DHCP业务用户私接无线路由导致IP分配异常

发布时间:  2015-08-10 浏览次数:  454 下载次数:  0
问题描述

部分用户使用DHCP方式获取到IP地址,且与路由器接口地址不同,无法访问互联网。通过在交换机G0/0/2端口抓包发现从此端口收到DHCP OFFER以及DHCP ACK报文。

处理过程

1、检查AR2220路由器DHCP配置是否有误,使用display dhcp statistics 查看DHCP报文交互状态。

2、在获得异常IP的PC命令提示符中输入 arp -a 获取DHCP服务器的MAC地址,并在S5700交换机使用dislpay mac-address 找到相应端口。

3、使用抓包工具对端口进行抓包,发现从此端口收到DHCP OFFER以及DHCP ACK报文。

根因

用户私自将无线无路由器的LAN接入交换机,并开启DHCP,导致其他用户获取到错误的IP地址。

解决方案

在交换机上开启DHCP SNOONPING 功能,并将除上行端口之外的端口设置为DHCH snooping untrust端口,交换机将untrust端口收到的DHCP OFFER以及DHCP ACK报文丢弃。

建议与总结

对于使用DHCP的网络,建议大家在交换机中配置DHCP snooping功能,不但可以防止DHCP服务器仿冒,还能对DHCP泛洪攻击以及DHCP续租报文等攻击有效的阻止。

END