某公司办公网私设DHCP-Server导致网络中断

发布时间:  2016-12-21 浏览次数:  354 下载次数:  0
问题描述

现象描述:

办公区的234楼的办公网均无法使用。

组网结构:

   

处理过程
1、登录AR2200,查看设备正常,同时PING CMNET侧地址,正常。

<SCCD-GXXQ-HW28_31>ping -a 111.9.52.42 111.9.52.41

  PING 111.9.52.41: 56  data bytes, press CTRL_C to break

    Reply from 111.9.52.41: bytes=56 Sequence=1 ttl=254 time=2 ms

    Reply from 111.9.52.41: bytes=56 Sequence=2 ttl=254 time=1 ms

    Reply from 111.9.52.41: bytes=56 Sequence=3 ttl=254 time=2 ms

    Reply from 111.9.52.41: bytes=56 Sequence=4 ttl=254 time=2 ms

Reply from 111.9.52.41: bytes=56 Sequence=5 ttl=254 time=2 ms

通过这一步,排除了AR2200上行故障。

2、排除设备转发故障及NAT故障:

<SCCD-GXXQ-HW28_31>display nat session

There are currently 777 NAT sessions:

Protocol      GlobalAddr  Port      InsideAddr  Port        DestAddr  Port

      17     111.9.52.42 13083   192.168.1.120 64800  211.137.96.205    53

VPN:  0,        status: 20010,        TTL: 00:01:00,       Left: 00:00:55

      17     111.9.52.42 14190   192.168.1.120 58825  211.137.96.205    53

VPN:  0,        status: 20010,        TTL: 00:01:00,       Left: 00:00:13

       6     111.9.52.42 13904   192.168.1.120 49812  111.161.52.148    80

VPN:  0,        status: 20011,        TTL: 24:00:00,       Left: 23:42:31

       6     111.9.52.42 13232   192.168.1.120 49813  111.161.52.148   443

VPN:  0,        status: 20011,        TTL: 24:00:00,       Left: 23:42:31

       6     111.9.52.42 14226   192.168.1.120 49828   112.90.84.112    80

VPN:  0,        status: 20011,        TTL: 24:00:00,       Left: 23:43:21

       6     111.9.52.42 14280   192.168.1.120 49829   112.90.84.112   443

VPN:  0,        status: 20011,        TTL: 24:00:00,       Left: 23:43:12

查看设备的NAT会话,发现AR2200上存在正常的NAT会话,初步判断AR2200下挂业务不是全阻,而是部分中断。

3、进一步去终端处排查问题:客户进一步核实后,确实有部分PC业务正常。于是到故障终端处排查问题。

在终端处使用PING测试,能够正常PING通网关192.168.1.1,却无法访问公网。然后使用ARP –A 命令查看故障终端的ARP表:

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.101 --- 0x3

  Internet Address      Physical Address      Type

  192.168.1.1         5e-ac-4c-17-5a-a3     dynamic

在业务正常的PC上做同样操作,能够PING通网关192.168.1.1,。然后使用ARP –A命令查看正常PC的ARP表:

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.44 --- 0x3

  Internet Address      Physical Address      Type

  192.168.1.1         3c-e5-a6-54-99-b2     dynamic

经过故障PC和正常PC的ARP表项对比,发现他们的网关的MAC地址不同。至此,可以判断是故障终端获取到了非法DHCP-SERVER分配的IP地址,导致业务异常。

4、发现客户在办公网下面为了网络扩展和使用WIFI,使用了家庭宽带路由器等设备接入LAN口,当交换机使用。建议他们清理掉私接的家庭宽带路由器后,业务恢复正常。
根因

家庭宽带路由器都默认开启DHCP功能,同时网关默认基本都为192.168.0.1192.168.1.1这些局域网中的常用网段,而由于接入侧交换机未开启DHCP snooping功能,所以导致冲突。

解决方案
针对于S5700等接入侧交换机,如配置了DHCP server地址自动分配地址,建议采用如下方案:

例:

1、设置三层接口Ethernet1/0/0接口状态为“信任”。

<HUAWEI> system-view

[HUAWEI] interface ethernet 1/0/0

[HUAWEI-Ethernet1/0/0] dhcp snooping trusted

对于“不信任(Untrusted)”接口上收到的DHCP Reply(Offer、ACK、NAK)报文直接丢弃,不转发,这样可以隔离DHCP Server仿冒者攻击。

接口信息是可选项,如果没有配置接口为Trusted状态,而是配置VLAN为Trusted状态,那么来自于该VLAN的报文都被正常转发。

关闭DHCP Snooping功能开关时,缺省情况下,接口或VLAN、VLAN+端口为“信任”状态;

打开DHCP Snooping功能开关时,缺省情况下,接口或VLAN、VLAN+端口为“不信任”状态。

2、告知客户如需使用家庭式路由器当交换机使用接入LAN口,请先关闭DHCP地址自动分配
建议与总结
总结:现在的家庭宽带路由器都默认开启DHCP功能,同时网关默认基本都为192.168.0.1或192.168.1.1这些局域网中的常用网段。如果要把这些设备当做HUB使用在自动获取IP地址的局域网时,需要关闭DHCP功能。不然会导致局域网内出现多个DHCP-SERVER的情况,导致部分终端分配不到正确的IP地址而导致业务异常。

建议:

1,在自动获取IP地址的局域网中,一定要避免私接DHCP-server的情况出现,如果一定要使用比如家庭宽带路由器的情况,请务必关闭DHCP-server功能。

2,如果接入交换机支持端口隔离功能或者DHCP snooping功能,可以根据实际情况使用这两个功能,建议使用DHCP snooping功能(端口隔离会导致局域网内PC间的互访受阻)。

END