• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

pvlan配置完成后拿不到ip地址

2026-06-27提问
  • 0关注
  • 0收藏,181浏览
粉丝:0人 关注:0人

问题描述:

在核心交换机上可以看到mac地址,但是终端没有ip。

组网及组网描述:

核心交换机纯二层

vlan 201

 private-vlan isolated

#

#

vlan 601

 name OA-1F

 private-vlan primary

 private-vlan secondary 201

#

 

下行接口连接接入交换机

[OA-H3C-210.71-A01-4-16U]dis cu int Bridge-Aggregation 113  

#

interface Bridge-Aggregation113

 description To-A2-1F-01-H3C-210.38-4U

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 201 601 1004

 port private-vlan 201 trunk secondary

 port-isolate enable group 1

 link-aggregation mode dynamic

 

上行接口连接bras网关

[OA-H3C-210.71-A01-4-16U]dis cu int Bridge-Aggregation 11

#

interface Bridge-Aggregation11

 description To-ZX-Bras-M6000

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 119 201 601 to 611 1004

 port private-vlan 601 promiscuous

 link-aggregation mode dynamic

#

 

 

接入交换机配置

 

上行接口连接汇聚

<A2-1F-01-H3C-210.38>dis cu int Bridge-Aggregation 1

#

interface Bridge-Aggregation1

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 201 601 606 1004

 link-aggregation mode dynamic

 dhcp snooping trust

 

 

连接终端接口

<A2-1F-01-H3C-210.38>dis cu int GigabitEthernet 1/0/7

#

interface GigabitEthernet1/0/7

 description dT:2TO

 port access vlan 201

 port-isolate enable group 1

#

return

 

最佳答案

粉丝:19人 关注:2人

PVLAN 终端能学到 MAC 但拿不到 DHCP IP 完整排错(H3C 二层核心 + 接入场景)
核心现象拆解
交换机已学习终端 MAC = 二层转发通、物理链路没问题;
DHCP 拿不到地址,根源集中在:PVLAN promiscuous/secondary 配置错误、Trunk 透传 PVLAN 规则缺失、DHCP Snooping 阻断报文、VLAN 隔离导致 DHCP 报文无法到达 BRAS。
一、第一大问题:汇聚下行 Trunk 配置错误(直接阻断 DHCP 请求上送 BRAS)
错误点
plaintext
interface Bridge-Aggregation113
port private-vlan 201 trunk secondary
这条命令完全写反逻辑,解释:
主 VLAN:601 (Primary),隔离从 VLAN:201 (Isolated Secondary)
下联接入交换机的 Trunk 口,必须声明主 VLAN,而不是写 secondary 从 VLAN
port private-vlan X trunk secondary 仅用于上联 promiscuous 口,下联透传 PVLAN 统一用:port private-vlan trunk
修正下联聚合口 Bridge-Aggregation 113
plaintext
interface Bridge-Aggregation113
undo port private-vlan 201 trunk secondary
port private-vlan trunk
undo port-isolate enable group 1
补充说明:下联对接接入交换机的 Trunk不要开 port-isolate,端口隔离会跨设备阻断 DHCP 交互。
二、第二点:上行 BRAS 侧 promiscuous 口配置校验(你这条配置语法正确,但核对参数)
plaintext
interface Bridge-Aggregation11
port private-vlan 601 promiscuous
要求:promiscuous 后跟主 VLAN 601,这条语法没问题;
确认该聚合口允许主 VLAN601、从 VLAN201 都放行,你配置里port trunk permit vlan 201 601 to 611 没问题。
三、第三块:接入交换机缺失 PVLAN 透传配置(致命漏配)
接入交换机上行聚合口只放通 VLAN,没有 PVLAN 透传指令,跨设备 PVLAN 隔离失效、DHCP 报文转发异常:
plaintext
# 接入交换机 Bridge-Aggregation1 补充PVLAN透传
interface Bridge-Aggregation1
port private-vlan trunk
四、第四类高频诱因:DHCP Snooping 拦截 DHCP 报文
1. 接入交换机终端口为 untrust,无 Option82、报文被丢弃
接入终端口配置:
plaintext
interface GigabitEthernet 1/0/7
dhcp snooping bind-table static disable
dhcp snooping untrust
DHCP 请求从 untrust 端口发出,交换机校验 MAC 绑定,无绑定直接丢弃 DHCP Discover,终端无 IP。
两种修复方案(二选一)
方案 1(推荐,园区标准):全局开启 DHCP Snooping,信任上行聚合口
plaintext
# 接入交换机全局
dhcp snooping enable
dhcp snooping check mac-address disable
# 上行聚合口已经配置 dhcp snooping trust 无需修改
# 终端口保持默认untrust,正常发包
方案 2(测试临时关闭):关闭接入交换机 DHCP Snooping
plaintext
undo dhcp snooping enable
2. PVLAN+DHCP Snooping 冲突关键点
隔离 VLAN201 终端发出的 DHCP 报文,仅允许转发至 promiscuous 口(BRAS);
若 Trunk 缺少port private-vlan trunk,交换芯片无法识别 PVLAN 映射,DHCP 单播 / 广播转发逻辑错乱,报文丢包。
五、第五:PVLAN 基础映射校验(核心交换机)
确认主从 VLAN 绑定正常,执行查看命令:
plaintext
display private-vlan
正常输出示例:
plaintext
Primary VLAN:601
Secondary VLAN type ID
Isolated 201
若无输出,重新绑定 PVLAN:
plaintext
vlan 601
private-vlan primary
private-vlan secondary 201
六、第六:广播域阻断排查
隔离 VLAN 终端之间互通被隔离是正常现象,但终端与 promiscuous 口(BRAS)必须互通;
测试办法:在核心交换机复制一条 access 口划入 VLAN601(主 VLAN promiscuous 域),接电脑测试能否获取 IP
主 VLAN601 能拿到 IP = BRAS、DHCP 服务正常,问题仅出在 secondary 隔离 VLAN201 的 PVLAN 透传;
主 VLAN 也拿不到 IP:排查上行 BRAS 链路、DHCP 地址池、VLAN 透传放行。
七、全套修正后标准配置整理
1)核心汇聚交换机 下行聚合 BA113
plaintext
interface Bridge-Aggregation113
description To-A2-1F-01-H3C-210.38-4U
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 201 601 1004
undo port-isolate enable group 1
undo port private-vlan 201 trunk secondary
port private-vlan trunk
link-aggregation mode dynamic
2)核心汇聚 上行 BRAS 聚合 BA11(无需改动,保留)
plaintext
interface Bridge-Aggregation11
description To-ZX-Bras-M6000
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 119 201 601 to 611 1004
port private-vlan 601 promiscuous
link-aggregation mode dynamic
3)接入交换机上行聚合 BA1 新增 PVLAN 透传
plaintext
interface Bridge-Aggregation1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 201 601 606 1004
port private-vlan trunk
link-aggregation mode dynamic
dhcp snooping trust
八、排错验证命令
查看 PVLAN 全局映射
display private-vlan
查看接口 PVLAN 模式
display this interface Bridge-Aggregation 113
抓 DHCP 报文(交换机镜像或 bras 侧)
debugging dhcp snooping packet
查看 MAC 表确认 VLAN 映射
display mac-address vlan 201
九、补充原理总结
promiscuous 口:对接网关 / BRAS,绑定主 VLAN;
trunk 透传口(跨设备互联):只配port private-vlan trunk,不能带 secondary;
isolated 隔离从 VLAN 终端只能和 promiscuous 口通信,跨设备缺少 PVLAN 透传会导致 DHCP 广播无法上送网关;
DHCP Snooping 未全局开启 / 端口信任异常会直接丢弃 DHCP 请求报文,MAC 能学习但无 IP。

port private-vlan trunk 这条命令不支持,只支持]port private-vlan host或者 ]port private-vlan vlan-id trunk promiscuous ;port private-vlan vlan-id trunk secondary 。我怀疑是设备版本太低的问题导致

zhiliao_aLr7Xw 发表时间:4天前 更多>>

port private-vlan trunk 这条命令不支持,只支持]port private-vlan host或者 ]port private-vlan vlan-id trunk promiscuous ;port private-vlan vlan-id trunk secondary 。我怀疑是设备版本太低的问题导致

zhiliao_aLr7Xw 发表时间:4天前
1 个回答
xiaoyu 九段
粉丝:73人 关注:0人

下行口不要放通Pvlan,上行口不要放通sec vlan,手动设置ip地址看看是否能和网关通吗,如果不行,可以先把隔离组什么的删除看下

手动设置ip地址看看能和网关通吗

xiaoyu 发表时间:2026-06-27 更多>>

核心交换机下行口配置port private-vlan 201 trunk secondary 就会自动放行对应的pvlan。对应的接口从隔离组中踢了。还是拿不到ip。

zhiliao_aLr7Xw 发表时间:2026-06-27

手动设置ip地址看看能和网关通吗

xiaoyu 发表时间:2026-06-27

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明