■

前幾日，某縣公司的同事反映上網(wǎng)的過程中經(jīng)常會(huì)遇到IP地址沖突的情況發(fā)生，遇到這一問題后，我們首先進(jìn)行了思考，PPPoE即point to point protocol over Ethernet，是在以太網(wǎng)上承載PPP協(xié)議（點(diǎn)到點(diǎn)連接協(xié)議），它利用以太網(wǎng)將大量主機(jī)組成網(wǎng)絡(luò)，通過一個(gè)遠(yuǎn)端接入設(shè)備連入因特網(wǎng)，并對(duì)接入的每一個(gè)主機(jī)實(shí)現(xiàn)控制、計(jì)費(fèi)功能。它的工作原理是客戶端向RADIUS認(rèn)證服務(wù)器發(fā)送用戶名和密碼，RADIUS用戶認(rèn)證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，如果信息合法，則用戶會(huì)獲取到規(guī)劃的IP地址，然后實(shí)現(xiàn)接入互聯(lián)網(wǎng)的目的。既然用戶是動(dòng)態(tài)獲取的IP地址怎么會(huì)沖突呢？那難道是DHCP地址池中的IP地址已經(jīng)耗盡，目前我們辦公網(wǎng)使用的IP地址段是10.66.64.1/21，能夠容納2046個(gè)主機(jī)，我們?cè)赗ADIUS服務(wù)器上查看了已經(jīng)注冊(cè)的辦公上網(wǎng)用戶是800多個(gè)，遠(yuǎn)遠(yuǎn)沒有超過DHCP地址池的容量，那怎么會(huì)出現(xiàn)IP地址沖突呢？

圖1 獲取到的IP地址示意圖

圖2 MAC地址查找結(jié)果示意圖

我們經(jīng)過短暫的思考后，隨即趕到現(xiàn)場(chǎng)查看情況，經(jīng)過了解情況我們發(fā)現(xiàn)，該分公司下的許多電腦都會(huì)出現(xiàn)IP地址沖突的情況，既然是IP地址沖突，我們使用命令ipconfig查看了下獲取的IP地址，在“PPP適配器寬帶連接”上獲取的IP地址是10.66.64.50，這是PPPoE撥號(hào)成功后正常獲取到的合法地址，但是我們仔細(xì)發(fā)現(xiàn)在“本地連接”處又獲取到了另外一個(gè)地址192.168.1.102，如圖1所示。

如圖1所示的IP地址192.168.1.102，根 據(jù) 這 個(gè) 地址的格式，我們發(fā)現(xiàn)它是個(gè)C類地址，一般都是家用路由器常用的網(wǎng)段，我們?cè)陔娔X上對(duì)獲取到的網(wǎng)關(guān)IP地址192.168.1.1進(jìn)行了Ping測(cè)試，是可以正常Ping通的，然后我們使用arp-a對(duì)該IP地址的MAC進(jìn)行解析，我們得到了該IP地址的mac地址是ec88:8fab:e2dc，我們根據(jù)該MAC地址在本地和縣公司的核心交換機(jī)上進(jìn)行逐一查找，從而鎖定該MAC地址的位置，我們按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)按照從上到下的方式進(jìn)行查找，因?yàn)檗k公網(wǎng)屬于VLAN266所以我們使用命令show macaddress-table 266,即查找VLAN266的MAC地址，最終我們?cè)谀晨h市區(qū)的核心交換機(jī)上查找到了該MAC地址，來自該交換機(jī)的第3口，如圖2所示。按照這個(gè)辦法我們也查找出了另外一個(gè)IP地址的對(duì)應(yīng)的MAC地址，然后我們計(jì)劃先使用ACL對(duì)該MAC地址進(jìn)行限制。即登錄到該縣公司核心交換機(jī)上進(jìn)行配置：

這樣我們就完成了對(duì)該路由器設(shè)備的基于MAC地址的限制，然后按照相同的辦法在另外一個(gè)縣公司的核心交換機(jī)上進(jìn)行了ACL的設(shè)置，而后我們對(duì)IP地址沖突的主機(jī)進(jìn)行了觀察，已經(jīng)獲取不到IP地址，后期我們根據(jù)MAC地址所在的縣市區(qū)公司進(jìn)行了排查，發(fā)現(xiàn)這兩個(gè)縣市區(qū)的錯(cuò)誤的將路由器當(dāng)做了交換機(jī)使用，直接將可以上網(wǎng)的網(wǎng)線連接到了路由器的LAN口上，這樣就會(huì)產(chǎn)生路由器向全網(wǎng)整個(gè)VLAN發(fā)送DHCP報(bào)文，如果兩個(gè)路由器都在發(fā)DHCP報(bào)文，兩臺(tái)不同的主機(jī)分別通過這兩臺(tái)路由器獲取到相同的地址，當(dāng)然就會(huì)出現(xiàn)文章開頭的一幕IP地址沖突。

通過我們按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)至上而下的查找MAC地址，主機(jī)在DHCP動(dòng)態(tài)獲取地址的時(shí)候，DHCP通過廣播實(shí)現(xiàn),只能用于同一個(gè)廣播域,因此不能跨越路由器,這個(gè)需要通過配置DHCP中繼實(shí)現(xiàn)。所以我們直接就鎖定了該MAC地址就在縣區(qū)的BRAS上，然后按照縣市區(qū)進(jìn)行逐個(gè)排查最終發(fā)現(xiàn)了這兩個(gè)MAC地址，對(duì)這兩個(gè)MAC地址我們采用了ACL的方法限制了他和其他設(shè)備的通訊，從而解決了錯(cuò)誤使用路由器造成的DHCP報(bào)文的濫發(fā)，在一定程度上也保證了網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，后期我們針對(duì)使用路由器采取了下發(fā)文件的形式進(jìn)行約束，從而保證了路由器的正確使用，杜絕了因錯(cuò)誤使用路由器而造成的網(wǎng)絡(luò)問題。