请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1198|回复: 2

【原创故障案例分享】CoPP没有开启导致Client 无法从dhcp服务器获取IP地址

[复制链接]
发表于 2018-7-25 16:11:17 | 显示全部楼层 |阅读模式
CoPP没有开启导致Client 无法从dhcp服务器获取IP地址

拓扑如图:



95-1和95-2做了一个peer-link当成网关,93-1和93-2是二层的交换设备,下挂UCS服务器,UCS里装有虚机分别承担dhcp server 和client的角色,二者属于不同vlan,dhcp属于vlan 30,client属于vlan 40。Client发送dhcp  discover通过二层93到达网关95,95上做了dhcp relay,把广播包通过中继以dhcp为目的地址转发dhcp请求,discover再通过93到dhcp服务器上。后续的offer、request、ack等包也如以上的路线发送。
    具体原理可以参见下图:

客户反应vlan 40的client 无法自动获取ip地址。查看配置,所有配置均没有问题,95上的relay也起来了,线路上的接口也都是up状态,接口的trunk和access类型也都没问题。
具体配置可以参照文档:
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6-x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide_chapter_01101.html#con_1272845
         为了定位是UCS上的问题还是上层网络的问题,让客户在93-1上挂一个属于vlan 40 的pc,自动获取ip地址,同时再95-1和95-2上的cpu抓包。如果cpu上有discovery包,没有offer 包说明是UCS的问题。
        抓包结果非常有意思,在95-1上只有一个discovery包,95-2上没有关于dhcp的包。而dhcp relay确实是配好的,也就是说,只要95收到dhcp discovery的包,至少会将这个包再发出去,可是没有。
        再查看配置,发现客户的CoPP是关闭的状态。让客户把CoPP打开后,UCS里的客户端可以正常获取IP地址了。
CoPP(control plane policing)是一种保护CPU防止被DoS攻击的特性。所有上CPU的包会被进行标记和分类,进而采取相应的措施。比如当远端有大量的ICMP的包攻击CPU,CoPP特性为了保证CPU正常运行,会drop一些包。同时CoPP也会优先处理一些请求,如BPDU、dhcp请求、三层的路由协议、ARP协议等等。所以当CoPP没有被配置的情况下CPU对于以上的一些报文处理就会发生一些列的问题。
        CoPP在nexus 上的介绍:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-8-7 09:44:33 | 显示全部楼层
谢谢分享!!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-10 10:59:54 | 显示全部楼层
这个有点意思。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-22 23:05 , Processed in 0.086671 second(s), 34 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表