Беспроводные клиенты не получают IP-адреса

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)

- - Беспроводные клиенты не получают IP-адреса (http://forum.oszone.net/showthread.php?t=337689)

Беспроводные клиенты не получают IP-адреса

Добрый день, уважаемые знатоки. Пожалуйста, помогите решить проблему.

Исходные: есть сеточка, в качестве шлюза FortiGate 61E, сама сеть на коммутаторах HP 2530-24G (J9776A). Все жили в подсети 192.168.0.*, там был один-единственный VLAN 100 в качестве рабочего. Решили организовать WiFi, чтобы раздать корпоративный интернет мобильным устройствам сотрудников. Создал для этого отдельный VLAN 111, на фортигейте завёл его в DMZ-порт. На порту поднят DHCP-сервер, раздаёт адреса из подсети 192.168.11.*. В качестве шлюза (порт DMZ) выступает 192.168.11.1, диапазон адресов для DHCP с 192.168.11.2 до 192.168.11.254. Подключаем сюда WiFi-оборудование Ubiquiti Unifi: аппаратный сервер Cloud Key и точки доступа. Всё оборудование получает адреса из этой подсети и отлично друг друга видит, в Интернет доступ есть, в облачной консоли Unifi оно видно и управляется. Однако при попытке подключения беспроводных клиентов они не могут получить IP-адреса. Захват пакетов с DMZ-порта на фортигейте показывает следующее: с беспроводными клиентами идёт постоянный обмен DHCPDiscover-DHCPOffer, без второй стадии DHCPRequest-DHCPAck.

Я попробовал подключить WiFi-оборудование к старому роутеру TPLink Archer C59. Там всё работает без вопросов. При подключении этого роутера к DMZ на фортигейте (так, чтобы WiFi-сеть получала адреса через TPLink) тоже всё работает нормально. Получается, проблема либо в конфигурации коммутаторов HP 2530, либо в настройке порта на FortiGate 61E (хотя ещё большой вопрос, что там можно умудриться настроить неправильно). Время лизинга DHCP на фортигейте прописал в 12 часов, но это не помогло, да и вообще дело явно не в переполнении пула адресов — он ведь только что поднят. Попробовал на том из коммутаторов, где всё подключено, в VLAN 111 прописать ip helper-address 192.168.11.1 — без разницы.

В прикреплённом архиве — конфиг коммутатора HP 2530, к которому пробовал подключать оборудование WiFi, а также выгрузка захвата пакетов с DMZ-порта на фортигейте. Заранее благодарен за участие в решении этой проблемы.

Брррр...
Наворотили...
Не бэст-практиз может быть, но рабочее решение на таком же оборудовании (сморим на 31 влан):
1. На фортигейте на лан порт вешаем нужные вланы

картинка

2. На влане поднимаем дхцп сервер, если надо, то в адвансед делаем привязки по маку:

картинка

3. Пишем правила разрешающие что куда надо

картинка

4. Первый - рутовый - коммутатор (после МСЭ)

картинка

5. Коммутатор куда воткнуты вайфайки:

картинка

на всех коммутаторах:

Код:

#conf

#dhcp-releay

На влане указан ip-helper - адрес фортигейта в влане
На фортигейте подняты dhcp сервера на нужных вланах.

Физика: фортигейт - порт лан1 -> порт1 рутового. 8 порт рутового -> 1й порт коммутатора куда фай-файки воткнуты
Нативный влан используется для мэнеджэмента всея железа, втч вай-файки + контроллер, адм и гостевая сети идут в разных вланах, правила на фортигейте ограничивают и описывают доступ между вланами.

Повторюсь - Не бэст-практиз может быть, но рабочее решение

Ах да

фай-вайки

Код:

#conf

#dhcp-releay

Вот, видимо, в чём дело. Завтра с утра проверю, если не поможет, буду тщательно анализировать вашу конфигурацию на предмет дальнейших расхождений со своей. Спасибо! Отпишусь по результатам.

Нет, не помогло. На коммутаторах dhcp-relay был включён изначально. Возможно, у вас там какие-то дополнительные настройки стояли? Можете показать #sh dhcp-relay?

Код:

-root-switch-2920# sh dhcp-relay 



 Status and Counters - DHCP Relay



  DHCP Relay Agent                 : Enabled 

  DHCP Request Hop Count Increment : Enabled 

  Option 82                        : Disabled

  Response validation              : Disabled

  Option 82 handle policy          : replace

  Remote ID                        : mac      



  DHCP Relay Statistics:



  Client Requests       Server Responses



  Valid      Dropped    Valid      Dropped   

  ---------- ---------- ---------- ----------

  0          0          0          0         

 

  DHCP Relay Option 82 Statistics:



  Client Requests       Server Responses



  Valid      Dropped    Valid      Dropped   

  ---------- ---------- ---------- ----------

  0          0          0          0

Код:

-wifi-no-1-switch# sh dhcp-relay 



 Status and Counters - DHCP Relay



  DHCP Relay Agent                 : Enabled 

  DHCP Request Hop Count Increment : Enabled 

  Option 82                        : Disabled

  Response validation              : Disabled

  Option 82 handle policy          : replace

  Remote ID                        : mac      



  DHCP Relay Statistics:



  Client Requests       Server Responses



  Valid      Dropped    Valid      Dropped   

  ---------- ---------- ---------- ----------

  0          0          0          0         

 

  DHCP Relay Option 82 Statistics:



  Client Requests       Server Responses



  Valid      Dropped    Valid      Dropped   

  ---------- ---------- ---------- ----------

   0          0          0          0

На вай-фай контроллере под отдельную сеть влан прописали?
На портах коммутатора куда воткнуты вай-файки влан 111 прописан?

Нет, настройки dhcp-relay у вас по умолчанию, дело не в этом…

Да, на WiFi-контроллере указал соответствующий тэг VLAN для беспроводной сети. На фортигейте физический интерфейс заменил на VLAN с тем же тэгом, в правилах везде его указал. На коммутаторах все порты, относящиеся к WiFi, и так были в данном VLAN в untagged-режиме, я им прописал tagged.

А вот, кстати. Правильно ли я сделал, что порты на коммутаторах перевёл с untagged на tagged?

Ну смотрите:
вай-файки как устройства для управления подключаются в порт, который untag. На порт вешаем еще один влан tag. На контроллере создаем отдельную вай-фай сеть и на нее тоже вешаем tag.

А вообще рисуйте, что и как по физике подключено с вланами. Будем разбираться.

Моя логика - отдельный ssid в отдельном влане для "гостевой" сети.