解决无法获取IP地址的故障

解决无法获取IP地址的故障

导语：

无线时代的到来，接入有线网络的无线设备越来越多。风靡网络的黑客行为更是让网络管理员风声鹤唳。网络设备的配置，只有根据网络使用者不断变化的情况，做相应的调整，才能保证网络的正常运行。本文介绍了一次有惊无险的单个Vlan无法获取IP 地址故障的处理过程。

网络现状：

三层交换机L3-SW开启DHCP服务，为各vlan提供IP地址分配服务。各接入交换机采用基于端口的vlan，通过Trunk口接入三层交换机L3-SW。拓扑结构如图 1

故障现象：

客户反映所在网络属于vlanX的客户端，近期经常出现无法通过DHCP服务获得IP地址的故障。虽然执行clear ip dhcp binding * 命令（客户使用的是思科设备）可以暂时缓解，但是过一段时间故障依旧。其他vlan的客户端可以正常获得IP地址。

故障分析：

由于仅仅是vlanX的客户端无法获得地址，基本排除DHCP服务的故障。排查重点放在出现问题的vlanX，可能有三种情况造成无法分配IP地址。

第一种情况：针对DHCP Server的拒绝服务攻击。

vlanX中某主机，对DHCP服务器实施DHCP耗竭攻击，使真实的用户获得不到地址。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过在vlanX启用DHCP 监听，交换机能够拦截第二层VLAN域内的所有非正常DHCP报文，从而杜绝DHCP 耗竭攻击。

第二种情况：IP 地址冲突太多。

DHCP服务器会将冲突的IP地址，从DHCP地址池移动到DHCP冲突地址表中，造成无IP地址可分配。如果是这种情况只要执行 clear ip dhcp conflict * 命令，就会将冲突的IP地址归还给地址池。

第三种情况：vlanX接入上网的客户端太多。

vlanX的DHCP地址池采用C类私有地址，并且其租约时间lease time 设置时间过长。造成已经离线的客户端IP没有及时释放，新接入的客户端就无法获得IP地址。

可以通过减小lease time时间，及时释放不再使用的IP地址。或者扩大地址池中的地址数，启用A类或者B类的私有地址，A类 10.0.0.0 --10.255.255.255，B类

172.16.0.0--172.31.255.255。

解决过程：

登陆三层交换机L3-SW：

L3-SW # show ip dhcp binding //显示多个vlan的IP地址分配情况

其中 vlanX 地址池IP几乎都被分配出去。别的vlan地址分配的比较少，印证了vlanx 有问题的判断。

L3-SW # show running-config //查看运行中的配置

发现vlanX的dhcp地址池为C类192.168.0.0/24，其lease time 和其他vlan一样均为一天。

一、针对第一种情况：

1、登陆三层交换机L3-SW，配置DHCP Snooping,启用DHCP监听功能。

L3-SW(config)#ip dhcp snooping

配置L3-SW监听vlanX的DHCP数据包

L3-SW (config)#ip dhcp snooping vlanX

检测非信任端口CHADDR字段与源MAC是否相同

L3-SW (config)#ip dhcp snooping verify mac-address

DHCP监听绑定表保存在Flash中

L3-SW (config)#ip dhcp snooping database flash:dhcp_snooping.db

DHCP监听绑定表更新后等待20秒再保存

L3-SW (config)#ip dhcp snooping database write-delay 20

DHCP监听绑定表保存失败后，只重新尝试20秒

L3-SW (config)#ip dhcp snooping database timeout 20

L3-SW (config)#interface GigabitEthernet0/1

description : Connect to L2-SW

L3-SW (config-if)# switchport mode trunk

L3-SW (config-if)# switchport trunk encapsulation dot1q

限制非信任端口每秒钟能接受的DHCP数据包为500个

L3-SW (config-if)#ip dhcp snooping limit rate 500

2、登陆接入层交换机L2- SW，将上联至L3-SW交换机的端口设置为信任端口，其他设置为非信任端口，并对DHCP请求包进行限速。

L2- SW (config)#ip dhcp snooping

L2- SW (config)#ip dhcp snooping vlanX

L2- SW (config)#no ip dhcp relay information trusted

L2- SW (config)#int range fa/1 – 48

L2- SW (config-if)#no ip dhcp snooping trust

L2- SW (config-if)#spanning-tree portfast

L2- SW (config-if)#ip dhcp snooping limit rate 10 (pps)

L2- SW (config)#interface GigabitEthernet0/1

description : Connect to L3-SW

L2- SW (config-if )#switchport mode trunk

L2- SW (config-if )#ip dhcp snooping trust

配置DHCP监听完毕后，观察了几天，故障依旧。说明不存在DHCP耗竭攻击的情况。

二、针对第二种情况：

登陆三层交换机，显示冲突的IP地址

L3-SW # show ip dhcp conflict

没有发现冲突的IP地址。第二种情况排除了。

三、针对第三种情况：

通过以下命令将lease time 由一天改为8小时。

L3-SW #config terminal