RG作为dhcp中继获取地址慢排查SOP
一、故障现象
18k交换机作为终端网关,dhcp有专门的dhcp服务器分配地址,终端获取ipv4地址很慢,需要几分钟才能获取到。
二、组网拓扑
拓扑描述: 终端PC连接到接入交换机的二层口g 0/1,接入的上联口agg 1为trunk口,连接到核心的下联口agg 5,核心agg 5口也为trunk口,核心通过g 3/10二层口连接到dhcp服务器。
三、可能原因
1、核心连接服务器接口未调整nfpp的dhcp保护阈值或者未关闭对应dhcp保护;
2、网络中存在环路导致dhcp报文转发异常;
3、核心交换机dhcp relay模块处理dhcp报文异常;
四、故障排查步骤
步骤一:排查交换机配置情况
1、检查核心交换机连接服务器接口配置
通过命令show run int g3/10 查看服务器上联口配置情况,查看是否关闭了nfpp dhcp保护或者阈值比较大
步骤二:排查环境层面的因素
1、排查网络环境中是否存在攻击
1.核心交换机上通过show nfpp log buffer查看是否存在dhcp攻击; 2.核心交换机上通过show cpu-protect su查看cpp里对应dhcps行是否有丢包;
2、排查网络环境中是否存在环路
检查网络环境是否存在环路,可参考环路排查手册
步骤三:排查产品层面的因素
1、查看核心网关dhcp报文的收发情况
核心交换机可通过命令show snooping log xxxx.xxxx.xxxx(终端mac地址) 查看对应终端dhcp报文的收发情况(该命令并非所有交换机支持),若不支持可通过dhcp报文计数查看
2、通过dhcp debug查看dhcp报文交互情况
debug syslog limit numbers 1000 time 5 debug ip dhcp filter mac xxxx.xxxx.xxxx(终端mac地址) //一定要敲上该命令,不然会刷屏
debug ip dhcp relay
3、终端侧安装wireshark抓包查看dhcp交互情况
五、故障信息收集
使用DHCP ACL计数或者抓包核查是否为交换机应答DHCP报文异常,是的话,按以下脚本收集信息
terminal length 0
terminal monitor
show clock
show version
show version slots
show version detail
show logging
show coredump files
show run
show cpu
show mem
sh memory history
show int st | in up
show ip dhcp pool
show ip dhcp server statistics
show cpu-protect //间隔3S,执行3次
show cpu-protect device x slot x //机框VSU场景收集,核查对应线卡CPP,间隔3S,执行3次
show mac-address-table | include H.H.H //间隔1s,执行10次
show ip dhcp snooping binding
show ip dhcp snooping binding | in H.H.H
show ip dhcp server agent mac H.H.H
show nfpp log summary
show nfpp dhcp-guard host
show ip dhcp relay-statistics
show ip dhcp conflict
show dhcp state
show interface counters rate
clear counters
show int counter summary //间隔3S,执行3次
debug syslog limit numbers 1000 time 5
debug ip dhcp filter mac H.H.H
debug ip dhcp relay
show logging
undebug all
terminal no length
terminal no monitor
六、总结与建议
ipv4获取地址慢的问题,需要注意以下几点: 1.网络环境中是否存在攻击环路等; 2.核心dhcp相关性能是否足够;
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/6242.html
文章版权归作者所有,未经允许请勿转载。
THE END
