用户反映S9300下挂WLAN AP掉线,在S9300上PING AP的管理地址丢包严重.

　　原因思路

　　由于掉线的AP集中于一个管理VLAN,怀疑有如下可能：

　　1、用户ARP攻击导致AP在管理VLAN中学习ARP异常导致掉线;

　　2、VLAN地址池已耗尽;

　　3、环路导致MAC地址漂移,从而导致AP掉线。

　　解决过程

　　1、在S9300上通过命令查看disp cpu-defend arp-request statistics slot 5 ,发现ARP报文不多,属于正常增长范围;

　　通过display interface brief命令查看显示端口流量正，在5%左右.排除ARP攻击。

　　2、查看DHCP SERVER地址池地址占用情况,254个地址只用了110个，有大量剩余，排除地址池耗尽的可能.;

　　3、怀疑产生环路导致MAC漂移，打开MAC漂移检测

　　系统视图下：[Quidway]loop-detect eth-loop alarm-only

　　VLAN视图下：[Quidway -vlan36]loop-detect eth-loop alarm-only

　　不久上报如下告警:L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2012.3.22.160.3.7 Loop exist in vlan 36, for mac-flapping。

　　印证了产生环路导致MAC漂移假设。

　　和客户了解较近施工情况，发现2小时前施工人员将网线接错导致物理成环，现场破环后解决。

　　在发生AP大规模掉线时，尤其是在某个具体的VLAN中掉线时,除了考虑配置环路检测外，可以考虑打开MAC漂移检测功能。

　　系统视图下配置：[Quidway]loop-detect eth-loop alarm-only

　　VLAN视图下配置：[Quidway -vlan36]loop-detect eth-loop alarm-only

　　检测到漂移告警,可以判断出有环路产生。