1,问题描述
现象描述:
办公区的2、3、4楼的办公网均无法使用。
组网结构:
2,处理过程
1、登录AR2200,查看设备正常,同时PING CMNET侧地址,正常。
ping -a 111.9.52.42 111.9.52.41
PING 111.9.52.41: 56 data bytes, press CTRL_C to break
Reply from 111.9.52.41: bytes=56 Sequence=1 ttl=254 time=2 ms
Reply from 111.9.52.41: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 111.9.52.41: bytes=56 Sequence=3 ttl=254 time=2 ms
Reply from 111.9.52.41: bytes=56 Sequence=4 ttl=254 time=2 ms
Reply from 111.9.52.41: bytes=56 Sequence=5 ttl=254 time=2 ms
通过这一步,排除了AR2200上行故障。
2、排除设备转发故障及NAT故障:
display nat session
There are currently 777 NAT sessions:
Protocol GlobalAddr Port InsideAddr Port DestAddr Port
17 111.9.52.42 13083 192.168.1.120 64800 211.137.96.205 53
VPN: 0, status: 20010, TTL: 00:01:00, Left: 00:00:55
17 111.9.52.42 14190 192.168.1.120 58825 211.137.96.205 53
VPN: 0, status: 20010, TTL: 00:01:00, Left: 00:00:13
6 111.9.52.42 13904 192.168.1.120 49812 111.161.52.148 80
VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:42:31
6 111.9.52.42 13232 192.168.1.120 49813 111.161.52.148 443
VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:42:31
6 111.9.52.42 14226 192.168.1.120 49828 112.90.84.112 80
VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:43:21
6 111.9.52.42 14280 192.168.1.120 49829 112.90.84.112 443
VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:43:12
查看设备的NAT会话,发现AR2200上存在正常的NAT会话,初步判断AR2200下挂业务不是全阻,而是部分中断。
3、进一步去终端处排查问题:客户进一步核实后,确实有部分PC业务正常。于是到故障终端处排查问题。
在终端处使用PING测试,能够正常PING通网关192.168.1.1,却无法访问公网。然后使用ARP –A 命令查看故障终端的ARP表:
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.1.101 --- 0x3
Internet Address Physical Address Type
192.168.1.1 5e-ac-4c-17-5a-a3 dynamic
在业务正常的PC上做同样操作,能够PING通网关192.168.1.1,。然后使用ARP –A命令查看正常PC的ARP表:
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.1.44 --- 0x3
Internet Address Physical Address Type
192.168.1.1 3c-e5-a6-54-99-b2 dynamic
经过故障PC和正常PC的ARP表项对比,发现他们的网关的MAC地址不同。至此,可以判断是故障终端获取到了非法DHCP-SERVER分配的IP地址,导致业务异常。
4、发现客户在办公网下面为了网络扩展和使用WIFI,使用了家庭宽带路由器等设备接入LAN口,当交换机使用。建议他们清理掉私接的家庭宽带路由器后,业务恢复正常。
3,根因
家庭宽带路由器都默认开启DHCP功能,同时网关默认基本都为192.168.0.1或192.168.1.1这些局域网中的常用网段,而由于接入侧交换机未开启DHCP snooping功能,所以导致冲突。
4,解决方案
针对于S5700等接入侧交换机,如配置了DHCP server地址自动分配地址,建议采用如下方案:
例:
1、设置三层接口Ethernet1/0/0接口状态为“信任”。
system-view
[HUAWEI] interface ethernet 1/0/0
[HUAWEI-Ethernet1/0/0] dhcp snooping trusted
对于“不信任(Untrusted)”接口上收到的DHCP Reply(Offer、ACK、NAK)报文直接丢弃,不转发,这样可以隔离DHCP Server仿冒者攻击。
接口信息是可选项,如果没有配置接口为Trusted状态,而是配置VLAN为Trusted状态,那么来自于该VLAN的报文都被正常转发。
关闭DHCP Snooping功能开关时,缺省情况下,接口或VLAN、VLAN+端口为“信任”状态;
打开DHCP Snooping功能开关时,缺省情况下,接口或VLAN、VLAN+端口为“不信任”状态。
2、告知客户如需使用家庭式路由器当交换机使用接入LAN口,请先关闭DHCP地址自动分配
5,建议与总结
总结:现在的家庭宽带路由器都默认开启DHCP功能,同时网关默认基本都为192.168.0.1或192.168.1.1这些局域网中的常用网段。如果要把这些设备当做HUB使用在自动获取IP地址的局域网时,需要关闭DHCP功能。不然会导致局域网内出现多个DHCP-SERVER的情况,导致部分终端分配不到正确的IP地址而导致业务异常。
建议:
1,在自动获取IP地址的局域网中,一定要避免私接DHCP-server的情况出现,如果一定要使用比如家庭宽带路由器的情况,请务必关闭DHCP-server功能。
2,如果接入交换机支持端口隔离功能或者DHCP snooping功能,可以根据实际情况使用这两个功能,建议使用DHCP snooping功能(端口隔离会导致局域网内PC间的互访受阻)。
留言与评论(共有 0 条评论) |