在核心交换机上可以看到mac地址,但是终端没有ip。
核心交换机纯二层
vlan 201
private-vlan isolated
#
#
vlan 601
name OA-1F
private-vlan primary
private-vlan secondary 201
#
下行接口连接接入交换机
[OA-H3C-210.71-A01-4-16U]dis cu int Bridge-Aggregation 113
#
interface Bridge-Aggregation113
description To-A2-1F-01-H3C-210.38-4U
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 201 601 1004
port private-vlan 201 trunk secondary
port-isolate enable group 1
link-aggregation mode dynamic
上行接口连接bras网关
[OA-H3C-210.71-A01-4-16U]dis cu int Bridge-Aggregation 11
#
interface Bridge-Aggregation11
description To-ZX-Bras-M6000
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 119 201 601 to 611 1004
port private-vlan 601 promiscuous
link-aggregation mode dynamic
#
接入交换机配置
上行接口连接汇聚
<A2-1F-01-H3C-210.38>dis cu int Bridge-Aggregation 1
#
interface Bridge-Aggregation1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 201 601 606 1004
link-aggregation mode dynamic
dhcp snooping trust
连接终端接口
<A2-1F-01-H3C-210.38>dis cu int GigabitEthernet 1/0/7
#
interface GigabitEthernet1/0/7
description dT:2TO
port access vlan 201
port-isolate enable group 1
#
return
(0)
最佳答案
PVLAN 终端能学到 MAC 但拿不到 DHCP IP 完整排错(H3C 二层核心 + 接入场景)
核心现象拆解
交换机已学习终端 MAC = 二层转发通、物理链路没问题;
DHCP 拿不到地址,根源集中在:PVLAN promiscuous/secondary 配置错误、Trunk 透传 PVLAN 规则缺失、DHCP Snooping 阻断报文、VLAN 隔离导致 DHCP 报文无法到达 BRAS。
一、第一大问题:汇聚下行 Trunk 配置错误(直接阻断 DHCP 请求上送 BRAS)
错误点
plaintext
interface Bridge-Aggregation113
port private-vlan 201 trunk secondary
这条命令完全写反逻辑,解释:
主 VLAN:601 (Primary),隔离从 VLAN:201 (Isolated Secondary)
下联接入交换机的 Trunk 口,必须声明主 VLAN,而不是写 secondary 从 VLAN
port private-vlan X trunk secondary 仅用于上联 promiscuous 口,下联透传 PVLAN 统一用:port private-vlan trunk
修正下联聚合口 Bridge-Aggregation 113
plaintext
interface Bridge-Aggregation113
undo port private-vlan 201 trunk secondary
port private-vlan trunk
undo port-isolate enable group 1
补充说明:下联对接接入交换机的 Trunk不要开 port-isolate,端口隔离会跨设备阻断 DHCP 交互。
二、第二点:上行 BRAS 侧 promiscuous 口配置校验(你这条配置语法正确,但核对参数)
plaintext
interface Bridge-Aggregation11
port private-vlan 601 promiscuous
要求:promiscuous 后跟主 VLAN 601,这条语法没问题;
确认该聚合口允许主 VLAN601、从 VLAN201 都放行,你配置里port trunk permit vlan 201 601 to 611 没问题。
三、第三块:接入交换机缺失 PVLAN 透传配置(致命漏配)
接入交换机上行聚合口只放通 VLAN,没有 PVLAN 透传指令,跨设备 PVLAN 隔离失效、DHCP 报文转发异常:
plaintext
# 接入交换机 Bridge-Aggregation1 补充PVLAN透传
interface Bridge-Aggregation1
port private-vlan trunk
四、第四类高频诱因:DHCP Snooping 拦截 DHCP 报文
1. 接入交换机终端口为 untrust,无 Option82、报文被丢弃
接入终端口配置:
plaintext
interface GigabitEthernet 1/0/7
dhcp snooping bind-table static disable
dhcp snooping untrust
DHCP 请求从 untrust 端口发出,交换机校验 MAC 绑定,无绑定直接丢弃 DHCP Discover,终端无 IP。
两种修复方案(二选一)
方案 1(推荐,园区标准):全局开启 DHCP Snooping,信任上行聚合口
plaintext
# 接入交换机全局
dhcp snooping enable
dhcp snooping check mac-address disable
# 上行聚合口已经配置 dhcp snooping trust 无需修改
# 终端口保持默认untrust,正常发包
方案 2(测试临时关闭):关闭接入交换机 DHCP Snooping
plaintext
undo dhcp snooping enable
2. PVLAN+DHCP Snooping 冲突关键点
隔离 VLAN201 终端发出的 DHCP 报文,仅允许转发至 promiscuous 口(BRAS);
若 Trunk 缺少port private-vlan trunk,交换芯片无法识别 PVLAN 映射,DHCP 单播 / 广播转发逻辑错乱,报文丢包。
五、第五:PVLAN 基础映射校验(核心交换机)
确认主从 VLAN 绑定正常,执行查看命令:
plaintext
display private-vlan
正常输出示例:
plaintext
Primary VLAN:601
Secondary VLAN type ID
Isolated 201
若无输出,重新绑定 PVLAN:
plaintext
vlan 601
private-vlan primary
private-vlan secondary 201
六、第六:广播域阻断排查
隔离 VLAN 终端之间互通被隔离是正常现象,但终端与 promiscuous 口(BRAS)必须互通;
测试办法:在核心交换机复制一条 access 口划入 VLAN601(主 VLAN promiscuous 域),接电脑测试能否获取 IP
主 VLAN601 能拿到 IP = BRAS、DHCP 服务正常,问题仅出在 secondary 隔离 VLAN201 的 PVLAN 透传;
主 VLAN 也拿不到 IP:排查上行 BRAS 链路、DHCP 地址池、VLAN 透传放行。
七、全套修正后标准配置整理
1)核心汇聚交换机 下行聚合 BA113
plaintext
interface Bridge-Aggregation113
description To-A2-1F-01-H3C-210.38-4U
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 201 601 1004
undo port-isolate enable group 1
undo port private-vlan 201 trunk secondary
port private-vlan trunk
link-aggregation mode dynamic
2)核心汇聚 上行 BRAS 聚合 BA11(无需改动,保留)
plaintext
interface Bridge-Aggregation11
description To-ZX-Bras-M6000
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 119 201 601 to 611 1004
port private-vlan 601 promiscuous
link-aggregation mode dynamic
3)接入交换机上行聚合 BA1 新增 PVLAN 透传
plaintext
interface Bridge-Aggregation1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 201 601 606 1004
port private-vlan trunk
link-aggregation mode dynamic
dhcp snooping trust
八、排错验证命令
查看 PVLAN 全局映射
display private-vlan
查看接口 PVLAN 模式
display this interface Bridge-Aggregation 113
抓 DHCP 报文(交换机镜像或 bras 侧)
debugging dhcp snooping packet
查看 MAC 表确认 VLAN 映射
display mac-address vlan 201
九、补充原理总结
promiscuous 口:对接网关 / BRAS,绑定主 VLAN;
trunk 透传口(跨设备互联):只配port private-vlan trunk,不能带 secondary;
isolated 隔离从 VLAN 终端只能和 promiscuous 口通信,跨设备缺少 PVLAN 透传会导致 DHCP 广播无法上送网关;
DHCP Snooping 未全局开启 / 端口信任异常会直接丢弃 DHCP 请求报文,MAC 能学习但无 IP。
(0)
port private-vlan trunk 这条命令不支持,只支持]port private-vlan host或者 ]port private-vlan vlan-id trunk promiscuous ;port private-vlan vlan-id trunk secondary 。我怀疑是设备版本太低的问题导致
下行口不要放通Pvlan,上行口不要放通sec vlan,手动设置ip地址看看是否能和网关通吗,如果不行,可以先把隔离组什么的删除看下
(0)
核心交换机下行口配置port private-vlan 201 trunk secondary 就会自动放行对应的pvlan。对应的接口从隔离组中踢了。还是拿不到ip。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
port private-vlan trunk 这条命令不支持,只支持]port private-vlan host或者 ]port private-vlan vlan-id trunk promiscuous ;port private-vlan vlan-id trunk secondary 。我怀疑是设备版本太低的问题导致