余发宇,S5130S上使用dhcp snooping + arp detection后终端迁移异常
组网及说明
简易拓扑结构
问题描述
这边现场 S5130S是使用 DHCP Snooping + arp detection的场景;
原来终端接在 10.43.252.4接入交换机下,交换机有 dhcp snooping表项和 dis ip source binding 表项;
当在 10.43.252.4下串接一台新的接入交换机 10.43.252.240,终端改接到 252.240交换机上,此时 10.43.252.4和 10.43.252.240都有该终端的 dhcp snooping表项,但是此时该终端能获取到 IP地址,但是无法 ping通网关,只能在 10.43.252.4上 reset掉关于该终端的 dhcp snooping表项后,终端才能正常通讯。
1、 现场两个设备上都可以查到dhcp snooping 表项
1.2、下连交换机的表项
过程分析
1. PC迁移后能正常使用,但是每120s就需要重新认证802.1X,影响用户正常使用。
该功能需要终端PC具备自动上报用户名密码等功能,可以在重认证时不需要用户反复提交相关信息进行认证,由于现场PC不具备该能力,所以无法使用。
2.配置运行MAC迁移功能后,PC迁移后无法使用,获取不了IP地址
远程排查发现实际只在S5130-S02设备上开启了port-security mac-move permit,而S01上未开启,所以现场将PC从S01设备上的1/0/25口迁移到1/0/24口上后,查看lldp邻居在1/0/24口上,但是ip source bind表项仍显示在1/0/25口下。
<H3C>dis l n l
Chassis ID : * -- -- Nearest nontpmr bridge neighbor
# -- -- Nearest customer bridge neighbor
Default -- -- Nearest bridge neighbor
Local Interface Chassis ID Port ID System Name -
GE1/0/20 2cf0-5d49-a092 2cf0-5d49-a092 -
GE1/0/24 84a9-3e75-041a 84a9-3e75-041a -
GE1/0/24 2cf0-5dc3-0701 2cf0-5dc3-0701 -
GE1/0/24 a44c-c82d-74e0 a44c-c82d-74e0 -
<H3C>dis ip source binding | in 74e0
10.43.207.21 a44c-c82d-74e0 GE1/0/25 207 DHCP snooping
10.43.207.21 a44c-c82d-74e0 GE1/0/25 207 802.1X
在S01上开启MAC迁移功能后,终端在SW01上迁移后,可以重新在新端口上上线,原始端口会将该用户立即进行下线处理。此时终端可以正常发送DHCP discovery报文,并更新dhcp snooping表项。
这种方案可以允许如上图组网中在S01上配置1x认证的端口来回迁移,但是如果是从S01迁移到S02则不行,原因是设备迁移至S02后,S01原来的端口没down,感知不到这个mac迁移到了S02,当前无法解决该问题。
解决方法
针对当前现场存在跨设备迁移的情形,建议在S01和S02上增加一台汇聚设备,汇聚设备分别下联S01和S02,将1x认证只集中在汇聚上配置。或者改S01和S02为同型号设备后配置堆叠,这样两台设备虚拟成同一台设备,终端迁移后,两台设备上可以相互感知,正常迁移。
CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。本文来源:知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,S5130S上使用dhcp snooping + arp detection后终端迁移异常