解决无法获取IP地址的故障
导语:
无线时代的到来,接入有线网络的无线设备越来越多。风靡网络的黑客行为更是让网络管理员风声鹤唳。网络设备的配置,只有根据网络使用者不断变化的情况,做相应的调整,才能保证网络的正常运行。本文介绍了一次有惊无险的单个Vlan无法获取IP地址故障的处理过程。
网络现状:
三层交换机L3-SW开启DHCP服务,为各vlan提供IP地址分配服务。各接入交换机采用基于端口的vlan,通过Trunk口接入 三层交换机L3-SW。拓扑结构如图 1
故障现象:
客户反映所在网络属于vlanX的客户端,近期经常出现无法通过DHCP服务获得IP地址的故障。虽然执行clear ip dhcp binding * 命令(客户使用的是思科设备)可以暂时缓解,但是过一段时间故障依旧。其他vlan的客户端可以正常获得IP地址。
故障分析:
由于仅仅是vlanX的客户端无法获得地址,基本排除DHCP服务的故障。排查重点放在出现问题的vlanX,可能有三种情况造成无法分配IP地址。 第一种情况:针对DHCP Server的拒绝服务攻击。
vlanX中某主机,对DHCP服务器实施DHCP耗竭攻击,使真实的用户获得不到地址。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过在vlanX启用DHCP监听,交换机能够拦截第二层VLAN域内的所有非正常DHCP报文,从而杜绝DHCP耗竭攻击。
第二种情况:IP 地址冲突太多。
DHCP服务器会将冲突的IP地址,从DHCP地址池移动到DHCP冲突地址表中,造成无IP地址可分配。如果是这种情况只要执行 clear ip dhcp conflict * 命令, 就会将冲突的IP地址归还给地址池。