分部所有网络切断 IPRan 以后改为独立上网,发现终端网络连接很慢,IP地址获取过程中从几分钟到十几分钟不等。猜测是DHCP出现的问题,下面回顾下我们的解决思路。

问题描述

组网描述:pc-s1700或s2700—s5700(DHCP由中继改为核心分配)

问题现象:终端用户获取地址比较慢,等很长时间。

可能导致的原因:

出现这种状况,我们最先罗列出造成这样情况的原因,然后一一排除。这里我们也给出出现以下情况的解决办法。

1.网络中存在其他DHCP服务器。

同网段内如果存在多个DHCP服务器,客户端会接收第一个回应报文的DHCP服务器的消息。

解决办法:在客户端的上行接入设备上配置DHCP Snooping功能,使客户端仅接收信任的DHCP服务器消息,避免从其他DHCP服务器获取IP地址。在设备上配置DHCP Snooping功能。详细配置方法参考《配置DHCP Snooping的攻击防范功能示例

DHCP Snooping常见配置组网
DHCP Snooping常见配置组网

2.广播流量导致

检查客户端和DHCP服务器之间链路上是否配置了广播流量抑制。由于DHCP请求报文是广播的,如果网络中广播报文超过了之前配置的阈值,会造成DHCP请求报文被丢弃。

解决办法:根据业务实际情况调整广播流量抑制的阈值,以不影响业务的下限为好。

3.遭到恶意攻击

可在核心交换机执行命令 display cpu-defend statistics 查看DHCP服务器上送CPU报文的统计信息,如果出现大量DHCP报文被丢弃,且分析报文发现同一时间DHCP报文由同一个MAC地址发出,可以确定该MAC地址为DHCP泛洪攻击源。

解决办法:将此MAC地址列为黑名单,可在交换机配置CPU防攻击。

<HUAWEI> system-view
[HUAWEI] acl number 4000
[HUAWEI-acl-L2-4000] rule 10 permit l2-protocol 0x0806 0xffff source-mac 00e0-fc12-3456 ffff-ffff-ffff
[HUAWEI-acl-L2-4000] quit
[HUAWEI] cpu-defend policy 1
[HUAWEI-cpu-defend-policy-1] blacklist 1 acl 4000
[HUAWEI-cpu-defend-policy-1] quit
[HUAWEI] cpu-defend-policy 1 global

4.核心交换机/DHCP服务器开启STP

如果 STP 功能缺省处于使能状态,DHCP服务器/核心如果使能了STP功能,可能会造成地址分配较慢。

解决办法:如果确认网络未出现环路状况,可以执行命令undo stp enable去使能STP功能。

建议与总结

以上解决方法不保证适用于每个网络,建议根据日志查看排查原因。