请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 113|回复: 4

【原创故障案例分享】DHCP snooping导致的故障

[复制链接]
发表于 6 天前 | 显示全部楼层 |阅读模式
本帖最后由 suzhouxiaoniu 于 2018-4-17 11:07 编辑

今天休息,分享一个相关故障,全靠回忆了,只能大概画一下相关部分拓扑



网络中DHCP是思科的三层交换机,底下的交换机开启代了DHCP SNOOPING,防止客户端VLAN里有非法DHCP服务器,同时设置上行接口为信任接口,

所有连接终端的接口默认都是非信任口,额外开启了DHCP速率限制,防止DOS攻击。


故障现象:

客户端本来可以获取DHCP地址,配置DHCP SNOOPING后获取不到地址


排障过程:

1:现象很明显,肯定是DHCP snooping配置造成的故障,但是配置一共就几句话,左看右看没有什么问题。

2:由于DHCP服务器是思科的交换机,所以在交换机上开启debug  dhcp packet  server ,发现有中继代理的相关字段报错【图片没保存】,大概意思就是giaddr字段为0,一直提示。

3:由于本网络服务器和客户端在同一网段,所有并没有DHCP中继存在,不应该有代理字段提示,怀疑DHCP SNOOPING默认开启了option选项

4:关闭DHCP SNOOPING  OPTION选项,故障解决

备注:也可以在server交换机接口上信任所有DHCP数据包,也可以解决故障,命令就不去一条条敲了,不同平台命令也有一点区别,


总结:

DHCP SNOOPING开启后获取不到地址,

一个怀疑非信任口没有速率限制(部分平台不限制,就拿不到地址,很久之前也遇到过,平台好像是3550,版本忘了,不开启拿不到地址,各位看官要注意一下),

第二个就怀疑,中继代理的问题。一般debug或者抓包还是容易发现故障的。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 6 天前 | 显示全部楼层
沙发!谢谢版主分享!认真学习一下!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 5 天前 | 显示全部楼层
非法DHCP怎么防止
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 4 天前 | 显示全部楼层
13nash 发表于 2018-4-18 17:11
非法DHCP怎么防止

DHCP SNOOPING就是干这事的,默认连接客户端的接口都是非信任口,不能接收服务器才应该产生的OFF、ACK数据包
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 3 天前 | 显示全部楼层
谢谢分享,下次遇到可以跳过这个坑
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-4-23 01:53 , Processed in 0.095009 second(s), 37 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表