环境介绍:
1、系统环境:
在内网ESXI虚拟化上有一台Centos7,搭建了两台DHCP服务器,分别为“内部-WIFI”和“公共-WIFI”提供IP地址分配。
(192.168.1.253)内部-WIFI的DHCP配置:vim /etc/dhcp/dhcpd.conf
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.0 192.168.1.250;
option domain-name-servers 8.8.8.8;
option domain-name "Internal-dhcpserver";
option routers 192.168.1.254;
option broadcast-address 192.168.1.255;
default-lease-time 43200;
max-lease-time 43200;
(192.168.2.253)公共-WIFI的DHCP配置:vim /etc/dhcp/dhcpd.conf
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.0 192.168.2.250;
option domain-name-servers 8.8.8.8;
option domain-name "Internet-dhcpserver";
option routers 192.168.2.254;
option broadcast-address 192.168.2.255;
default-lease-time 43200;
max-lease-time 43200;
2、网络环境:
为了网络安全考虑,“公共-WIFI”禁止访问内网任何IP地址,所以在核心交换机上做了QOS访问控制列表,凡是匹配到ACL中“源地址为“公共-WIFI”IP都拒绝访问目的地址是内部IP地址,然后放通访问互联网。
内网-WIFI:192.168.1.0/24
公共-WIFI:192.168.2.0/24
原核心交换机相关配置:
acl number 3100
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 20 permit ip source 192.168.2.0 0.0.0.255
核心交换机接口,应用入方向qos(连接DHCP服务器的接口和AP设备的接口都应用此规则)
interface g1/0/1
qos
packet-filter inbound ip-group 3100 rule 10 system-index 10
packet-filter inbound ip-group 3100 rule 20 system-index 20
问题:
在以上相同环境下,电脑连接“公共-WIFI”可以正常获取到DHCP分配的IP地址并且连接互联网,使用手机连接“公共-WIFI”却不能获取到DHCP的IP。
“内部-WIFI”,电脑和手机连接都可以正常使用。
处理过程:
1、经过查看,系统配置都一样,所以查看网络问题。
2、电脑获取“内部-WIFI”是可以访问互联网和内网其他主机
3、电脑获取“公共-WIFI”的IP可以访问互联网,但是无法ping通DHCP的网关和DHCP服务器本身IP地址。
4、结合之前在核心交换机上做的接口访问控制,可以定位到是网络问题,之前的qos限制范围过大,阻止了网关和HDCP的IP地址。
5、修改核心交换机配置:
acl number 3100
rule 1 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.253 0
rule 2 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.254 0
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 20 permit ip source 192.168.2.0 0.0.0.255
interface g1/0/1
qos
packet-filter inbound ip-group 3100 rule 1 system-index 1
packet-filter inbound ip-group 3100 rule 2 system-index 2
packet-filter inbound ip-group 3100 rule 10 system-index 10
packet-filter inbound ip-group 3100 rule 20 system-index 20
遗留问题:
1、当我把后面加的网络配置恢复为原来的配置的时候,就算是清除了DHCP分配的IP地址记录,手机还是可以正常连接
“公共-WIFI”。
2、为什么电脑可以获取IP,手机却不能获取IP