■
近期某公司頻繁出現(xiàn)視頻點播獲取到192.168.*.*非法地址且使用電腦能夠上網(wǎng)的情況。接到報修后,我們首先安排維修人員在終端使用arp-a查到用戶獲取的網(wǎng)關的MAC地址為d0c7.c0a0.e415,在BRAS上使用show subscriber user-mac d0c7.c0a0.e415查到該用戶的賬號,與EBOSS上用戶對應,最后找出了該用戶,經(jīng)電話詢問,該用戶將路由器的WAN口接入了EOC終端的第一口,LAN口接入了EOC終端的第二口。這樣問題就比較好理解了,由于點播業(yè)務都處于同一VLAN下,其他視頻點播用戶通過EOC終端的第二口獲取到該路由器分配的IP地址,這樣即可通過該路由器的WAN口訪問互聯(lián)網(wǎng)了。
對于這種路由器接法,不只一處,如何才能避免某一個路由器接錯而不影響其他終端,我們的處理方法是在最靠近終端的設備上開啟DHCP Snooping(DHCP監(jiān)聽)功能,雖然EOC頭端也具有DHCP Snooping功能,但效果不佳,最后我們選擇在OLT上開啟該項 功 能。DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息,這些信息是指來自不信任區(qū)域的DHCP信息。當OLT開啟了 DHCP Snooping后,會對DHCP報文進行偵聽,并可以從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息。另外,DHCP Snooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報文,而不信任端口會將接收到的DHCP Offer報文丟棄。這樣,即可以完成OLT對假冒DHCP Server的屏蔽作用,又可確??蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。
我們現(xiàn)網(wǎng)大部分的OLT是瑞斯康達和中興的,默認情況下PON口已經(jīng)設置成非信任模式,就是說不允許用戶從PON下的DHCP服務器獲取IP地址,但是全局模式下需要打開DHCP監(jiān)聽功能,當全局DHCP Snooping啟動后,端口DHCP Snooping才會生效。
設置方法如下:
這樣操作完成后,故障排除,可以獲取到正常的視頻點播DHCP服務器分配的IP地址。DHCP服務器可以為客戶端自動分配IP地址、掩碼、默認網(wǎng)關、DNS服務器等網(wǎng)絡參數(shù),簡化了網(wǎng)絡配置,提高了管理效率。但在DHCP服務的管理上存在DHCP Server的冒充及DHCP Server的DOS攻擊等現(xiàn)象。而且隨著電子產(chǎn)品的多樣化,無線路由器也成了客戶終端所必備的設備,但大家對于網(wǎng)絡知識的熟知度不同,勢必會有接錯的現(xiàn)象,路由器一旦接錯就會充當DHCP Serve的角色,為用戶分配非法地址。做為網(wǎng)絡運營商我們也不可能保證每個用戶都能正確使用路由器,只能從上層設備上進行限制或者網(wǎng)絡優(yōu)化,而且DHCP Snooping會占用大量的CPU資源,在網(wǎng)內(nèi)我們就發(fā)現(xiàn)有些OLT會出現(xiàn)丟包現(xiàn)象,最根本的解決辦法還是對用戶使用的VLAN進行細分,使用PUPSPV的方式,目前這項工作隨著縣區(qū)BRAS的部署正在同步進行。