里;
或者端口配置了dot1x auto,但同时有port access vlan X的静态 VLAN,和授权 VLAN 冲突;
导致 ARP 能过(二层广播),但单播的 ICMP 回包被 VLAN 隔离,发不回终端。
排查命令
bash
运行
display dot1x interface GigabitEthernet 1/0/1 verbose
display interface GigabitEthernet 1/0/1
重点看:Authorization VLAN 是不是和 30.1.1.0/24 所在 VLAN 一致。
2. 端口开启了dot1x 认证 + 端口隔离 / 二层 ACL / 流量过滤
很多交换机默认会给 dot1x 端口加上 ACL / 隔离规则,只允许认证报文,放行后忘记放开业务流量;
或者配置了port-security、mac-authentication等联动功能,拦截了非 ARP 的单播报文。
排查命令
bash
运行
display acl all
display packet-filter interface GigabitEthernet 1/0/1
display port-isolate group
检查端口是否有过滤 ICMP 的 ACL,或加入了隔离组。
3. 交换机开启了dot1x 认证 + 端口安全 / IP+MAC 绑定
认证成功后,交换机学习了终端的 MAC,但 IP+MAC 绑定表没生成;
或者配置了arp detection、ip source guard,只允许认证前的 IP,不允许认证后的业务 IP;
导致 ARP 能过(广播),但 ICMP 回包被 IP 源防护丢弃。
排查命令
bash
运行
display ip source guard interface GigabitEthernet 1/0/1
display arp ip-binding static
display arp ip-binding dynamic
看 30.1.1.2 的 IP+MAC 是否在绑定表中。
4. 终端侧防火墙 / 安全软件拦截了 ICMP
终端能收到 ARP,但系统防火墙 / 杀毒软件拦截了 ICMP 回包;
但你说交换机 debug 显示已经发了回包,这种情况概率很低,优先排除交换机侧问题。
三、按这个顺序排查,100% 定位问题
先看 dot1x 授权 VLAN:确认终端 IP 所在 VLAN 和端口授权 VLAN 一致;
再看端口 ACL / 流量过滤:是否有规则拒绝了 ICMP/IP 单播;
检查 IP 源防护 / ARP 检测:终端 IP+MAC 是否被允许;
最后排查终端防火墙:关闭系统防火墙再测试。
四、快速修复建议
临时把端口改成access模式,去掉 dot1x 认证,测试 ping 是否正常;
如果正常,就是 dot1x 授权 VLAN 或过滤规则的问题;
把授权 VLAN 改成终端 IP 所在的 VLAN,去掉多余的 ACL 和 IP 源防护。
结合你提供的日志,ARP请求(op:1)和应答(op:2)报文收发正常,证明二层链路和ARP协议工作是正常的。问题大概率出在设备收到了ARP报文,但后续的ICMP报文处理环节出了问题。建议按以下思路排查:
故障排查思路
1. ARP表项检查
虽然ARP报文收发正常,但需确认表现是否被设备采纳:
核心命令: 确认表项存在且MAC地址与日志一致
display arp | include 30.1.1.2异常场景:
表项缺失: 需排查ARP报文是否被上送CPU。
MAC地址不符: 可能存在IP地址冲突或ARP欺骗,需在交换机上定位真实端口。
2. ICMP报文处理与CPU防护
如果ARP表项正常,问题可能在于ICMP报文被丢弃,特别是-a参数指定源IP的ping报文可能触发不同的处理逻辑。
开启IP/ICMP调试: 精确定位报文是在哪个环节被丢弃。<H3C> terminal monitor
<H3C> terminal debugging <H3C> debugging ip packet acl <acl-number> # 建议使用ACL精准过滤 <H3C> debugging ip icmp如果debugging ip packet显示报文到达但被丢弃,需重点排查防攻击策略。检查CPU防护: 以下策略可能将ICMP报文误判为攻击,需分场景检查:
display cpu-defend policydisplay attack-defense policydisplay blacklist ip设备是否配置了ICMP限速或禁ping功能(如
icmp rate-limit或undo icmp echo-reply enable等)。设备CPU使用率是否过高(
display cpu-usage),导致部分协议报文被丢弃。
3. 三层转发与策略检查
如果ICMP报文未被丢弃但依然不通,需检查转发路径和安全策略。
检查FIB表: 验证路由表项是否与ARP一致。
display fib 30.1.1.2如果FIB表项缺失或下一跳MAC非预期,说明路由模块存在故障。排查安全策略:
包过滤:
display packet-filter statistics interface <interface-name>检查是否有ACL拦截。策略路由:
display ip policy-based-route查看是否存在优先级更高的PBR将流量导向错误路径。安全域策略: 如果使用了安全域,需
display security-policy确认是否放行相关流量。URPF检查 (严格模式):
display ip urpf interface Vlan-interface<id>,错误的入接口会被丢弃。
4. 物理链路与生成树状态
生成树状态: 检查端口是否因STP/MSTP处于阻塞状态。
display stp brief物理接口检查: 确认接口流量统计、错包和协商状态。
display interface <interface-name>
问题定位与解决方案
若ARP表项正常,但ICMP不通: 重点排查ICMP报文是否被丢弃(ACL、防攻击策略、限速),或检查FIB表。
若FIB表项异常: 路由协议问题或ARP/路由联动故障,尝试清除ARP并重新学习。
若debug显示交换机收到且未转发: 检查是否存在ARP缓存污染,特别是M-LAG/DRNI等复杂组网,可尝试清除动态ARP并重新学习。
reset arp dynamic
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明