1，问题描述

现象描述：

办公区的2、3、4楼的办公网均无法使用。

组网结构：

2，处理过程

1、登录AR2200,查看设备正常，同时PING CMNET侧地址，正常。

ping -a 111.9.52.42 111.9.52.41

PING 111.9.52.41: 56 data bytes, press CTRL_C to break

Reply from 111.9.52.41: bytes=56 Sequence=1 ttl=254 time=2 ms

Reply from 111.9.52.41: bytes=56 Sequence=2 ttl=254 time=1 ms

Reply from 111.9.52.41: bytes=56 Sequence=3 ttl=254 time=2 ms

Reply from 111.9.52.41: bytes=56 Sequence=4 ttl=254 time=2 ms

Reply from 111.9.52.41: bytes=56 Sequence=5 ttl=254 time=2 ms

通过这一步，排除了AR2200上行故障。

2、排除设备转发故障及NAT故障：

display nat session

There are currently 777 NAT sessions:

Protocol GlobalAddr Port InsideAddr Port DestAddr Port

17 111.9.52.42 13083 192.168.1.120 64800 211.137.96.205 53

VPN: 0, status: 20010, TTL: 00:01:00, Left: 00:00:55

17 111.9.52.42 14190 192.168.1.120 58825 211.137.96.205 53

VPN: 0, status: 20010, TTL: 00:01:00, Left: 00:00:13

6 111.9.52.42 13904 192.168.1.120 49812 111.161.52.148 80

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:42:31

6 111.9.52.42 13232 192.168.1.120 49813 111.161.52.148 443

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:42:31

6 111.9.52.42 14226 192.168.1.120 49828 112.90.84.112 80

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:43:21

6 111.9.52.42 14280 192.168.1.120 49829 112.90.84.112 443

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:43:12

查看设备的NAT会话，发现AR2200上存在正常的NAT会话，初步判断AR2200下挂业务不是全阻，而是部分中断。

3、进一步去终端处排查问题：客户进一步核实后，确实有部分PC业务正常。于是到故障终端处排查问题。

在终端处使用PING测试，能够正常PING通网关192.168.1.1，却无法访问公网。然后使用ARP –A 命令查看故障终端的ARP表：

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.101 --- 0x3

Internet Address Physical Address Type

192.168.1.1 5e-ac-4c-17-5a-a3 dynamic

在业务正常的PC上做同样操作，能够PING通网关192.168.1.1,。然后使用ARP –A命令查看正常PC的ARP表：

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.44 --- 0x3

Internet Address Physical Address Type

192.168.1.1 3c-e5-a6-54-99-b2 dynamic

经过故障PC和正常PC的ARP表项对比，发现他们的网关的MAC地址不同。至此，可以判断是故障终端获取到了非法DHCP-SERVER分配的IP地址，导致业务异常。

4、发现客户在办公网下面为了网络扩展和使用WIFI，使用了家庭宽带路由器等设备接入LAN口，当交换机使用。建议他们清理掉私接的家庭宽带路由器后，业务恢复正常。

3，根因

家庭宽带路由器都默认开启DHCP功能，同时网关默认基本都为192.168.0.1或192.168.1.1这些局域网中的常用网段，而由于接入侧交换机未开启DHCP snooping功能，所以导致冲突。

4，解决方案

针对于S5700等接入侧交换机，如配置了DHCP server地址自动分配地址，建议采用如下方案：

例：

1、设置三层接口Ethernet1/0/0接口状态为“信任”。

system-view

[HUAWEI] interface ethernet 1/0/0

[HUAWEI-Ethernet1/0/0] dhcp snooping trusted

对于“不信任(Untrusted)”接口上收到的DHCP Reply(Offer、ACK、NAK)报文直接丢弃，不转发，这样可以隔离DHCP Server仿冒者攻击。

接口信息是可选项，如果没有配置接口为Trusted状态，而是配置VLAN为Trusted状态，那么来自于该VLAN的报文都被正常转发。

关闭DHCP Snooping功能开关时，缺省情况下，接口或VLAN、VLAN+端口为“信任”状态；

打开DHCP Snooping功能开关时，缺省情况下，接口或VLAN、VLAN+端口为“不信任”状态。

2、告知客户如需使用家庭式路由器当交换机使用接入LAN口，请先关闭DHCP地址自动分配

5，建议与总结

总结：现在的家庭宽带路由器都默认开启DHCP功能，同时网关默认基本都为192.168.0.1或192.168.1.1这些局域网中的常用网段。如果要把这些设备当做HUB使用在自动获取IP地址的局域网时，需要关闭DHCP功能。不然会导致局域网内出现多个DHCP-SERVER的情况，导致部分终端分配不到正确的IP地址而导致业务异常。

建议：

1，在自动获取IP地址的局域网中，一定要避免私接DHCP-server的情况出现，如果一定要使用比如家庭宽带路由器的情况，请务必关闭DHCP-server功能。

2，如果接入交换机支持端口隔离功能或者DHCP snooping功能，可以根据实际情况使用这两个功能，建议使用DHCP snooping功能（端口隔离会导致局域网内PC间的互访受阻）。