MA5200G下挂交换机内未开起DHCP-SNOOPING导致用户出现IP地址冲突故障

发布时间:  2012-07-27 浏览次数:  99 下载次数:  0
问题描述
组网:MA5200G(pppoe) ----S3528---UA5000-ADSLMODEM-PC或MA5200G(pppoe) -S8505-UA5000-ADSLMODEM-PC
故障现象:MA5200G 上开启Vlan业务使用PPPOE上网RADIUS认证,S3528,S8505下的Vlan用户出现大面积IP地址冲突问题。
告警信息

处理过程
1、相同配置测试其他局点的交换机下用户上网,也没有出现IP地址冲突问题,排除MA5200G数据配置问题。
2、在交换机内其他VLAN 下进行测试未出现IP地址冲突现象,排除交换机VLAN配置不正确,划分不精细问题
3、PC机抓包,发现发出广播的dhcp discover报文后,收到相应多个DCHP SERVER 的offer报文,可以判断该网络中有多个设备开启了DHCP SERVER 功能,经询问此局大多数用户的桥接ADSL MODEM 都是下挂HUB或者交换机接入用户端PC大多数开启代理和DHCP功能.当代理主机还没有进行PPPOE拨号成功之前,DHCP报文上传至交换机导致业务VLAN内用户IP地址冲突问题。
4、查看UA5000设备配置,发现该设备400多个宽带用户都在一个VLAN 内,再查看交换机3500的配置,也没有开启dhcp-snooping功能.
5、在交换机配置中有一条dhcp-snooping enable,UA5000 下的PC机能够正常上网,也不出现IP地址冲突问题了。
6、启用dhcp-snooping后,交换机会认为所有的端口都不是dhcp-snooping trust端口,既dhcp受信端口,会将从所有端口收到的dhcp回应的单播包拒绝,所以下挂PC机无法从dhcp-server处得到IP地址,解决了IP地址冲突现象。
7、由于8505现有12XX版本不支持dhcp-snooping功能,要客户修改UA5000的配置,将每个用户一个VLAN,修改完UA5000配置后,PC用户端IP地址冲突问题也没有了。
根因
1、MA5200G数据配置问题。
2、二层交换机vlan配置不正确,vlan划分不精细,遭到恶意攻击。
3、桥接ADSL MODEM 下挂HUB或者SWITCH接入用户PC开启了代理和DHCP功能,当代理主机还没有进行PPPOE拨号成功之前,DHCP报文上传至交换机导致业务VLAN内用户IP地址冲突问题。
4、二层交换机未限制用户端PC的DHCP上传 报文,本问题属于
用户端桥接ADSL MODEM下挂HUB或交换机所接入用户端PC开启了DHCP SERVER 功能,DHCP报文上传到上层交换机未启用Dhcp-snooping 功能过滤掉了dhcp报文引起;UA5000下用户VLAN 划分不精细,一个VLAN内接入400多用户。
建议与总结
1、MA5200G 下挂交换机内用户ip地址冲突时,注意查看下挂交换机是否开启了dhcp-snooping功能,DSLAM宽带接入设备接入用户的VLAN 是否细分。
2、dhcp-snooping该功能是二层交换机中为了防止本网段内有非法DHCP服务器发DCHP包,如果将dhcp-snooping打开,交换机只会接收从开启了dhcp-snooping trust端口收到的DHCP包,如果在交换机开启dhcp-snooping功能,默认情况下是不接受任何DHCP报文的,有效抑制非法DHCP SERVER 发送的DHCP 包。
3、交换机dhcp-snooping功能缺省为关闭。

END