锐捷S2910E下联终端获取DHCPv6地址慢
一、故障现象描述
客户反馈现场终端通过无线网络获取IPv6地址时快时慢,导致现场无线IPv6无法正常使用。
二、故障排查分析
-
在PoE交换机上划分和无线用户同VLAN的接口,使用有线终端可以正常获取IPv6地址,说明DHCPv6地池正常。
-
现场使用PC测试,分别在AP的上行口和PoE交换机的上行口抓包,通过分析发现,AP已经将DHCPv6的SOLICIT报文发给了PoE交换机,但是PoE交换机没有将此报文上送给DHCPv6服务器,说明PoE交换机将DHCPv6的SOLICIT报文丢弃了。进一步对比了无线终端和有线终端的SOLICIT报文内容,二者发出去报文内容是一致的。唯一的区别是有线测试口没有配置认证,而接AP的接口有认真。
-
进一步分析设备配置发现S2910C上针对IPv6的认证模式为兼容性模式,而兼容性模式下需要IPv4认证通过后,终端过一段时间才会发送DHCPv6报文,这样会导致DHCPv6获取IP地址慢的情况,
-
现场通过安全通道放通DHCPv6报文后,终端获取IP地址正常。
三、故障根因说明
IPv6认证模式为兼容模式,IPv4认证过后,终端过了一段时间才发送DHCPv6报文,出现地址获取慢现象
四、故障解决方案
该情况可配置安全通道,放通 dhcpv6 类型的报文,使终端在 v4 认证前,就可以获取 v6 地址。
ipv6 access-list dhcpv6 //配置ipv6访问列表,放通dhcpv6报文
10 permit udp any eq bootpc any eq bootps
20 permit udp any eq bootps any eq bootpc
security global access-group dhcpv6 //全局应用安全通道
security access-group dhcpv6 //或者在端口上应用安全通道
五、经验总结
推荐配置ipv6认证兼容模式,终端要进行IPv4认证后,才能获取到IPv6地址。所以有可能出现终端接入网线因认证未认证通过,N18K不接受DHCPv6报文;等用户认证通过了,终端因DHCPv6分配存在间隔,未及时发起DHCPv6报文,导致IPv6地址获取缓慢。
address-bind ipv6-mode compatible //兼容模式, IPv4未认证通过,IPv6无法转发,IPv4认证通过,IPv6也可以转发。
address-bind ipv6-mode strict //严格模式,无论IPv4认证通过与否,IPv6都无法转发。
address-bind ipv6-mode loose //宽松模式,无法IPv4认证通过与否,IPv6都可以转
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/7605.html
文章版权归作者所有,未经允许请勿转载。
THE END
