数通产品S7700下DHCP业务出现终端无法获取正确IP地址

发布时间:  2016-07-08 浏览次数:  140 下载次数:  0
问题描述

公司内部网络组网如下:


公司一部分电脑打不开网页,无法访问公司内部服务器,查看网络故障的电脑发现无法获取正确的IP地址。

告警信息
无。
处理过程

1display current-configuration查看核心交换机和接入交换机的详细配置,核心交换没有多余的vlanif 配置,核心交换机和接入交换的端口配置正确,接入交换机数据能正常的到达核心交换机,并没有出现丢包。

2、查看DHCP Clicent端发现部分电脑获取的ip地址是192.168.1.0/24的,但在DHCP Server是没有配置此子网段的地址池,可以确定网络中存在DHCP Server仿冒者攻击,导致终端用户获取错误的IP地址。

3、在所用的接入交换机上启用DHCP Snooping功能

 a.执行命令system-view进入系统视,执行命令dhcp snooping enable全局下启用dhcp snooping功能。

  b.进入交换机端口模式下启用dhcp snooping enable在接入交换机所有端口启用dhcp snooping功能。

c.进入交换机的上连端口执行dhcp snooping trusted配置上连接口为信任端口dhcp client端才能获取正确的IP地址。

4、在dhcp client重新获取IP地址,终端电脑已可以获得正确的IP地址,测试网络已能正常使用。

根因

网络中存在DHCP Server仿冒者攻击

解决方案

所有接入交换机启用dhcp snooping功能。

建议与总结
在内网中的各交换机设备上启用dhcp snooping技术,可有郊防止dhcp Server仿冒者攻击。

END