更新时间:2023-12-04
5.2.1.1所用终端都获取不到地址
5.2.1.1.1检查部署
1、应该给NAC配置2层口的网络环境,却给NAC的物理口配置成为3层口,导致无线终端和DHCP服务器(VLAN接口或物理接口)不在同一个广播域中,DHCP服务器无法收到DHCP请求。比如AP和NAC在纯2层环境下,启用物理3层口的DHCP,又启用集中转发就会获取不到IP;
2、SSID里的VLAN设置非VLAN 1,又采用了本地转发,但是AP直连的交换机并没有配置为trunk口放通相应的vlan或者流量路径上某个节点未放通该vlan,导致带有vlan标签的数据通不过,终端无法获取IP。
5.2.1.1.2有正确的配置DHCP服务吗?
1、ssid里给无线终端分配的vlan中,没有DHCP服务器;
2、配置DHCP-relay,通过外部的服务器来分配IP地址,但是服务器地址配错或者没有到服务器地址的路由;
3、外部DHCP-server本身有问题,无法正常提供DHCP服务,比如DHCP地址池对应dhcp-relay地址有误;
4、控制器上配置了受信任的DHCP服务器地址,但是并没有把DHCP服务器的地址配置进去;
4、其他设备上,如交换机配置了DHCP snooping,但是并没有把连接DHCP服务器的接口配置为信任端口。
5.2.1.2个别部分终端获取不到地址?
5.2.1.2.1获取到了169开头的地址
获取到169的地址,表示未成功获取地址;建议排查DHCP服务器相关配置,看是否是DHCP服务器地址池满了,可以进一步在设备上抓包分析确认是在哪一步出现的问题。
5.2.1.2.2根据这个MAC地址,查询安全日志
可以根据这个MAC地址,查询下安全日志,看是否有终端由于某种原因被加入黑名单的日志。
5.2.1.2.3根据终端MAC,查询认证日志
根据终端MAC地址,查询认证日志,比如认证用户名和密码错误等原因导致;3.10.0版本开始,可以结合认证质量感知功快速查看是否有终端认证失败。
5.2.1.2.4根据这个MAC,查询系统日志
根据终端MAC地址,查询系统日志,比如可以查看到,某个AP的接入人数已经达到AP的上限60人;reach radio max sta limit (60),可以根据场景修改放大这个值。
5.2.1.2.5本身SSID有配置MAC黑白名单吗?
手动添加到了MAC黑名单,或者SSID启用了白名单接入限制。
5.2.1.2.6查看系统的MAC动态黑名单
查看终端黑名单页面,看是否终端由于某种原因被加入黑名单了。
5.2.1.2.7无线是采用企业级认证吗?
采用的是企业级802.1X认证账号认证,windows终端默认的身份验证模式为“用户或计算机名验证”,部分终端在连接时默认使用了计算机名进行验证会导致验证不通过,可通过认证质量感知页面查看是否是因为使用计算机名认证导致的认证失败:
如果确认是该问题,需要手动调整或者使用控制器上的自动配置工具将windows终端的身份验证方式为“用户身份验证”,在连接时才会弹出账号密码的输入框进行认证,认证成功后才会获取IP地址。