锐捷N18E下联终端无法ping通网关
一、故障现象描述
同一个网段内部分终端能获取到ip地址,但是无法ping通网关,导致无法弹出认证界面去认证上网。
网络拓扑图如下:
拓扑描述:终端接在SF2920U交换机下,通过汇聚,连接到核心N18E
二、故障排查分析
-
检查终端侧情况,通过arp -a明确终端没有学习到网关的arp,网关ip地址为172.20.255.254;
-
检查核心侧arp学习情况,发现核心侧可以正常学习到终端的arp;
-
判断是核心和终端arp交互出现异常,通过arp计数明确核心有收到终端的arp请求报文,但是没有回复,异常点在核心侧;
-
检查环境并无异常,cpp,接口均无丢包,nfpp也未有异常;
-
进一步针对异常终端开启快转arp调试查看,发现对应arp报文被arp spoofing组件过滤了;
-
和研发确认是触发了arp欺骗导致,若是1x或者web用户认证表项跟收到的报文表项不一致就会被判定为arp欺骗;
-
通过debug acl efacl ef-packet srcip 172.20.0.93 count 10查看发现用户的mac之前有表项,新的ip不匹配所以被过滤了;
-
show web-auth user ip查看发现对应mac之前确实有认证过;
-
查看租期以及无流量下线配置,发现租期比无流量下线时间短;
综上,判断是6c4b.90be.7bfd这个终端一开始获取到了172.20.0.83这个ip地址认证上线了,后面下线2小时租期到了重新获取到了172.20.0.93这个地址,但是由于无流量下线时间没到,对应的认证表项还在,此时用新ip上来,交换机校验发现不匹配原来的认证表项下发的ip+mac绑定,导致上不了网,正常无流量下线时间要比租期小,但是现场配置无流量比租期大导致。
三、故障根因说明
交换机无流量下线配置时间大于dhcp租期,导致用户认证后下线认证表项还在,后续重新上线由于dhcp租期到了获取了新的地址,此时由于新的地址和之前的认证表项下发的ip+mac绑定不匹配,导致触发arp欺骗,交换机不回复终端的arp报文,从而导致终端无法上网。
四、故障解决方案
将无流量下线时间调小,小于租期,建议修改为1小时,命令如下
offline-detect interval 60 threshold 0
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/2582.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
二维码
打赏
海报
锐捷N18E下联终端无法ping通网关
一、故障现象描述
同一个网段内部分终端能获取到ip地址,但是无法ping通网关,导致无法弹出认证界面去认证上网。
网络拓扑图如下:
拓扑描述:终端接在SF2920U交换机下,通过汇聚,连接到核心N18E
二、故障排查分析
检查终端侧情况,通过arp -a明确终端没有学习到网关的arp,网关ip地址为172.20.255.254;
检查核心侧arp学习情况,发现核心侧可以正常学习到终端的arp;
判断是核心和终端arp交互出现异常,通过arp计数明确核心有收到终端的arp请求报文,但是没有回复,异常点在核心侧;
检查环境并无异常,cpp,接口均无丢包,nfpp也未有异常;
进一步针对异常终端开启快转arp调试查看,发现对应arp报文被arp spoofing组件过滤了;
和研发确认是触发了arp欺骗导致,若是1x或者web用户认证表项跟收到的报文表项不一致就会被判定为arp欺骗;
通过debug acl efacl ef-packet srcip 172.20.0.93 count 10查看发现用户的mac之前有表项,新的ip不匹配所以被过滤了;
show web-auth user ip查看发现对应mac之前确实有认证过;
查看租期以及无流量下线配置,发现租期比无流量下线时间短;
综上,判断是6c4b.90be.7bfd这个终端一开始获取到了172.20.0.83这个ip地址认证上线了,后面下线2小时租期到了重新获取到了172.20.0.93这个地址,但是由于无流量下线时间没到,对应的认证表项还在,此时用新ip上来,交换机校验发现不匹配原来的认证表项下发的ip+mac绑定,导致上不了网,正常无流量下线时间要比租期小,但是现场配置无流量比租期大导致。
三、故障根因说明
交换机无流量下线配置时间大于dhcp租期,导致用户认证后下线认证表项还在,后续重新上线由于dhcp租期到了获取了新的地址,此时由于新的地址和之前的认证表项下发的ip+mac绑定不匹配,导致触发arp欺骗,交换机不回……
共有 0 条评论