问
STA不能获取地址
3小时前提问
- 0关注
- 0收藏,39浏览
zhiliao_Gixe
六段
排查步骤及命令:
1. 检查DHCP服务器配置:display ip pool,确认地址池状态、网关、掩码是否正确,是否与AP/STA同网段。
2. 查看AP接口配置:display ap interface,确认AP的VLAN及三层转发是否启用(local-forwarding enable)。
3. 检查AP与AC通信:display ap status,确认AP上线状态及关联的AC是否正常。
4. 抓包分析DHCP:在DHCP服务器或关键链路抓包(tshark -i vlan10 port 67-68),查看DHCP Discover/Offer/ACK是否正常收发。
5. 检查STA状态:display wlan client,确认STA是否关联成功,获取的IP是否在DHCP地址池内。
6. 验证三层转发:display ip routing-table,确认VLAN间路由是否存在,三层交换机是否配置SVI接口。
关键配置检查:
AP配置:local-forwarding enable(本地转发),wlan service-template 1 SSID chnke,配置DHCP服务器地址。
三层交换机:vlan 10,interface Vlan-interface10,ip address 192.168.10.1 255.255.255.0,dhcp select relay server-address 192.168.10.254。
DHCP服务器:ip pool chnke,gateway-list 192.168.10.1,network 192.168.10.0 mask 255.255.255.0,excluded-ip-address 192.168.10.1 192.168.10.10。
常见原因:
1. DHCP服务器未配置或地址池无效。
2. AP与STA所在VLAN三层不通(路由缺失或ACL拦截)。
3. DHCP中继未配置或指向错误服务器。
4. AP本地转发模式下,WLAN口未开启DHCP中继。
5. STA未关联到正确SSID或信号弱导致关联失败。
1. 检查DHCP服务器配置:display ip pool,确认地址池状态、网关、掩码是否正确,是否与AP/STA同网段。
2. 查看AP接口配置:display ap interface,确认AP的VLAN及三层转发是否启用(local-forwarding enable)。
3. 检查AP与AC通信:display ap status,确认AP上线状态及关联的AC是否正常。
4. 抓包分析DHCP:在DHCP服务器或关键链路抓包(tshark -i vlan10 port 67-68),查看DHCP Discover/Offer/ACK是否正常收发。
5. 检查STA状态:display wlan client,确认STA是否关联成功,获取的IP是否在DHCP地址池内。
6. 验证三层转发:display ip routing-table,确认VLAN间路由是否存在,三层交换机是否配置SVI接口。
关键配置检查:
AP配置:local-forwarding enable(本地转发),wlan service-template 1 SSID chnke,配置DHCP服务器地址。
三层交换机:vlan 10,interface Vlan-interface10,ip address 192.168.10.1 255.255.255.0,dhcp select relay server-address 192.168.10.254。
DHCP服务器:ip pool chnke,gateway-list 192.168.10.1,network 192.168.10.0 mask 255.255.255.0,excluded-ip-address 192.168.10.1 192.168.10.10。
常见原因:
1. DHCP服务器未配置或地址池无效。
2. AP与STA所在VLAN三层不通(路由缺失或ACL拦截)。
3. DHCP中继未配置或指向错误服务器。
4. AP本地转发模式下,WLAN口未开启DHCP中继。
5. STA未关联到正确SSID或信号弱导致关联失败。
HCL 模拟 AC+Fit AP 本地转发,STA 连上 WiFi 拿不到 IP 完整排查清单
环境特征:AP 正常注册 AC、终端能关联 SSID、DHCP 失败,本地转发 + 三层组网,分大类根因 + HCL 专属坑。
一、DHCP 服务本身故障(最高概率)
1. DHCP 服务器配置问题
1)DHCP 地址池网段与 SSID 业务 VLAN 不匹配
- 无线本地转发,终端属于服务模板绑定的 VLAN,地址池网段必须和该 VLAN 三层接口同网段;
- 例:无线 VLAN 10,Vlanif10 地址 192.168.10.1/24,地址池必须 network 192.168.10.0 mask 255.255.255.0。 2)地址池耗尽、无可用地址
plaintext
display dhcp server ip-in-use pool XXX
display dhcp server free-ip pool XXX
3)地址池网关、DNS 配置缺失 / 错误
plaintext
dhcp server ip-pool wlan-pool
gateway-list 192.168.10.1
dns-list 223.5.5.5
4)未全局开启 DHCP
plaintext
system-view
dhcp enable
2. DHCP 服务器部署位置区分(本地转发关键)
1)三层 AC 做 DHCP:AC 需要创建业务 VLANIF 三层接口,AP 本地转发报文到上联交换机,必须把业务 VLAN 透传到 AC;
2)上联三层交换机做 DHCP:AP 上联 Trunk 必须放行无线业务 VLAN,AC 只做无线管理,不参与终端网关;
3)外部独立 DHCP 服务器:放行 DHCP UDP 67/68,放通业务 VLAN 三层路由可达。
二、无线本地转发专属配置错误(本地转发必查)
1. 服务模板没有开启本地转发
默认是集中转发,本地转发漏配则 AP 不会转发终端 DHCP 报文到本地网络:
plaintext
wlan service-template 1 crypto
local-forward enable # 核心命令,缺失直接拿不到地址
2. 服务模板绑定 VLAN 错误 / 未绑定
plaintext
wlan service-template 1 crypto
vlan 10 # 终端业务VLAN,不配置则VLAN1,地址池不匹配
3. AP 射频 / AP 组未绑定服务模板
plaintext
wlan ap ap1 model WA6638
radio 1
service-template 1 vlan 10
三、VLAN 二层透传阻断(三层组网高频坑)
1. AP 上联 Trunk 口未放行无线业务 VLAN
Fit AP 上联 AC / 交换机的接口是 Trunk,只放通管理 VLAN,没放终端业务 VLAN,DHCP 广播报文传不到三层网关:
plaintext
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 99 10
# vlan99为AP管理VLAN,vlan10无线业务VLAN,缺一不可
2. 中间交换机丢弃业务 VLAN
AC、AP 之间跨交换机,中间设备 Trunk 未允许业务 VLAN,DHCP 广播中断。
3. PVID 不匹配,标签错乱
AP 上行口 PVID 不能和业务 VLAN 冲突,本地转发依赖带标签业务 VLAN 传输 DHCP 广播。
四、三层路由 / 网关不通,DHCP 单播回复回不去
DHCP 流程:STA 发广播 DHCP Discover → 网关回复单播 Offer/ACK。
若网关三层接口无法回包给 AP,终端收不到分配地址:
- AC / 交换机 Vlanif 业务接口未 up;
- 存在 ACL、包过滤拦截 UDP 67/68 端口(DHCP 端口);
plaintext
display packet-filter all
- 接口配置
undo dhcp select global,接口未关联全局地址池:
plaintext
interface Vlan-interface 10
dhcp select global
五、HCL 模拟器特有 BUG / 限制(实验环境重点)
- AP 本地转发后广播报文转发异常
HCL 中 Fit AP 本地转发对二层广播兼容性差,解决:
- 更换 WA6628/WA6638 标准 AP 型号,不要用老旧 AP 镜像;
- 重启 AC、AP 设备,重建拓扑链路。
- 链路接口 shutdown、虚拟线缆未正常 Up,看似连线实际不通;
- 设备性能不足,广播报文丢弃,DHCP 广播丢失,关闭多余设备再测试。
- 三层转发拓扑中,跨设备 Trunk 标签剥离错误,导致 DHCP 报文无 VLAN 标签,匹配不到地址池。
六、安全 / 隔离功能拦截 DHCP 报文
- 端口隔离:AP 上联口加入隔离组,广播报文隔离;
plaintext
display port-isolate group all
- 无线端口安全、ACL 过滤 DHCP 报文;
- 全局 / 接口 ARP 防护、DAI 拦截 DHCP 报文。
七、快速排障步骤(按顺序操作)
- 确认 AP 正常上线:
display wlan ap all状态 R/M; - 检查服务模板:确认
local-forward enable+ 绑定业务 VLAN; - 检查 AP 上联 Trunk:同时放行管理 VLAN + 业务 VLAN;
- 确认三层网关 Vlanif UP,接口配置
dhcp select global,全局dhcp enable; - 查看地址池是否有空闲 IP、网段匹配;
- 临时删除所有接口 ACL / 端口隔离,排除拦截;
- HCL 环境:重启 AP、AC,重新连线测试广播报文。
补充抓包定位(HCL 内置抓包)
- 在 AP 上联口抓包:看是否能捕获 STA 发出的 DHCP Discover;
- 抓不到:无线本地转发配置缺失 / VLAN 未放行;
- 能抓到但无 Offer:DHCP 地址池 / 网关三层故障。
- 在三层网关 Vlanif 抓包:看是否回复 DHCP Offer,无回复则 DHCP 配置错误。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论