RG-N18010下联终端无法获取地址
一、故障现象
全校大量终端无法通过N18010中继获取IP地址,导致该部分用户无法正常上网。 网络拓扑如下:
二、故障型号及版本
设备型号:N18010
软件版本:11.0(4)B57, Release(07212600)
三、排查思路
-
确认N18010上给终端使用的DHCP服务是server还是relay模式;
-
确认是relay模式后,在N18010连接DHCP服务器的接口抓包确认DHCP报文交互过程。
四、故障原因
经过现场分析定位,大量终端用户无法获取到IP地址的原因是:DHCP服务器软件版本问题,无发发送ACK报文。
故障详细分析如下:
-
在S12010上连接DHCP服务器接口抓包分析,未抓到DHCP服务器发送的ACK报文,判断故障由于DHCP服务器异常,导致DHCP过程失败,终端无法获取IP地址;
(S12010上联口没有抓到DHCP服务器发出的DHCP ACK报文)
-
经过DHCP服务器工程师分析后,升级版本后DHCP服务器可以正常回应ACK报文。
(S12010上联口有抓到DHCP服务器发出的DHCP ACK报文)
其他风险分析:
在故障排查过程中发现S12010和N18010的NFPP参数阈值存在不合理,具体分析如下:
设备上NFPP参数过小,需要进行阈值调整
(数值5代表每秒每mac接收5个DHCP报文,超过的DHCP报文被丢弃,数值150代表每端口接收150个DHCP报文,超过的DHCP报文被丢弃)
(数值5代表每秒每mac接收5个DHCP报文,超过的DHCP报文被丢弃)
五、解决方案
针对DHCP服务器软件版本问题,现场已经通过升级软件解决
优化方案:
核心交换机N18010和S12010的NFPP安全参数不合理,现场已通过以下命令进行调整:
N18010针对NFPP优化命令:
nfpp dhcp-guard enable //开启dhcp-guard功能,监控DHCP报文转发情况
dhcp-guard attack-threshold per-src-mac 5000//设置设备每秒每mac接收DHCP报文的数量阈值是5000,超过5000,则认为是攻击。
dhcp-guard rate-limit per-src-mac 4000//设置设备每秒每mac接收DHCP报文的数量阈值是4000,超过4000的DHCP报文被丢弃
S12010针对NFPP优化命令:
nfpp dhcp-guard enable //
开启dhcp-guard功能,监控DHCP报文转发情况
dhcp-guard attack-threshold per-src-mac 5000//设置设备每秒每mac接收DHCP报文的数量阈值是5000,超过5000,则认为是攻击。
dhcp-guard rate-limit per-src-mac 4000//设置设备每秒每mac接收DHCP报文的数量阈值是4000,超过4000的DHCP报文被丢弃
dhcp-guard attack-threshold per-port 5000//设置设备每端口接收DHCP报文的数量阈值是5000,超过5000,则认为是攻击。
dhcp-guard rate-limit per-port 4000//设置设备每端口接收DHCP报文的数量阈值是4000,超过4000的DHCP报文被丢弃
六、故障总结
-
需要熟练掌握DHCP报文交互过程,通过抓包来进一步判断报文交互异常的阶段。
-
在DHCP中继的场景下,N18010和DHCP服务器交互的都是单播DHCP报文,报文源mac地址N18010 系统mac地址,由于设备默认开启NFPP dhcp-guard功能限制,端口每秒只接收5个相同源mac地址的DHCP报文的,其余报文丢弃处理。当大量终端通过中继方式获取地址条件下,触发设备NFPP报文机制,大量DHCP报文被丢弃导致终端无法获取地址。
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/6200.html
文章版权归作者所有,未经允许请勿转载。
THE END
