解决无法获取IP地址的故障
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解决无法获取IP地址的故障
导语:
无线时代的到来,接入有线网络的无线设备越来越多。风靡网络的黑客行为更是让网络管理员风声鹤唳。网络设备的配置,只有根据网络使用者不断变化的情况,做相应的调整,才能保证网络的正常运行。本文介绍了一次有惊无险的单个Vlan无法获取IP 地址故障的处理过程。
网络现状:
三层交换机L3-SW开启DHCP服务,为各vlan提供IP地址分配服务。各接入交换机采用基于端口的vlan,通过Trunk口接入三层交换机L3-SW。拓扑结构如图 1
故障现象:
客户反映所在网络属于vlanX的客户端,近期经常出现无法通过DHCP服务获得IP地址的故障。虽然执行clear ip dhcp binding * 命令(客户使用的是思科设备)可以暂时缓解,但是过一段时间故障依旧。其他vlan的客户端可以正常获得IP地址。
故障分析:
由于仅仅是vlanX的客户端无法获得地址,基本排除DHCP服务的故障。排查重点放在出现问题的vlanX,可能有三种情况造成无法分配IP地址。
第一种情况:针对DHCP Server的拒绝服务攻击。
vlanX中某主机,对DHCP服务器实施DHCP耗竭攻击,使真实的用户获得不到地址。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过在vlanX启用DHCP 监听,交换机能够拦截第二层VLAN域内的所有非正常DHCP报文,从而杜绝DHCP 耗竭攻击。
第二种情况:IP 地址冲突太多。
DHCP服务器会将冲突的IP地址,从DHCP地址池移动到DHCP冲突地址表中,造成无IP地址可分配。如果是这种情况只要执行 clear ip dhcp conflict * 命令,就会将冲突的IP地址归还给地址池。
第三种情况:vlanX接入上网的客户端太多。
vlanX的DHCP地址池采用C类私有地址,并且其租约时间lease time 设置时间过长。造成已经离线的客户端IP没有及时释放,新接入的客户端就无法获得IP地址。
可以通过减小lease time时间,及时释放不再使用的IP地址。或者扩大地址池中的地址数,启用A类或者B类的私有地址,A类 10.0.0.0 --10.255.255.255,B类
172.16.0.0--172.31.255.255。
解决过程:
登陆三层交换机L3-SW:
L3-SW # show ip dhcp binding //显示多个vlan的IP地址分配情况
其中 vlanX 地址池IP几乎都被分配出去。别的vlan地址分配的比较少,印证了vlanx 有问题的判断。
L3-SW # show running-config //查看运行中的配置
发现vlanX的dhcp地址池为C类192.168.0.0/24,其lease time 和其他vlan一样均为一天。
一、针对第一种情况:
1、登陆三层交换机L3-SW,配置DHCP Snooping,启用DHCP监听功能。
L3-SW(config)#ip dhcp snooping
配置L3-SW监听vlanX的DHCP数据包
L3-SW (config)#ip dhcp snooping vlanX
检测非信任端口CHADDR字段与源MAC是否相同
L3-SW (config)#ip dhcp snooping verify mac-address
DHCP监听绑定表保存在Flash中
L3-SW (config)#ip dhcp snooping database flash:dhcp_snooping.db
DHCP监听绑定表更新后等待20秒再保存
L3-SW (config)#ip dhcp snooping database write-delay 20
DHCP监听绑定表保存失败后,只重新尝试20秒
L3-SW (config)#ip dhcp snooping database timeout 20
L3-SW (config)#interface GigabitEthernet0/1
description : Connect to L2-SW
L3-SW (config-if)# switchport mode trunk
L3-SW (config-if)# switchport trunk encapsulation dot1q
限制非信任端口每秒钟能接受的DHCP数据包为500个
L3-SW (config-if)#ip dhcp snooping limit rate 500
2、登陆接入层交换机L2- SW,将上联至L3-SW交换机的端口设置为信任端口,其他设置为非信任端口,并对DHCP请求包进行限速。
L2- SW (config)#ip dhcp snooping
L2- SW (config)#ip dhcp snooping vlanX
L2- SW (config)#no ip dhcp relay information trusted
L2- SW (config)#int range fa/1 – 48
L2- SW (config-if)#no ip dhcp snooping trust
L2- SW (config-if)#spanning-tree portfast
L2- SW (config-if)#ip dhcp snooping limit rate 10 (pps)
L2- SW (config)#interface GigabitEthernet0/1
description : Connect to L3-SW
L2- SW (config-if )#switchport mode trunk
L2- SW (config-if )#ip dhcp snooping trust
配置DHCP监听完毕后,观察了几天,故障依旧。说明不存在DHCP耗竭攻击的情况。
二、针对第二种情况:
登陆三层交换机,显示冲突的IP地址
L3-SW # show ip dhcp conflict
没有发现冲突的IP地址。第二种情况排除了。
三、针对第三种情况:
通过以下命令将lease time 由一天改为8小时。
L3-SW #config terminal