所用终端都获取不到地址

1、应该给NAC配置2层交换口的网络环境，却给NAC的物理口配置成为3层口，导致无线终端和DHCP服务器（VLAN接口或物理接口）不在同一个广播域中，DHCP服务器无法收到DHCP请求。比如AP和NAC在纯2层环境下，启用物理3层口的DHCP，又启用集中转发就会获取不到IP（参考部署专题）

2、给SSID的VLAN设置非VLAN 1，又采用了本地转发，但是AP直连的前端交换机并没有配置正确的vlan标签，导致带有vlan标签的数据通不过，终端无法获取IP。

3、本地转发时，无线终端所在的广播域中，没有DHCP服务器。

4、在NAC1.8以前的版本，SSID启用web认证后，有认证前的vlan划分，认证前与认证后vlan需要配置一致，才能正常获取IP。

 检查DHCP服务配置是否正确

1、SSID的VLAN配置有问题，所有或部分AP没有配置好相应的VLAN

1、配置DHCP-relay，通过外部的服务器来分配IP地址，但是地址配错了。

2、外部DHCP-server本身有问题，无法正常提供DHCP服务，比如DHCP地址池对应dhcp-relay地址有误。

是否采用的企业级无线认证

1、采用的是企业级802.1X认证，windows7的PC需要用自动配置工具配置，或手动修改配置文件才可以连接上；

2、采用3.0以及以上的版本，由于NAC采用企业级认证的证书已经过了微软的认证，启用EAP终结模式时，可以不需要自动配置工具了，用户连接企业级WIFI认证时，选择信任证书即可连接WIFI；

3、删除无线的配置文件，重新连接无线，避免同SSID不同修改过认证方式和相关属性。

是否有正确配置DHCP-snooping功能

查看NAC上是否开启了DHCP-snooping,对于外部的DHCP服务器，如果开启该功能，合法的DHCP服务器又不在列表中，会出现IP地址获取不到的情况，从2.2版本开始，DHCP-Snooping功能在本地转发环境下也生效了，因此本地转发，启用此功能后，需要注意把DHCP服务器与DHCP-relay服务器都添加到列表中。

开启无线欺骗攻击检测，查看是否有告警事件

答：开启无线欺骗攻击检测，查看是否有告警事件，分析无线网络中有欺骗攻击发生，或者其他WIFI开启了反制功能。