■

單位三層交換機L3-SW開啟DHCP服務，為各VLAN提供IP地址分配服務。各接入交換機采用基于端口的VLAN，通過Trunk口接入 三層交換機L3-SW。網(wǎng)絡拓撲結(jié)構(gòu)如圖 1所示。

圖1 網(wǎng)絡拓撲結(jié)構(gòu)

故障現(xiàn)象

客戶反映所在網(wǎng)絡屬于VLANX的客戶端，近期經(jīng)常出現(xiàn)無法通過DHCP服務獲得IP地址的故障。雖然執(zhí)行clear ip dhcp binding * 命令（客戶使用的是思科設備）可以暫時緩解，但是過一段時間故障依舊。其他VLAN的客戶端可以正常獲得IP地址。

故障分析

由于僅僅是VLANX的客戶端無法獲得地址，基本排除DHCP服務的故障。排查重點放在出現(xiàn)問題的VLANX，可能有三種情況造成無法分配IP地址。

第一種情況：針對DHCP Server的拒絕服務攻擊。

VLANX中某主機，對DHCP服務器實施DHCP耗竭攻擊，使真實的用戶獲得不到地址。Cisco交換機支持在每個VLAN基礎上啟用DHCP監(jiān)聽特性。通過在VLANX啟用DHCP監(jiān)聽，交換機能夠攔截第二層VLAN域內(nèi)的所有非正常DHCP報文，從而杜絕DHCP耗竭攻擊。

第二種情況：IP 地址沖突太多。

DHCP服務器會將沖突的IP地址，從DHCP地址池移動到DHCP沖突地址表中，造成無IP地址可分配。如果是這種情況，只要執(zhí)行clear ip dhcp conflict * 命令，就會將沖突的IP地址歸還給地址池。

第三種情況：VLANX接入上網(wǎng)的客戶端太多。

VLANX的DHCP地址池采用C類私有地址，并且其租約時間lease time設置時間過長，造成已經(jīng)離線的客戶端IP沒有及時釋放，新接入的客戶端就無法獲得IP地址。

可以通過減小lease time時間，及時釋放不再使用的IP地址?；蛘邤U大地址池中的地址數(shù)，啟用A類或者B類的私有地址，A類10.0.0.0 --10.255.255.255，B類 1 7 2.1 6.0.0--172.31.255.255。

故障排查

登錄三層交換機L3-SW：

//顯示多個VLAN的IP地址分配情況

其 中，VLANX地 址 池IP幾乎都被分配出去。別的VLAN地址分配的比較少，驗證了VLANX有問題的判斷。

L 3-S W # s h o w running-config

//查看運行中的配置

發(fā)現(xiàn)VLANX的DHCP地址池為C類192.168.0.0/24，其lease time和其他VLAN一樣均為一天。

針對第一種情況

1.登錄三層交換機L3-SW，配置DHCP Snooping,啟用DHCP監(jiān)聽功能。

L3-SW(config)#ip dhcp snooping

配 置L3-SW監(jiān) 聽VLANX的DHCP數(shù)據(jù)包

L3-SW (config)#ip dhcp snooping vlanX

檢測非信任端口CHADDR字段與源MAC是否相同

L3-SW (config)#ip dhcp snooping verify macaddress

DHCP監(jiān)聽綁定表保存在Flash中

L3-SW (config)#ip dhcp snooping database flash:dhcp_snooping.db

DHCP監(jiān)聽綁定表更新后等待20秒再保存

L3-SW (config)#ip dhcp snooping database writedelay 20

DHCP監(jiān)聽綁定表保存失敗后，只重新嘗試20秒

L3-SW (config)#ip dhcp snooping database timeout 20

L 3-S W (c o n f i g)#i n t e r f a c e G i g a b i t Ethernet0/1

description : Connect to L2-SW

L3-SW (config-if)#switchport mode trunk

L 3-S W (c o n f i gif)# switchport trunk encapsulation dot1q

限制非信任端口每秒鐘能接受的DHCP數(shù)據(jù)包為500個

L3-SW (config-if)#ip dhcp snooping limit rate 500

2.登錄接入層交換機L2-SW，將上聯(lián)至L3-SW交換機的端口設置為信任端口，其他設置為非信任端口，并對DHCP請求包進行限速。

L2- SW (config)#ip dhcp snooping

L2- SW (config)#ip dhcp snooping vlanX

L2- SW (config)#no ip dhcp?relay information trusted

L2- SW (config)#int range fa/1 – 48

L2- SW (config-if)#no ip dhcp snooping trust

L 2- S W (c o n f i gif)#spanning-tree portfast

L2- SW (config-if)#ip dhcp snooping limit rate 10(pps)

L2- SW (config) #interface GigabitEthernet0/1

description : Connect to L3-SW

L2- SW (config-if)#switchport mode trunk

L2- SW (config-if )#ip dhcp snooping trust

配置DHCP監(jiān)聽完畢后，觀察了幾天，故障依舊。說明不存在DHCP耗竭攻擊的情況。

針對第二種情況

登錄三層交換機，顯示沖突的IP地址：

L3-SW # show ip dhcp conflict

沒有發(fā)現(xiàn)沖突的IP地址。第二種情況排除了。

針對第三種情況

通過以下命令將lease time由一天改為8小時。

L 3-S W #c o n f i g terminal

L3-SW (config)#ip dhcp pool vlanX

L 3-S W (d h c pconfig)#lease 0 8

L 3-S W (d h c pconfig)#exit

L3-SW (config)#exit

修改后觀察一段時間，故障依舊，直到修改lease time為2小時，故障才消失。

經(jīng)驗總結(jié)

從客戶那里了解到，VLANX用戶有以下特點：

1.用戶居留的時間不長，相對使用網(wǎng)絡時間也短 。

2.用戶經(jīng)常自己接入無線AP，使用各種無線設備（手機、平板、上網(wǎng)本），以前一個端口接一臺電腦，現(xiàn)在往往出現(xiàn)N個用戶端同時接入的情況，這就需要比以前更多的IP地址。

看來交換機的相關配置需要根據(jù)使用者的變化做相應的調(diào)整，才能避免類似的故障。另外，DHCP監(jiān)聽本質(zhì)上開啟交換機對DHCP報文內(nèi)CHADDR字段的檢查，從而犧牲交換機的性能。所以除了為應對耗竭攻擊行為而開啟外，建議平時不必開啟。