2017年度信锐课堂高级认证课程二01_FAQ与无线故障排查
2018年度信锐课堂高级认证课程二01_FAQ与无线故障排查_v3.6.7
AP上线、激活类——激活后离线
此处对接入点管理分组中的主控制器IP和接入点自身的发现控制器IP的使用环境及作用 进行简单陈述:
(1)AP和控制器在同二层环境,AP会自动发现控制器,分组IP和接入点自身的控制器IP可以选填; 建议激活时给AP填写控制器地址; (2)如果AP和控制器需要跨三层发现,且已经在管理分组和接入点自身配置了控制器IP,此场景下 AP会优先和分组中的控制器IP建立隧道;所以必须确保分组IP和接入点自身的控制器IP保持一致,否 则会导致AP离线; (3)如果为双机部署环境,则分组控制器IP必须和接入点自身的控制器IP都必须填写配置双机时设置 的虚拟IP;
AP上线、激活类——激活后离线
4、内网线路问题
(1)AP到控制器之间丢包严重; 判断方法:在中间设备上分段ping测试控制器地址,确认丢包设备及原因; (2)存在设备IP与控制器IP冲突; 判断方法:在控制器【系统状态】—【告警事件】中有告警提示;
AP上线、激活类——AP使用中离线
AP在正常使用过程中由于其他因素影响也会发生离线的现象,遇到AP离 线时,我们首先要明确是所有AP离线,还是个别AP发生离线;然后根据具体 现象对网络环境、设备以及相关配置进行排查。
AP上线、激活类——激活后离线
2、AP和控制器之间TCP7070端口不通
判断方法: (1)远程部署环境,控制器部署在内网,需要确认控制器的TCP7070端口正常映射; (2)使用诊断工具二层扫描AP并在工具命令行中测试AP与控制器的TCP7070端口是否可 达; (3)AP和控制器之间TCP800报文被中间设备拦截;
以上方式均无法扫描到时,请准备console 线,并及时联系原厂工程师 获取技术支持!
AP上线、激活类——无法发现
2017年度信锐课堂高级认证课程二02_数据包分析
网关 ping请求
ping请求
服务器A
ping回复
服务器B
从Wireshark看网络分层
应用层:从上图可以看出,该数据包的应用层承载的是一个HTTP报文。 传输层:从上图看到这一层使用的是TCP协议,应用层产生的HTTP数据就是由TCP来控制传输的,点开该层可以看到 源端口、目的端口、seq、ack等一系列信息,它们用于网络包的排序、重传、流量控制等。虽然叫“传输层”,但它并 不是把网络包从一个设备传输到另一个设备,而只是对传输行为进行控制。真正负责设备间传输的是下面两层。 网络层:本层的任务主要是把TCP层传下来的数据加上目标IP和源IP。有了源目IP才可以成功将数据送达对方。 数据链路层:从上图可以看出,本层将上层传下来的数据加上相邻2个设备的MAC地址,这样该网络包才能以接力的 方式送达目标地址。
接下来B发出发去ping包(request),指定目的IP是服务器A的IP:192.168.26.129,但目的MAC地址却是默认网关的00:E0:58:13:69:4E,这表明B希望默认网 关把包转发给A。
Wireshark数据包分析
接着B收到了A发出来的ARP广播包,查询B的MAC地址。这是因为在A看来,B属于同一个子网,同子网通信直接二层转发,无需网关参与,只要通过ARP 获得对方的MAC地址即可。这个包也表明了默认网关成功的把B发出去的ping request请求转发给了A,否则A不会无缘无故尝试与B进行通信。 接下来B回复了A的ARP请求,把自己的MAC地址告诉A。这说明B在回复ARP请求的时候,并不会考虑子网,虽然ARP请求来自其他子网的IP,也照样回复。
信锐课堂高级认证课程二 02_ 数据包分析
目录
Contents
2017年度信锐课堂初级认证课程三-实验
初级课程课时三实验1. 实验目的掌握认证授权的方式:账号认证、免用户认证、临时访客认证了解角色授权,利用角色授权做访问控制等策略。
了解营销SSID的创建和营销策略的配置。
2. 实验拓扑首先确保控制器能够ping通外网,终端连上无线网络后能够正常上网。
3.认证实验3.1账号认证1、新增一个无线网络,选择开放式+WEB认证类型,选择账号认证的方式,认证前角色调用只允许DNS的角色,账号认证选择本地用户(本地用户中需要有用户信息),认证后角色设置为默认角色。
2、用户接入SSID,匹配认证前角色,只允许DNS,AP把接入信息转发给NAC。
3、NAC给用户登录web页面重定向到portal认证页面4、用户输入用户名密码,并把信息转发到NAC5、NAC验证用户信息,认证通过,匹配认证后角色,允许用户上网。
3.2 访客认证在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。
但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。
此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
3.3 免用户认证免用户认证是指访问无线网络时,访客无需认证,在广告页面点击登录按钮即可上网。
1、新建SSID,选择开放式+WEB认证,认证前角色为只允许DNS的角色,认证后角色为默认角色。
2、访客连接到SSID,打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,用户点击登录,直接上网。
3.4临时访客认证此方式通常用于企业、酒店的访客无线网络认证,可以在访客登记后,接待人员创建一个临时帐号,并设置帐号的有效期。
访客使用此帐号完成无线网络认证。
1、网络管理员在访客管理系统中,为此顾客添加一个临时帐号,以手机号或者身份证号码作为帐号的用户名,密码为手机号码或身份证号码的后6位。
帐号的有效时间设置为顾客的离店时间。
2、顾客连接到开放式的无线网络,打开浏览器,访问任意网站,系统将把浏览器重定向到认证页面。
2017年度信锐课堂高级认证课程一03_场景式工勘
酒店场景-面板方案
AP AP
AP
AP
AP
面板方案 前提:每个房间需要有网线插槽。 优势: 1、主要覆盖区域信号强度稳定,且处于良好范 围,在-40dBm到-65dBm之间。 2、面板AP解决了部分弱信号终端隔墙回传困 难的情况,保证了良好的接入效果。 3、信号引入房间,同一个房间内同频干扰信号 少,一般在1个或0个。 AP选型: NAP-2800-P、NAP-3600-P 、NAP-3500-P
AP AP AP AP AP AP
AP
AP
AP
AP AP
AP AP
AP AP
酒店场景-功分方案
AP
AP
功分方案 优势: 1、主要覆盖区域信号强度稳定,且处 于良好范围,在-50dBm到-65dBm之 间。 2、信号引入房间,同一个房间内同频 干扰信号少,一般在1个或0个。 3、节省交换机。
AP
AP
AP
AP
AP
AP
AP选型: NAP-2800-P、NAP-3600-P、NAP-3500-P、NAP-2800、 NAP-3600、NAP-4600、NAP-3700、NAP-4650、NAP5600
封闭办公室-功分方案
AP
2、功分方案 优势:1、主要覆盖区域信号强度稳定,且处于良好范围, 在-50dBm到-65dBm之间。 2、信号引入房间,同一个房间内同频干扰信号少,一般在 1个或0个。 3、节省交换机 注意事项: 功分天线引入办公室需要穿墙,施工困难。 AP选型:NAP-3680
信锐课堂高级认证课程 场景式工勘
场景式工勘
1、涵盖各种常用典型场景,轻松上手。 2、针对不同场景,快速选型及部署。 3、错开各种风险,避免后续因部署或选 型不当造成的各种体验性问题。
锐捷网络认证客户端使用过程常见故障处理汇总
锐捷网络认证客户端使用过程常见故障处理汇总作者:网络中心文章来源:网络中心更新时间:2010-3-271、现象:认证失败,没有任何错误提示原因:WinXP操作系统用户启用了系统自带的802.1X认证解决方法:双击网络连接图标,把属性里面的身份验证标签下“启用802.1X身份认证”前的勾去掉。
2、现象:客户端一运行即消失原因:设置多个DNS(二个以上)或者多个IP。
系统里有system32.exe这个进程,可能是木马进程序,有可能伪装成其它的名字。
解决方法:正确设置IP(网管中心提供的IP地址)和DNS(二个以内)。
检测系统中的非法进程,注意个人电脑防护。
3、现象:客户端提示“找不到合适的网卡”原因:系统没有正确获得网卡信息,或者网卡有问题;解决方法:退出并重新打开客户端,如果问题依旧存在,请将网卡驱动程序卸载重装,如果还是不能解决问题,更换一张网卡;4、现象:客户端提示“目前系统工作环境与软件运行环境相冲突,软件不能正常运行CODE =ffice:smarttags" />2”原因:安装了多块网卡,和SAM要求的不符合;(虚拟机或某些摄像头驱动会被认为是网卡,需禁用)解决方法:卸载或者禁用多余网卡,只保留一张网卡运行(如果是win98系统,禁用拨号适配器);5、现象:“目前系统工作环境与软件运行环境相冲突,软件不能正常运行CODE=4”原因:安装了代理服务器,和SAM要求的不符合;(虚拟机会被认为是代理,需禁用)解决方法:关闭或卸载代理服务器以及一切可能成为代理服务器的软件;6、现象:认证失败,提示“已达到最大连接数”原因:使用的帐号已在线,可能使用了别人的帐号,或者帐号输入错误解决方法:确认自己帐号正确性,如果确属自己帐号,则告知相关请有效证件,要求网管中心将其帐号下线。
7、现象:认证失败,提示“IP类型错误”原因:系统没有获得你的IP地址信息解决方法:在本地连接属性里面正确填写IP地址,如果还是不能解决,请将网卡驱动程序卸载重装一次。
2018年度信锐课堂高级认证课程一01_无线高级_v3.6.7
(3) frame
(4)ACK
(1)RTS
STA1 STA2
ACK
STA1需要和AP通信,先通过RTS预约信道使用权,并且让其它终端保持静默,此时,STA3因为距离 问题,接收不到STA1发送的RTS帧。AP接收到RTS之后 会以CTS应答,和RTS帧 一样,CTS帧会让周 围的终端保持静默,此时,STA3能收到AP发出的CTS帧,故会保持静默。通过RTS/CTS清空信道, STA1需要和AP通信时,可以大大降低其他隐藏节点的干扰。
AP 1 2 Shared-Key Authentication WPA/WPA2 STA Authentication request Authentication response (success) AP
Authentication response
(success)
Authentication
四次握手
EAPOL Key(Message 2 of 4) EAPOL Key(Message 3 of 4) EAPOL Key(Message 4 of 4)
PSK完整连接过程
PSK认证同样也包括了扫描、认证、关联三个基础过程,还包括了EAPOL-Key的过程 EAPOL-Key的报文交互有四个,代表了四次握手的过程,四次握手会生成一个密钥,后续AP和 STA之前通信数据都是通过这个密钥进行加密传输的
Open+Web认证完整连接过程
Open+Web Authentication
STA
AP Authenticationonse
认证阶段 关联阶段
Association Request
Association Response DHCP交互
信锐技术基础无线测试实施指导
SUNDRAY无线测试/实施指导手册(Ver1.2)2015年05月第1章网络环境确认 (4)1.1.环境确认表《环境确认表》 (4)1.2.工堪需求确认 (4)第2章测试/实施前准备工作 (5)2.1.若自带产品,需先走设备自检流程 (5)2.1.1.硬件检查 (5)2.1.2.软件检查 (5)2.1.3.稳定性检查 (6)2.1.4.测试内容检查 (6)2.1.5.异常情况处理 (6)2.1.6.测试前需要给设备打上最新补丁包 (6)2.2.通过电话与用户沟通,获取用户信息和预约上门安装时间 (7)2.2.1.获取用户的详细资料 (7)2.2.2.获取用户的网络环境 (7)2.2.3.建议获取其他厂商在用户环境中的测试情况 (7)2.2.4.约定上门的时间 (7)第3章整理安装实施所需要的资料 (8)3.1.实施方案和验收文档 (8)第4章主要部署模式基本配置规范 (9)4.1.目的 (9)4.2.交换模式部署规范 (9)4.2.1.三层交换部署规范 (9)4.2.2.网络拓扑 (9)4.2.3.二层交换单网段部署规范 (11)4.3.单臂模式部署基本配置规范 (12)4.3.1.三层单臂部署规范 (12)4.3.2.二层单臂模式基本配置规范 (13)第5章WAC安装部署规范 (16)5.1.上架前准备 (16)5.2.设备安装 (17)5.3.设备安装检查 (17)第6章AP安装部署规范 (19)6.1.按照工堪指导手册标准安装AP (19)6.2.AP-260室内安装手册 (19)6.3.AP-260接入点部署指南 (19)6.4.AP部署勘测规范 (19)第7章现场无线测试规范 (20)第8章紧急事件处理规范 (21)第9章测试/实施完成后扫尾规范 (22)第10章常见问题处理 (23)10.1.AP不能自动发现WAC,分析原因 (23)10.2.AP自动发现WAC后,在WAC上激活后,AP一直不在线。
深信服WAC无线FAQ与故障分析
目录第1章无线FAQ与故障分析_对外版本 (2)1.1. 控制台与后台调试 (2)1.1.1. WEBui方式登录WAC控制台 (2)1.1.2. Telnet方式登录WAC和AP (2)1.1.3. 利用AP诊断工具(troubleshoot.exe)登录设备 (3)1.1.4. 串口登录AP (4)1.2. AP不能自动发现WAC (4)1.3. AP发现WAC后,激活AP不在线 (7)1.4. AP掉线排查 (8)1.4.1. 集体掉线排查 (8)1.4.2. 个别掉线 (10)1.5. 终端获取不到IP地址 (11)1.6. 无法连接上网络 (12)1.7. 连上网络无法上网 (14)1.8. 终端容易掉线 (15)1.9. 认证页面弹出与跳转 (15)1.10. 认证后页面跳转不出 (17)1.11. 关于注销和再认证 (17)1.11.1. 主动注销 (17)1.11.2. 被动注销 (18)1.11.3. 二(再)次认证: (19)1.11.4. 各种认证方式详解: (20)1.12. WEBui相关 (23)第2章无线优化 (25)第1章无线FAQ与故障分析_对外版本————20140812 1.1.控制台与后台调试1.1.1.WEBui方式登录WAC控制台可以使用ping、udpconnect、tcpconnect等命令测试IP和UDP以及TCP端口联通性。
1.1.2.Telnet方式登录WAC和AP开启ssh与telnet方式登录设备,其中telnet的密码为WAC控制台管理员的联动密码。
注意:ssh方式登录后台仅提供给厂家工程师维护使用,渠道与客户后台调试设备仅开放telnet权限,当控制台上关闭ssh功能时,厂家工程师也无法登录后台。
1.1.3.利用AP诊断工具(troubleshoot.exe)登录设备在笔记本上采用该工具时,需要确保AP与笔记本处于同网段的一个广播域环境中,登录密码是WAC 的控制器密码,默认admin。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
常见原因
1、NAC上AP的授权个数为0,需要开授权 2、AP接在了10M的交换机或集线器上,而AP不支持10M的速率设备,导致AP无法获取IP和通讯
3、检测AP的供电情况,供电不正常,POE供电网线是否线序错乱或缺失
4、内网需要配置有dhcp-option43、DNS、2层广播中的三种方式,让AP自动发现NAC 5、AP无法与NAC之间通信: 1) AP默认没有IP地址,首次使用,内网需要有DHCP服务;或在二层环境下用AP诊断工具
1、NAC的接口配置错误,物理口应该配置成2层口的时候配置成为了3层路由口,导致无线终 端和DHCP服务器(VLAN接口或物理接口)不在同一个广播域中,DHCP服务器无法收到 DHCP请求。 2、给SSID的VLAN设置非VLAN 1,又采用了本地转发,但是AP直连的前端交换机并没有配 置为trunk口,导致带有vlan标签的数据通不过,终端无法获取IP
2、从无线2.0版本开始支持单个用户注销,以及把在线用户拉到MAC黑名单
主动注销
通过web方式认证的,用户还可以主动登录页面http://2.2.2.1,手动去注销
1、账号认证:支持登录页面手动注销 2、访客认证: 1)短信验证 :支持登录页面手动注销 2)微信认证:不支持登录页面手动注销 3)二维码认证:支持登录页面手动注销 4)临时访客认证 :支持登录页面手动注销
PC要与AP在同一个广播网络下,不在一个网段也可以正常通讯
修改AP配置,需要输入的密码,默认为beyondos1,如果AP激活过,需要采用与WAC控制台相同的密 码才能配置
该工具目前修改后只能临时生效,AP重启后失效;需要在控制台上修改配置才能永久生效
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
2、如果是NAC有双机部署,查看系统日志,检测NAC是否有双机切换动作,查看系统日志,开启 排查双机切换原因,比如链路故障
部分供电排查
当部分AP掉线时,确定POE交换机是否有重启过,POE交换机的管理IP是192.168.0.1/24
解决办法: 1、更换POE交换机接口、更换POE交换机、更换插线板 2、对AP采用独立电源适配器对比测试 3、更换网线测试下
集体掉线-网络问题
1、有网络设备与NAC的IP地址冲突的情况,通过长ping控制器IP地址,发现ping一会能通,一会 不能通。而且发现NAC的监听端口,也是一会通,一会不通,基本就可以判断了。比如telnet监听 23号端口。可以在NAC直连的核心设备上对NAC的IP地址进行MAC绑定
2、与NAC直连的核心三层有ARP-Guard类似的防护命令、数据包流控等命令,关闭掉
2、NAC上,AP的授权数不够,此时AP可以发现NAC,但激活后,AP不能在线
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
现象确定
1、AP接入在线时间有更新,在NAC的无线状态中查看AP的接入时间是否在不断更新,初步判定 是AP集体掉线还是个别AP掉线
2、首次激活时,给AP配置了固定IP和网关,但是网关地址配错了,导致AP与NAC无法通讯
3、AP与NAC 同2层网络环境中,采用2层广播的方式发现,但由于交换机VLAN配置不当,配置了错 误的vlan或trunk,导致AP与NAC不在同一个广播域
AP发现技巧-DNS方式
NAC自身支持写HOSTS,而且也可以做DNS代理,所以在网络环境中没有DNS服务器或无法配置 dhcp-option43选项时,可以在NAC上配置HOSTS,把域名指向NAC接口的IP 地址,启用DNS代理,并把客户环境中的DNS服务器配置为NAC的接口地址,当AP获取地址和DNS后, 其dns请求会直接发送到NAC,这样也是可以让AP自动发现NAC。
配置问题
给AP激活时,虽然给AP写入了正确的NAC的地址,但是AP所在组的主控制器与AP的控制器IP地址 不匹配,导致AP一直在寻找AP组中的主控制器,需要两边保持一致,或者删掉AP组中的控制器IP即 可。
其他原因
1、激活报错,提示ap hdware error,当NAC软件版本发布时,该AP型号还未发布,所以不支持, 具体支持情况以发布文档为准,比如AP4600,不支持在2.0的版本上激活
集体掉线-网络环境
3、网络链路有中断的情况,光纤线路中断,网线掉线等物理原因,排查环境中各个设备的接口的up 和down状态日志,如果NAC直连的接口出现过down掉,NAC的告警事件会提示有接口断开和连接 的状态。
集体掉线-设备异常
1、查看NAC是否有重启、查看系统日志,以及管理员操作日志,看是人为重启或异常重启
部分掉线-网络环境
4、AP没有配置固定IP,AP重启后没有正常获取到IP地址,或者获取到了错误的IP地址。可以用 AP诊断工具在2层环境下去扫描AP,给AP固定配置IP地址,并配置控制器IP,如果NAC和AP同在 一个2层环境下,可以在NAC的调试选项中,接入点故障分析,来扫描并修改AP的IP地址
部分掉线-网络环境
1、内网有其他设备的IP与AP的IP冲突了,可以在内网把AP断电,去长ping AP的IP地址核实。
2、在与AP同网段的PC上长ping AP的IP,并通过arp –d去刷新arp表,通过arp –a | findstr “冲突的IP“核实是否存在IP冲突
3、AP到NAC的网络链路不稳定: 1)链路不稳定,容易断线,比如远程部署的AP,或者VPN专线断开导致AP掉线 2)链路容易丢包,AP到NAC之间的链路带宽已经跑满,或者有流控设备,udp数据7077数据包 和TCP7070被流控丢包 3)TCP7070端口数据被防火墙主动断开,检测AP到NAC之间是否有防火墙设备,可以把AP或 NAC的IP添加到防火墙的全局排除地址等
2) 在NAC上激活后,更换地方使用,AP无法与控制器NAC通信
3) 获取到了非法私接DHCP服务器分配的IP地址,不能与NAC通讯,需排查出私接路由器 4) 给AP提前配置的固定IP地址,但与网络中的其他设备出现IP冲突 5) AP到NAC之间的UDP7777被网络中的防火墙拦截了,或端口映射不通,或映射错误
诊断工具使用方法
1、运行AP诊断工具,选择本地连接的物理网卡进行扫描
2、扫描到AP后,即可开始进行批量编辑,或者进行单个配置,默认发货密码为beyondos1,如果密码 不对可尝试使用admin
诊断工具注意事项
注意事项: PC需要安装winpcap,或者wireshark,否则运行会报错 PC不要开启防火墙,尤其是小红伞等工具,否则诊断工具无法发现AP
被动注销
1、二层认证(PSK\OPEN\企业等认证方式),在终端没有注销但无线关闭的情况下(比如部分手机进入 待机状态会自动断开无线),在70秒内终端如没有任何流量(包括数据帧和管理帧),且ap给终端发送一个 null data探测数据帧后,终端也没有回应ack,则70秒会被AP剔除下线 2、终端没有任何流量,但是ap给终端发送null data探测数据帧后,终端有回应ack,则300秒后会踢终端 下线 3、如果是Web认证,这个也遵循上面说的两个原则,当二层认证断开后,三层认证的信息会默认保留120 分钟,120分钟后二层没有重新关联上,就完全注销掉,该值可以手动配置
5、POE交换机与线缆原因,线缆供电和数据传输不标准,导致收发数据异常,AP的灯亮,但是 数据传输容易异常,导致AP不在线,可以更换AP与更换线路对比测试
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
总结
配置问题
DHCP-option43未生效,有多的空格(windows2003),或少了双引号(dhcp-svr),或编码不对(华 为Switch);核心三层需要采用ASCII码方式的IP地址格式,而非直接写IP
配置问题
1、内网配置的DNS无法正常解析,需要配置A记录指向域名:。可以用nslookup dnsserver指定dns服务器的方式测试
网络原因
1、路由不通,AP能发现NAC,但是此时AP的地址和NAC之间无法通信,导致激活后配置下发失 败。比如:内网有私接路由器,AP分配到了错误的IP地址
2、AP到NAC的TCP 7070控制端口不通,被防火墙或上网行为管理AC或交换机给拦截,无法建立 控制隧道
3、AP与NAC版本不匹配,AP激活后,没有自动升降级,AP到NAC的TCP 800端口不通,导致 AP无法从NAC上下载自动升级包,所以一直无法在线 4、网速慢,AP从NAC上下载升级包时(大约有8-10M的大小),比如门店通过公网端口映射, 或VPN专线方式下载包慢
信锐课堂高级认证课程二 01 FAQ 与无线故障排查
目录
Contents
1 2
配置类 体验类
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
3、本地转发时,无线终端所在的广播域中,没有DHCP服务器
配置问题
1、SSID的VLAN配置有问题,没有指定网络中相应的vlan,保持的默认vlan1
2、NAC上开启了DHCP-snooping,对于外部的DHCP服务器,没有添加到受信任的DHCP服务器列 表中,会出现IP地址获取不到的情况
从2.2版本开始,DHCP-snooping功能在本地转发环境下也生效了,因此本地转发,启用此功能后, 需要把DHCP服务器与DHCP-relay服务器都添加到列表中