前言:
根据华为官方文档及笔者平时的处理经验总结出的一些DHCP获取地址慢或无法获取地址的解决方法。
子网中存在其他DHCP Server设备
原因:如果子网中存在2个或多个DHCP Server,则只会接受第一个响应DHCP报文的DHCP Server。
案例:1,在某公司某员工想通过一台TP-Link的无线路由器来实现接公司的网为自己的手机提供WLAN服务,结果该员工与卖家交流不在一个频道上,导致配置错误,接入办公网后部分机器出现获取地址慢、IP地址不对的情况。2,深信服设备具有强力的流氓广播行为,在任一网络中,只要上电接入,全网网络基本被深信服设备接管,此事件造成了一公司3小时无法正常办公。
处理办法:在客户端的上行接入设备(即我们平时所说的接入交换机。)上配置DHCP Snooping功能,使客户端仅接收信任的DHCP服务器消息,避免从其他DHCP服务器获取IP地址。配置方法参见:配置DHCP Snooping的攻击防范功能示例
广播流量抑制
原因:DHCP报文是广播报文,如果网络中广播报文超过了之前配置的阈值,会造成DHCP请求报文被丢弃。
案例:无,基于全局的DHCP在大型网络中不常见,一般采用接口DHCP。
处理办法:在缺省情况下,华为的设备一般去使能DHCP广播流量限制,一般是前期手动配置了,一般调整即可。根据DHCP的配置方式不同,在全局、VLAN、接口模式下调整dhcp check dhcp-rate rate
即可。
恶意攻击
原因:子网中存在恶意攻击。display cpu-defend statistics packet-type dhcp-client
及display cpu-defend statistics packet-type dhcp-server
案例:有次在一家小公司遇到了这个问题,发现几个员工上网习惯较差,感染了这类型的病毒,不断发动ARP及DHCP仿冒攻击。
处理办法:先使用命令display cpu-defend statistics packet-type dhcp-client
及display cpu-defend statistics packet-type dhcp-server
找出攻击源,配置一条ACL,进入系统视图,执行blacklist
命令配置,将此MAC地址加入黑名单,再询问哪台机器不能正常上网,一般为中毒机器,现场杀毒即可。
STP功能使能
原因:如果DHCP服务器或DHCP中继服务器上使能了STP功能(MSTP、RSTP),有可能会造成获取地址慢。
案例:无,S5720实机测试有此种情况。
处理办法:小型树状网络可直接去使能STP功能,如果为环形网络必须启用STP功能的情况下,建议将DHCP配置在额外的设备上。
评论前必须登录!
注册