当前位置:文档之家 › 公司pc通过dhcp获取ip失败问题处理总结

公司pc通过dhcp获取ip失败问题处理总结

  • 格式:docx
  • 大小:2.87 MB
  • 文档页数:19

下载文档原格式

  / 19
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Dhcp获取ip失败问题处理总结

Dhcp获取ip失败问题处理总结 (1)

1. 现象 (1)

2. 组网 (1)

3. 排除过程 (2)

4. 后续处理过程 (8)

4.1 添加acl拦截过滤dhcp消息 (8)

4.2 查找dhcp的广播消息的来源并处理 (9)

4.3 各网段交换机开启dhcp snooping功能 (11)

4.4 核心交换机开启acl拦截测试汇聚交换机接口的dhcp消息 (13)

4.5 关闭个vlan1的dhcp功能 (15)

5. 故障分析 (17)

6. 过程中累计的知识点 (19)

1.现象:

公司网络出现自动获取ip的pc无法获得ip,显示地址是169.254.xx.xx的地址;有的区域获取的地址不是规划中的ip地址,无法上网。

2.组网:

19,20楼办公环境采用48口接入交换机,ip为192.168.2xx.xx,第三段如图中所示,206,207,208有级联的下级交换机,上联用10g光模块光联核心光交换机。测试环境下用路由方式和办公区域连接,同样采用光联。测试交换机下接多个接入交换机。各网段划分不同的vlan,在核心交换机上起dhcp服务,测试交换机中没有dhcp功能。上网采用ros路由器出局,核心光交换机用千兆网线和ros路由器对接,对接口属于vlan212。

3.排除过程:

无法获取ip地址的pc上抓包,cmd下执行

ipconfig/release,ipconfig/renew。一个区域显示discover后dhcp 服务器没有响应。

另一个区域情况:

共性是正确的mac地址的dhcp服务器没有应答,区别是205区域有其他的dhcp server。

查看dhcp的资源,show ip server pool stat,看有空闲的资源。

查看show int brief,查看各接口的占用情况,发现1/1/1端口出入占用率都比较高。

正常时候和故障时的比较图:

可以看到明显端口1/1/1的明显显偏高。

查看cpu的占用率,如下图:

一般cpu的占用了率在60%才无法处理包,所以还没有达到阈值。参考cpu里接收各种协议的数量:

短短的一两秒间隔,发现有收到大量的dhcp消息,肯定不正常。要么环境中有大量的发dhcp请求的discover的,要么是有大量响应的offer之类的消息。

比较丢弃的个数:

下一次:

丢弃了461包

比较正常情况:

丢弃为0,确定是接收太多导致无法处理丢弃。

Debug一下接收的包:

把debug信息输出到telnet的终端上

查看驱动接收的10包是什么?

进入debug模式,debug-hide 0906

debug driver receive count 10

看到10包里有6包是212vlan接到消息。

已知212vlan对应的1/1/1端口,镜像一下1/1/1端口的包看看。已经添加镜像组1,monitor端口是1/1/23,只需把1/1/1端口端口作为source-port。

查找此mac地址

据此判断是ros路由器大量的发送offer消息,导致dhcp资源耗尽,无法处理其他来的dhcp消息,导致discover没有应答,无法获得offer消息。

规划中,ros路由器无dhcp功能,可能是其他同事配置此项功能,登录ros路由器,关闭dhcp的server功能后,查看发送报数正常。

没有丢弃的包,此时检查dhcp的功能正常。

4.后续处理过程

由于镜像后,急于恢复dhcp功能,没有抓端口1/1/1发出的包,所以无法确定是否是哪个网络转发的discover造成ros路由器不停的发offer消息。所以预防性处理问题。

4.1添加acl拦截过滤dhcp消息

端口1/1/1上出口拦截discover,request消息,入口拦截offer 消息,ack消息。Dhcp的端口是67,68,所以用acl来实现。

具体的指令为:

access-list 2001

rule 2001 deny udp any 68 any 67

rule 2002 deny udp any 67 any 68

int ten 1/1/1

filter ingress access-list 2001 statistics

filter egress access-list 2001 statistics

在2001中,拒绝任意源ip端口68发出的任意ip地址,端口为67的udp消息。

在2002中,拒绝任意拒绝任意源ip端口67发出的任意ip地址,端口为68的udp消息。

使用规则,注意选择入和出的方向,要看统计数据后面要加上stat的选项。在ingress方向,拦截测试环境发出discover消息,

request消息等等。Egress方向,拦截发往测试环境的offer,ack 消息。

根据show ip dhcp server stat回车来查看dhcp消息的多少,发现还有大量的discover和offer增加的问题。

4.2查找dhcp的广播消息的来源并处理

在各个vlan里抓包发现,vlan206中有大量的discover消息上报。

为了方便查看mac地址,把添加一列source hw

这是接个无线wifi设备(也就是一个有无线wifi功能的nat路由器),进入检查发现,wan口设置为dhcp,重启后,发现依旧不停发discover消息,而正常的wifi路由器不发,确定这些wifi路由器损坏,关闭电源后,现象消失。

观察发现,206网段里存在dhcp服务器,回offer消息的现象。如图:

相关主题