1. 程式人生 > >史上最鬧心的WDS部署問題解決方案

史上最鬧心的WDS部署問題解決方案

背景:
公司網路架構升級,上了一套銳捷的網路裝置(含核心交換機和二三層交換機),同時啟用了網路接入認證(Portal認證),需要用AD賬號才能接入,非認證機器無法訪問內外網網路,只能在同網段進行通訊(跟沒網有什麼區別)

核心交換機:192.168.0.10
DHCP和AD:192.168.0.5
WDS伺服器:192.168.6.250(前期);192.168.0.6(後期)
客戶端:192.168.6.0/24

問題:
1. 先在6段搭建了wds伺服器,然後在6段接入一臺客戶端,進行測試,發現ok,伺服器正常。
2. 然後在0段,起了一個wds伺服器(0.6),發現不能識別0段的wds伺服器,客戶端還是直接連線到了6段wds伺服器,然後就把6段的伺服器給停用了,發現客戶端還是無法識別到0.6這臺WDS伺服器。
3. 為了驗證0.6這臺WDS伺服器的服務是否正常,於是把客戶端拿到0段網路,連線測試OK,可以正常使用wds服務。
4. 此時基本可以確定是網路問題,通過上網查詢,說是需要配置DHCP中繼和DHCP伺服器上配置Option66 67選項,分別指出wds部署服務檔案下載地址和wds伺服器地址。

此處參考文件:點選開啟,文件很詳細的說明了在什麼情況下配置66、67,也講解了這兩種選項的功能。

5.. 測試發現新增Option 66 、67也不行,這時猜想是否是網路本身的問題,於是採取以下測試:
5.1 拿了一個銳捷的三層交換機,配置一個核心段、配置一個客戶端段、配置一個WDS伺服器端
5.2 在交換機上開啟DHCP服務,在DHCP上配置Option 66、 67和一個至關重要的命令:NextServer(用於指明Wds伺服器地址)。
5.3 配置好後,發現WDS服務正常, 說明WDS伺服器和跨網路傳輸沒有問題。
6. 重新在正式環境中進行測試發現還是不行(正式環境下不需要配置NextServer命令,因為正式環境中配置有DHCP中繼),客戶端和WDS伺服器進行通訊時,一到獲取FTP傳輸時,就報錯,此時沒有思路。
7. 針對以上問題,思考前後發現沒有什麼能夠除錯的了,只能採取刨根問題模式了,開始在測試環境下抓一個完整的客戶端和WDS通訊的包,再在正式環境下抓一個報錯的包,最後交給銳捷的工程師進行包分析。
8. 三天後,給出的反饋是

當核心交換機接收到,非核心網段的DHCP-Request請求時,核心交換機的Snooping不記錄MAC地址和Vlan標籤,直接在核心丟棄。

這就導致了WDS和客戶端在進行通訊時,就會在這個環境終端。
9. 針對此問題,最後在核心交換機配置了no ip dhcp snooping vlan x(x為核心網段的vlan號),配置此配置後,發現已經認證過的機器,進行WDS裝機時,可以使用。
10. 新的問題又出現了,我們在使用WDS服務時,更多的使用時新機器或者是離職退出認證的機器,這時發現機器不認證沒法進行WDS裝機。首先想到的方法是放行需要進行通訊的伺服器(含DHCP、WDS),這樣任何一臺客戶端都不需要進行認證就可以和WDS伺服器進行認證,可以使用服務,但是實際操作時,發現還是到FTP下載時,又中斷連線。
11. 針對這個新的讓人頭疼的問題,直接進行抓包,讓銳捷的工程師進行資料包分析。
12. 三天後給出的結果是因為WDS服務會用到4011埠,這個埠在銳捷的核心交換機中,認為這是一個不常用的埠,所以不做snooping記錄,這樣的結果就和上邊的問題一樣了。但是這次不能把每個段的snooping個no掉,所以只能把這個Bug交給他們的研發進行解決。
13. 三天後給了一個解決方案,
一:客戶端在伺服器同一個網段
二:放棄portal認證
三:等待核心交換機的補丁
看到這三個方案,前兩個不扯淡呢,只能選擇第三個方案。
14. 一個星期過去了,說是補丁出來了,進行補丁更新,可以解決以上的問題。只能進行補丁更新了,目前還在測試中。