分部所有网络切断 IPRan 以后改为独立上网,发现终端网络连接很慢,IP地址获取过程中从几分钟到十几分钟不等。猜测是DHCP出现的问题,下面回顾下我们的解决思路。
问题描述
组网描述:pc-s1700或s2700—s5700(DHCP由中继改为核心分配)
问题现象:终端用户获取地址比较慢,等很长时间。
可能导致的原因:
出现这种状况,我们最先罗列出造成这样情况的原因,然后一一排除。这里我们也给出出现以下情况的解决办法。
1.网络中存在其他DHCP服务器。
同网段内如果存在多个DHCP服务器,客户端会接收第一个回应报文的DHCP服务器的消息。
解决办法:在客户端的上行接入设备上配置DHCP Snooping功能,使客户端仅接收信任的DHCP服务器消息,避免从其他DHCP服务器获取IP地址。在设备上配置DHCP Snooping功能。详细配置方法参考《配置DHCP Snooping的攻击防范功能示例》
2.广播流量导致
检查客户端和DHCP服务器之间链路上是否配置了广播流量抑制。由于DHCP请求报文是广播的,如果网络中广播报文超过了之前配置的阈值,会造成DHCP请求报文被丢弃。
解决办法:根据业务实际情况调整广播流量抑制的阈值,以不影响业务的下限为好。
3.遭到恶意攻击
可在核心交换机执行命令 display cpu-defend statistics 查看DHCP服务器上送CPU报文的统计信息,如果出现大量DHCP报文被丢弃,且分析报文发现同一时间DHCP报文由同一个MAC地址发出,可以确定该MAC地址为DHCP泛洪攻击源。
解决办法:将此MAC地址列为黑名单,可在交换机配置CPU防攻击。
<HUAWEI> system-view
[HUAWEI] acl number 4000
[HUAWEI-acl-L2-4000] rule 10 permit l2-protocol 0x0806 0xffff source-mac 00e0-fc12-3456 ffff-ffff-ffff
[HUAWEI-acl-L2-4000] quit
[HUAWEI] cpu-defend policy 1
[HUAWEI-cpu-defend-policy-1] blacklist 1 acl 4000
[HUAWEI-cpu-defend-policy-1] quit
[HUAWEI] cpu-defend-policy 1 global4.核心交换机/DHCP服务器开启STP
如果 STP 功能缺省处于使能状态,DHCP服务器/核心如果使能了STP功能,可能会造成地址分配较慢。
解决办法:如果确认网络未出现环路状况,可以执行命令undo stp enable去使能STP功能。
建议与总结
以上解决方法不保证适用于每个网络,建议根据日志查看排查原因。