取消
显示结果 
搜索替代 
您的意思是: 
cancel
10658
查看次数
40
有帮助
11
评论
suzhouxiaoniu
Spotlight
Spotlight
本帖最后由 suzhouxiaoniu 于 2018-4-17 11:07 编辑
今天休息,分享一个相关故障,全靠回忆了,只能大概画一下相关部分拓扑
104819kmabib62qwy8mnfp.png
网络中DHCP是思科的三层交换机,底下的交换机开启代了DHCP SNOOPING,防止客户端VLAN里有非法DHCP服务器,同时设置上行接口为信任接口,
所有连接终端的接口默认都是非信任口,额外开启了DHCP速率限制,防止DOS攻击。
故障现象:
客户端本来可以获取DHCP地址,配置DHCP SNOOPING后获取不到地址
排障过程:
1:现象很明显,肯定是DHCP snooping配置造成的故障,但是配置一共就几句话,左看右看没有什么问题。
2:由于DHCP服务器是思科的交换机,所以在交换机上开启debug dhcp packet server ,发现有中继代理的相关字段报错【图片没保存】,大概意思就是giaddr字段为0,一直提示。
3:由于本网络服务器和客户端在同一网段,所有并没有DHCP中继存在,不应该有代理字段提示,怀疑DHCP SNOOPING默认开启了option选项
4:关闭DHCP SNOOPING OPTION选项,故障解决
备注:也可以在server交换机接口上信任所有DHCP数据包,也可以解决故障,命令就不去一条条敲了,不同平台命令也有一点区别,
总结:
DHCP SNOOPING开启后获取不到地址,
一个怀疑非信任口没有速率限制(部分平台不限制,就拿不到地址,很久之前也遇到过,平台好像是3550,版本忘了,不开启拿不到地址,各位看官要注意一下),
第二个就怀疑,中继代理的问题。一般debug或者抓包还是容易发现故障的。
评论
byl_qware_com
Level 8
Level 8
沙发!谢谢版主分享!认真学习一下!
13nash
Level 8
Level 8
非法DHCP怎么防止
suzhouxiaoniu
Spotlight
Spotlight
13nash 发表于 2018-4-18 17:11
非法DHCP怎么防止

DHCP SNOOPING就是干这事的,默认连接客户端的接口都是非信任口,不能接收服务器才应该产生的OFF、ACK数据包
xuxianda7
Spotlight
Spotlight
谢谢分享,下次遇到可以跳过这个坑
suzhouxiaoniu
Spotlight
Spotlight
在网络分享经验的好处是,大家以后遇到问题,一般都能搜索到这些故障
现在排障大部分第一步,是搜索互联网:)
wx_a4HSihEz
Spotlight
Spotlight
路过留名,感谢分享:D:D
ad240035
Community Member
标配命令DHCP Snooping + dhcp-snooping trust
然后问下大家,大家在什么情况下会开启DHCP SNOOPING OPTION 命令的,我在做无线时候这开启过但是还是不是太明白请大神解惑,谢谢!
Netdou
Level 1
Level 1
核心交换机敲一个 ip dhcp relay information trust-all:P
wupeifeng
Level 1
Level 1
接入交换机开启dhcp snooping的话,会在DHCP请求报文中插入中继选项,就是option 82,核心交换机开启DHCP snooping的话,默认是不信任有option 82 的dhcp请求包的,需要在接入交换机上禁用插入option,no ip dhcp snooping information option!
jokezhang6731
Level 1
Level 1
option82 默认本来就是开启的啊,可以通过show ip dhcp snooping binding来看生成的表项
jokezhang6731
Level 1
Level 1
做ip source guard和DAI的时候都是需要开启option82的,因为这两个特性都是基于snooping binding database来做判断的
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接