问
交换机+ac+dhcp
21小时前提问
- 0关注
- 0收藏,71浏览
zhiliao_Gixe
五段
常见原因及排查步骤:
1. 正常场景(概率90%+):H3C AP为双MAC设计
AP的有线上联口有独立的物理MAC,DHCP请求报文从有线口发出,核心DHCP地址池记录的是AP有线口的MAC;而AC上display ap all默认展示的是AP的管理基准MAC(射频侧的Base MAC),二者天生不一致。
验证命令:登录AP执行display interface GigabitEthernet 0/0查看上联口MAC,和核心DHCP池内的MAC比对,一致即为正常现象。
2. 异常场景1:地址池IP被同VLAN其他终端占用
你查询的DHCP池内对应IP实际分配给了其他终端,并非AP的地址。先在AC上执行display ap all确认AP实际获取的IP,再到核心上查该指定IP对应的DHCP绑定条目核对MAC。
3. 异常场景2:网络内存在私接伪DHCP服务器
AP的DHCP请求被非法DHCP服务器响应,AP实际获取的不是核心DHCP分配的地址,核心地址池内的对应IP被其他设备占用。排查命令:核心执行display dhcp server conflict all查看地址冲突记录,在AP所属VLAN下配置DHCP Snooping,仅将连AC、连接入交换机的端口设为DHCP信任口,阻断非法DHCP服务。
1. 正常场景(概率90%+):H3C AP为双MAC设计
AP的有线上联口有独立的物理MAC,DHCP请求报文从有线口发出,核心DHCP地址池记录的是AP有线口的MAC;而AC上display ap all默认展示的是AP的管理基准MAC(射频侧的Base MAC),二者天生不一致。
验证命令:登录AP执行display interface GigabitEthernet 0/0查看上联口MAC,和核心DHCP池内的MAC比对,一致即为正常现象。
2. 异常场景1:地址池IP被同VLAN其他终端占用
你查询的DHCP池内对应IP实际分配给了其他终端,并非AP的地址。先在AC上执行display ap all确认AP实际获取的IP,再到核心上查该指定IP对应的DHCP绑定条目核对MAC。
3. 异常场景2:网络内存在私接伪DHCP服务器
AP的DHCP请求被非法DHCP服务器响应,AP实际获取的不是核心DHCP分配的地址,核心地址池内的对应IP被其他设备占用。排查命令:核心执行display dhcp server conflict all查看地址冲突记录,在AP所属VLAN下配置DHCP Snooping,仅将连AC、连接入交换机的端口设为DHCP信任口,阻断非法DHCP服务。
暂无评论
这个现象是正常的,主要是因为AP内部有多个功能独立的MAC地址,分别用于不同的通信目的。
简单来说,DHCP看到的和AC上显示的是AP的两张不同的“身份证”,它们本就该不同。
AC上显示的MAC地址:是AP的基础MAC(通常是有线网口的),作为设备的唯一标识,用于建立CAPWAP隧道和管理。
DHCP记录里的MAC地址:是AP用于请求IP地址那个端口的MAC,通常是射频口(Radio)或上联以太网口的MAC地址。
为了让你更清晰地理解,可以把AP想象成一栋大楼:
AC上显示的MAC:是大楼的正式门牌号,代表设备本身,用于建立CAPWAP隧道和管理通信。
DHCP记录的MAC:是某个房间的编号,AP启动后,会通过网口或射频口发出DHCP请求,这个请求携带的就是该接口的MAC地址。由于这两个地址同属一个AP,当AP重启或状态变更(如生成树协议STP拓扑变化,即Spanning Tree Protocol)时,可能导致交换机MAC地址表被瞬间刷新,将不同接口的流量都错误地导向同一个物理端口,从而在日志中留下这种看似“异常”的记录。
如何进一步验证
通过以下命令,可以在交换机上更清楚地看到MAC地址的学习情况,从而确认AP不同功能的MAC地址是否都从正确的端口被学到:
验证交换机是否已建立AP的MAC地址表项及STP状态:
<H3C> display stp brief(将<H3C> display mac-address | include <ap-mac-address><ap-mac-address>替换为实际的AP MAC地址)验证交换机与AP的连通性及DHCP IP分配情况:
<H3C> ping <ap-ip-address> <H3C> display arp | include <ap-ip-address>
AP使用多个MAC地址是其标准的硬件设计,只要AP能正常上线、业务不中断,就可以确认这是正常现象,而非故障。
暂无评论
这个问题在 AC + 瘦 AP 场景里非常典型,我给你拆解一下原因和解决办法:
一、为什么核心上的 DHCP 分配 MAC,和 AC 上的 AP MAC 不一样?
你看到的核心交换机上
display dhcp server ip-in-use 里的 MAC,不是 AP 的物理 MAC 地址,而是:- AP 的 CAPWAP 隧道源 MAC(虚拟 MAC)
- 或者 AP 的 BSSID(无线射频 MAC)
- 甚至是 AC 自身或中间设备的 MAC
这是因为在标准 AC + 瘦 AP 组网里,AP 的物理 MAC 和 DHCP 报文里的 MAC 不是同一个东西。
二、完整解释:AP 的 IP 到底是谁申请的?
1. 瘦 AP 上线的流程
- AP 上电 → 发送 DHCP 请求(源 MAC 是AP 自身的管理 MAC)
- 核心交换机 DHCP 服务器给 AP 分配 IP(IP+MAC 绑定的是AP 管理 MAC)
- AP 拿到 IP 后,和 AC 建立 CAPWAP 隧道(这时候隧道源 MAC 会被封装 / 转换)
- 之后所有管理流量,都通过 CAPWAP 隧道发送,AC 看到的 MAC 是隧道 MAC,不是原始的管理 MAC
2. 为什么会出现 “MAC 不一致”
表格
| 场景 | 核心 DHCP 里的 MAC | AC 上显示的 MAC | 原因 |
|---|---|---|---|
| 正常场景 | AP 的管理 MAC | AP 的物理 MAC / 管理 MAC | 完全一致 |
| CAPWAP 隧道封装 | 可能是AC 侧接口 MAC或隧道虚拟 MAC | AP 的物理 MAC | 隧道封装改变了源 MAC |
| 中间有三层转发 | 可能是核心 / 汇聚交换机的 MAC | AP 的物理 MAC | DHCP Relay 导致 MAC 被替换 |
| AP 多 VLAN / 多射频 | 可能是无线射频 BSSID | AP 的物理 MAC | 不同射频对应不同 MAC |
三、快速定位:哪个 MAC 才是对的?
1. 先在 AC 上看 AP 的真实 MAC
bash
运行
display wlan ap all verbose
找到你关心的 AP,里面有两个关键 MAC:
- AP 的物理 MAC(和设备背面标签一致)
- AP 的管理 IP(核心 DHCP 分配的 IP)
2. 再在核心上查这个 IP 对应的 MAC
bash
运行
display dhcp server ip-in-use pool 你的AP地址池 | include 这个IP
display arp | include 这个IP
对比这两个结果:
- 如果ARP 表里的 MAC 和 AC 上的 AP 物理 MAC 一致:说明 DHCP 分配是对的,只是 AC 管理界面显示的 MAC 是其他字段(比如 BSSID)
- 如果ARP 表里的 MAC 是 AC 或其他设备的 MAC:说明中间有三层转发或隧道封装,MAC 被替换了
四、常见的几种 “假不一致” 情况
- AC 上显示的是 BSSID,不是 AP 管理 MAC
- AC 里的 AP 列表,很多时候默认显示的是无线射频的 BSSID,而不是 AP 的管理 MAC
- 解决:看
display wlan ap verbose里的AP MAC Address字段,那才是管理 MAC
- DHCP 请求被 AC 或三层设备中继,MAC 被替换
- 如果 AP 的管理 VLAN 不是直连核心,而是经过 AC 或三层转发,DHCP 报文的源 MAC 会被中间设备替换
- 解决:把 AP 的管理 VLAN 直接透传到核心,关闭 AC 的 DHCP 中继
- AP 上线后,核心上的 ARP 表被 CAPWAP 隧道刷新
- AP 和 AC 建立隧道后,核心上的 ARP 表项可能会被 AC 的 MAC 覆盖
- 解决:清掉核心的 ARP 表,让 AP 重新触发 ARP 学习
五、解决办法(按优先级)
- 先确认 AC 上的 AP 管理 MAC 和 IP 对应关系
- 在核心上用 ARP 命令查 IP 对应的真实 MAC,和 AC 上的对比
- 关闭 AC 的 DHCP 中继,让 AP 的 DHCP 请求直接发给核心
- 确保 AP 的管理 VLAN 没有经过三层转发,避免 MAC 被替换
一句话总结:核心上 DHCP 分配的 MAC,和 AC 上显示的 AP MAC 不一致,大概率是AC 上显示的不是 AP 的管理 MAC,或者中间三层转发替换了 MAC,先通过
display arp 确认 IP 对应的真实 MAC,再和 AC 上的 AP 管理 MAC 对比即可。暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论