排除Catalyst 9000系列终端在ISE重定向时无法接收DHCP地址的问题

下载选项

  • PDF     (371.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (63.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2026 年 4 月 28 日
文档 ID:225823

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

问题

在Cisco Catalyst 9000系列交换机上使用来自思科身份服务引擎(ISE)的重定向启用身份验证后,有线终端间歇性地无法通过动态主机配置协议(DHCP)获取IP地址。在使用相同配置的非Catalyst 9000系列交换机上未发现任何问题。

环境

  • 产品系列:Catalyst 9000系列

  • 发生DHCP获取故障的Windows计算机

  • Catalyst 9000系列交换机上的重定向访问控制列表(ACL)不会明确拒绝DHCP流量

分辨率

1.将以下deny语句添加到重定向ACL以显式处理DHCP流量:

deny udp any eq bootps any

deny udp any any eq bootpc

deny udp any eq bootpc any

2.修改ACL后,重新验证之前出现故障的设备,以验证它现在是否可以通过DHCP成功检索IP地址。

原因

启用身份验证时,Catalyst 9000系列交换机处理数据包的方式与旧交换机型号不同。Catalyst 9000系列交换机上的数据包处理顺序如下:

1.将与permit Access Control Entry(ACE)规则匹配的数据包发送到CPU以重定向到AAA服务器。

2.与拒绝ACE规则匹配的数据包将通过交换机转发。

3.既不匹配允许也不匹配ACE规则的数据包由下一个可下载访问控制列表(DACL)处理,如果没有DACL,则数据包会命中隐式 — 拒绝ACL并被丢弃。

此处理方法与使用默认ACL的较旧交换机型号不同,这些默认ACL默认允许DHCP流量,在重定向ACL之前进行处理。Catalyst 9000系列型号不使用这些默认ACL,而是完全依赖于会话上采用的重定向ACL和DACL。前身Catalyst交换机上关闭模式会话的默认ACL如下:

3750#sh ip access-lists Auth-Default-ACL

扩展IP访问列表Auth-Default-ACL

    10 permit udp any range bootps 65347 any range bootpc 65348(22个匹配)

    20 permit udp any any range bootps 65347(12个匹配)

    30 deny ip any any

相关内容

修订历史记录

版本 发布日期 备注
1.0
30-Apr-2026
初始版本
TAC Authored

由思科工程师提供

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品