某公司办公网私设DHCP-Server导致网络中断,王海军老师告诉你

1,问题描述

现象描述:

办公区的2、3、4楼的办公网均无法使用。

组网结构:

2,处理过程

1、登录AR2200,查看设备正常,同时PING CMNET侧地址,正常。

ping -a 111.9.52.42 111.9.52.41

PING 111.9.52.41: 56 data bytes, press CTRL_C to break

Reply from 111.9.52.41: bytes=56 Sequence=1 ttl=254 time=2 ms

Reply from 111.9.52.41: bytes=56 Sequence=2 ttl=254 time=1 ms

Reply from 111.9.52.41: bytes=56 Sequence=3 ttl=254 time=2 ms

Reply from 111.9.52.41: bytes=56 Sequence=4 ttl=254 time=2 ms

Reply from 111.9.52.41: bytes=56 Sequence=5 ttl=254 time=2 ms

通过这一步,排除了AR2200上行故障。

2、排除设备转发故障及NAT故障:

display nat session

There are currently 777 NAT sessions:

Protocol GlobalAddr Port InsideAddr Port DestAddr Port

17 111.9.52.42 13083 192.168.1.120 64800 211.137.96.205 53

VPN: 0, status: 20010, TTL: 00:01:00, Left: 00:00:55

17 111.9.52.42 14190 192.168.1.120 58825 211.137.96.205 53

VPN: 0, status: 20010, TTL: 00:01:00, Left: 00:00:13

6 111.9.52.42 13904 192.168.1.120 49812 111.161.52.148 80

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:42:31

6 111.9.52.42 13232 192.168.1.120 49813 111.161.52.148 443

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:42:31

6 111.9.52.42 14226 192.168.1.120 49828 112.90.84.112 80

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:43:21

6 111.9.52.42 14280 192.168.1.120 49829 112.90.84.112 443

VPN: 0, status: 20011, TTL: 24:00:00, Left: 23:43:12

查看设备的NAT会话,发现AR2200上存在正常的NAT会话,初步判断AR2200下挂业务不是全阻,而是部分中断。

3、进一步去终端处排查问题:客户进一步核实后,确实有部分PC业务正常。于是到故障终端处排查问题。

在终端处使用PING测试,能够正常PING通网关192.168.1.1,却无法访问公网。然后使用ARP –A 命令查看故障终端的ARP表:

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.101 --- 0x3

Internet Address Physical Address Type

192.168.1.1 5e-ac-4c-17-5a-a3 dynamic

在业务正常的PC上做同样操作,能够PING通网关192.168.1.1,。然后使用ARP –A命令查看正常PC的ARP表:

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.44 --- 0x3

Internet Address Physical Address Type

192.168.1.1 3c-e5-a6-54-99-b2 dynamic

经过故障PC和正常PC的ARP表项对比,发现他们的网关的MAC地址不同。至此,可以判断是故障终端获取到了非法DHCP-SERVER分配的IP地址,导致业务异常。

4、发现客户在办公网下面为了网络扩展和使用WIFI,使用了家庭宽带路由器等设备接入LAN口,当交换机使用。建议他们清理掉私接的家庭宽带路由器后,业务恢复正常。

3,根因

家庭宽带路由器都默认开启DHCP功能,同时网关默认基本都为192.168.0.1或192.168.1.1这些局域网中的常用网段,而由于接入侧交换机未开启DHCP snooping功能,所以导致冲突。

4,解决方案

针对于S5700等接入侧交换机,如配置了DHCP server地址自动分配地址,建议采用如下方案:

例:

1、设置三层接口Ethernet1/0/0接口状态为“信任”。

system-view

[HUAWEI] interface ethernet 1/0/0

[HUAWEI-Ethernet1/0/0] dhcp snooping trusted

对于“不信任(Untrusted)”接口上收到的DHCP Reply(Offer、ACK、NAK)报文直接丢弃,不转发,这样可以隔离DHCP Server仿冒者攻击。

接口信息是可选项,如果没有配置接口为Trusted状态,而是配置VLAN为Trusted状态,那么来自于该VLAN的报文都被正常转发。

关闭DHCP Snooping功能开关时,缺省情况下,接口或VLAN、VLAN+端口为“信任”状态;

打开DHCP Snooping功能开关时,缺省情况下,接口或VLAN、VLAN+端口为“不信任”状态。

2、告知客户如需使用家庭式路由器当交换机使用接入LAN口,请先关闭DHCP地址自动分配

5,建议与总结

总结:现在的家庭宽带路由器都默认开启DHCP功能,同时网关默认基本都为192.168.0.1或192.168.1.1这些局域网中的常用网段。如果要把这些设备当做HUB使用在自动获取IP地址的局域网时,需要关闭DHCP功能。不然会导致局域网内出现多个DHCP-SERVER的情况,导致部分终端分配不到正确的IP地址而导致业务异常。

建议:

1,在自动获取IP地址的局域网中,一定要避免私接DHCP-server的情况出现,如果一定要使用比如家庭宽带路由器的情况,请务必关闭DHCP-server功能。

2,如果接入交换机支持端口隔离功能或者DHCP snooping功能,可以根据实际情况使用这两个功能,建议使用DHCP snooping功能(端口隔离会导致局域网内PC间的互访受阻)。

发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

推荐文章

'); })();