终端获取不到IP地址
所用终端都获取不到地址
1、应该给NAC配置2层交换口的网络环境,却给NAC的物理口配置成为3层口,导致无线终端和DHCP服务器(VLAN接口或物理接口)不在同一个广播域中,DHCP服务器无法收到DHCP请求。比如AP和NAC在纯2层环境下,启用物理3层口的DHCP,又启用集中转发就会获取不到IP(参考部署专题)
2、给SSID的VLAN设置非VLAN 1,又采用了本地转发,但是AP直连的前端交换机并没有配置正确的vlan标签,导致带有vlan标签的数据通不过,终端无法获取IP。
3、本地转发时,无线终端所在的广播域中,没有DHCP服务器。
4、在NAC1.8以前的版本,SSID启用web认证后,有认证前的vlan划分,认证前与认证后vlan需要配置一致,才能正常获取IP。
检查DHCP服务配置是否正确
1、SSID的VLAN配置有问题,所有或部分AP没有配置好相应的VLAN
1、配置DHCP-relay,通过外部的服务器来分配IP地址,但是地址配错了。
2、外部DHCP-server本身有问题,无法正常提供DHCP服务,比如DHCP地址池对应dhcp-relay地址有误。
是否采用的企业级无线认证
1、采用的是企业级802.1X认证,windows7的PC需要用自动配置工具配置,或手动修改配置文件才可以连接上;
2、采用3.0以及以上的版本,由于NAC采用企业级认证的证书已经过了微软的认证,启用EAP终结模式时,可以不需要自动配置工具了,用户连接企业级WIFI认证时,选择信任证书即可连接WIFI;
3、删除无线的配置文件,重新连接无线,避免同SSID不同修改过认证方式和相关属性。
是否有正确配置DHCP-snooping功能
查看NAC上是否开启了DHCP-snooping,对于外部的DHCP服务器,如果开启该功能,合法的DHCP服务器又不在列表中,会出现IP地址获取不到的情况,从2.2版本开始,DHCP-Snooping功能在本地转发环境下也生效了,因此本地转发,启用此功能后,需要注意把DHCP服务器与DHCP-relay服务器都添加到列表中。
开启无线欺骗攻击检测,查看是否有告警事件
答:开启无线欺骗攻击检测,查看是否有告警事件,分析无线网络中有欺骗攻击发生,或者其他WIFI开启了反制功能。
