■

近期某公司頻繁出現(xiàn)視頻點播獲取到192.168.*.*非法地址且使用電腦能夠上網(wǎng)的情況。接到報修后，我們首先安排維修人員在終端使用arp-a查到用戶獲取的網(wǎng)關的MAC地址為d0c7.c0a0.e415，在BRAS上使用show subscriber user-mac d0c7.c0a0.e415查到該用戶的賬號，與EBOSS上用戶對應，最后找出了該用戶，經(jīng)電話詢問，該用戶將路由器的WAN口接入了EOC終端的第一口，LAN口接入了EOC終端的第二口。這樣問題就比較好理解了，由于點播業(yè)務都處于同一VLAN下，其他視頻點播用戶通過EOC終端的第二口獲取到該路由器分配的IP地址，這樣即可通過該路由器的WAN口訪問互聯(lián)網(wǎng)了。

對于這種路由器接法，不只一處，如何才能避免某一個路由器接錯而不影響其他終端，我們的處理方法是在最靠近終端的設備上開啟DHCP Snooping（DHCP監(jiān)聽）功能，雖然EOC頭端也具有DHCP Snooping功能，但效果不佳，最后我們選擇在OLT上開啟該項 功 能。DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。當OLT開啟了 DHCP Snooping后，會對DHCP報文進行偵聽，并可以從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息。另外，DHCP Snooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報文，而不信任端口會將接收到的DHCP Offer報文丟棄。這樣，即可以完成OLT對假冒DHCP Server的屏蔽作用，又可確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

我們現(xiàn)網(wǎng)大部分的OLT是瑞斯康達和中興的，默認情況下PON口已經(jīng)設置成非信任模式，就是說不允許用戶從PON下的DHCP服務器獲取IP地址，但是全局模式下需要打開DHCP監(jiān)聽功能，當全局DHCP Snooping啟動后，端口DHCP Snooping才會生效。

設置方法如下：

這樣操作完成后，故障排除，可以獲取到正常的視頻點播DHCP服務器分配的IP地址。DHCP服務器可以為客戶端自動分配IP地址、掩碼、默認網(wǎng)關、DNS服務器等網(wǎng)絡參數(shù)，簡化了網(wǎng)絡配置，提高了管理效率。但在DHCP服務的管理上存在DHCP Server的冒充及DHCP Server的DOS攻擊等現(xiàn)象。而且隨著電子產(chǎn)品的多樣化，無線路由器也成了客戶終端所必備的設備，但大家對于網(wǎng)絡知識的熟知度不同，勢必會有接錯的現(xiàn)象，路由器一旦接錯就會充當DHCP Serve的角色，為用戶分配非法地址。做為網(wǎng)絡運營商我們也不可能保證每個用戶都能正確使用路由器，只能從上層設備上進行限制或者網(wǎng)絡優(yōu)化，而且DHCP Snooping會占用大量的CPU資源，在網(wǎng)內(nèi)我們就發(fā)現(xiàn)有些OLT會出現(xiàn)丟包現(xiàn)象，最根本的解決辦法還是對用戶使用的VLAN進行細分，使用PUPSPV的方式，目前這項工作隨著縣區(qū)BRAS的部署正在同步進行。