公司pc通过dhcp获取ip失败问题处理总结.docx

.Dhcp获取ip失败问题处理总结Dhcp获取ip失败问题处理总结11.现象12.组网13.排除过程24.后续处理过程74.1添加acl拦截过滤dhcp消息74.2查找dhcp的广播消息的来源并处理84.3各网段交换机开启dhcp snooping功能104.4核心交换机开启acl拦截测试汇聚交换机接口的dhcp消息124.5关闭个vlan1的dhcp功能145.故障分析166.过程中累计的知识点171. 现象：公司网络出现自动获取ip的pc无法获得ip，显示地址是169.254.xx.xx的地址；有的区域获取的地址不是规划中的ip地址，无法上网。2. 组网：19,20楼办公环境采用48口接入交换机，ip为192.168.2xx.xx,第三段如图中所示，206,207，208有级联的下级交换机，上联用10g光模块光联核心光交换机。测试环境下用路由方式和办公区域连接，同样采用光联。测试交换机下接多个接入交换机。各网段划分不同的vlan，在核心交换机上起dhcp服务，测试交换机中没有dhcp功能。上网采用ros路由器出局，核心光交换机用千兆网线和ros路由器对接，对接口属于vlan212。3. 排除过程：无法获取ip地址的pc上抓包，cmd下执行ipconfig/release,ipconfig/renew。一个区域显示discover后dhcp服务器没有响应。另一个区域情况：共性是正确的mac地址的dhcp服务器没有应答，区别是205区域有其他的dhcp server。查看dhcp的资源，show ip server pool stat，看有空闲的资源。查看show int brief，查看各接口的占用情况，发现1/1/1端口出入占用率都比较高。正常时候和故障时的比较图： 可以看到明显端口1/1/1的明显显偏高。查看cpu的占用率，如下图：一般cpu的占用了率在60%才无法处理包，所以还没有达到阈值。参考cpu里接收各种协议的数量：短短的一两秒间隔，发现有收到大量的dhcp消息，肯定不正常。要么环境中有大量的发dhcp请求的discover的，要么是有大量响应的offer之类的消息。比较丢弃的个数：下一次：丢弃了461包比较正常情况： 丢弃为0，确定是接收太多导致无法处理丢弃。Debug一下接收的包：把debug信息输出到telnet的终端上查看驱动接收的10包是什么？进入debug模式，debug-hide 0906debug driver receive count 10看到10包里有6包是212vlan接到消息。已知212vlan对应的1/1/1端口，镜像一下1/1/1端口的包看看。已经添加镜像组1，monitor端口是1/1/23,只需把1/1/1端口端口作为source-port。查找此mac地址据此判断是ros路由器大量的发送offer消息，导致dhcp资源耗尽，无法处理其他来的dhcp消息，导致discover没有应答，无法获得offer消息。规划中，ros路由器无dhcp功能，可能是其他同事配置此项功能，登录ros路由器，关闭dhcp的server功能后，查看发送报数正常。没有丢弃的包，此时检查dhcp的功能正常。4. 后续处理过程由于镜像后，急于恢复dhcp功能，没有抓端口1/1/1发出的包，所以无法确定是否是哪个网络转发的discover造成ros路由器不停的发offer消息。所以预防性处理问题。12344.1 添加acl拦截过滤dhcp消息端口1/1/1上出口拦截discover，request消息，入口拦截offer消息，ack消息。Dhcp的端口是67,68，所以用acl来实现。具体的指令为： access-list 2001 rule 2001 deny udp any 68 any 67 rule 2002 deny udp any 67 any 68int ten 1/1/1 filter ingress access-list 2001 statisticsfilter egress access-list 2001 statistics在2001中，拒绝任意源ip端口68发出的任意ip地址，端口为67的udp消息。在2002中，拒绝任意拒绝任意源ip端口67发出的任意ip地址，端口为68的udp消息。使用规则，注意选择入和出的方向，要看统计数据后面要加上stat的选项。在ingress方向，拦截测试环境发出discover消息，request消息等等。Egress方向，拦截发往测试环境的offer，ack消息。根据show ip dhcp server stat回车来查看dhcp消息的多少，发现还有大量的discover和offer增加的问题。4.2 查找dhcp的广播消息的来源并处理在各个vlan里抓包发现，vlan206中有大量的discover消息上报。为了方便查看mac地址，把添加一列source hw 这是接个无线wifi设备（也就是一个有无线wifi功能的nat路由器），进入检查发现，wan口设置为dhcp，重启后，发现依旧不停发discover消息，而正常的wifi路由器不发，确定这些wifi路由器损坏，关闭电源后，现象消失。 观察发现，206网段里存在dhcp服务器，回offer消息的现象。如图：发现205网段同样存在dhcp服务器情况，询问有的iad设备默认lan口开启了dhcp，接入网段后会引起问题。4.3 各网段交换机开启dhcp snooping功能为此，各网段交换机开启dhcp snooping功能，添加上联级联口为信任口，DHCP-snooping所起到的的作用就是只有指定端口才接受主机发送的dhcpdiscover广播包，并且只有指定的端口才可以发送DHCP的offer。而不向其他端口转发discover消息，避免环境中其他的dhcp服务器乱回offer消息造成dhcp失败。一般在接入交换机上，把级联口作为信任端口。其他端口不接受discover消息。步骤是：1) 开启全局dhcp snooping消息。2) 进入信任的端口，开启dhcp snooping。3) 此端口为信任端口只有级联口1/1/52端口是上级级联口，开启dhcp后discover才会接受和转发offer消息。 执行show ip dhcp server stat，发现discover和offer消息大量减少，但还有增加，排查发现是从测试环境对应交换机上来的。测试环境的交换机采用路由模式和办公区域互通，不能采用在同一vlan中抓包，镜像上联口后，过滤如下：规划中测试汇聚交换机没有dhcp功能，所以决定采用acl拦截其端口上的dhcp消息。4.4 核心交换机开启acl拦截测试汇聚交换机接口的dhcp消息注意：ingress指从端口进入设备，egress指从端口离开设备。 Acl规则号，不同的数字范围代表不同的拦截方法，同一种协议对应一张表，可以有3000中ruleid可以添加。添加过程：1) 首先添加一条access-list，注意对应acl的编号范围2) 进入对应aclid中添加规则，规则和1-3000，同一种协议对应一个acl号码，否则会冲突。3) 使用规则，注意选择入和出的方向，要看统计数据后面要加上stat的选项。图上的语句是拦截dhcp的协议discover消息和冒充dhcp服务器的offer消息。Acl运行后，show ip dhcp server stat中discover消息，offer消息不再猛增。 4.5 关闭个vlan1的dhcp功能 镜像交换机端口的包，还有发discover消息上来。如图：检查这些mac地址的所属区域，发现mac地址仅存在于级联口上，最后发现这些都是各交换机的mac地址。取消vlan1的dhcp client功能关闭vlan1的dhcp功能后，镜像各端口的包没有抓到vlan1发来的dhcp消息。这些措施执行后，查看dhcp的消息统计，discover，offer比较稳定，没有飙升的现象。见下图：5. 故障分析：因为处理故障时，没有镜像核心交换机和ros路由器之间的包，所以无法确定是各级交换机中那个设备发的dhcp的discover消息发到ros路由器，引起ros路由器不断发offer消息，导致核心交换机无法处理正常的dhcp消息引发的故障。自动获取ip的pc默认租期是一天，到达租期的一半时间时，客户机发出request消息进行续租，由于服务器没有应答消息，pc继续使用此pc，到达租期八分之七时间后，继续发起request消息，服务器依旧没有应答，当到达租期后，pc不能继续使用此ip，重新发起discover消息，此时服务器没有应答，导致pc无法获得ip地址，pc保护机制分配169.254.xx.xx的保留地址。Pc此时无法上网。 当环境中有非交换机的dhcp服务器存在时，正常情况，pc的重启和网线插拔以及租期一半时，均采用request广播消息进行续租，正确的服务器胡应答，并给出ack消息进行确认租期。当交换机的dhcp服务器不能应答消息时，pc在租期到达后，重新发起dicover消息申请ip，这时非交换机的dhcp服务器发出offer消息，此时没有正确dhcp服务器的offer到达，pc没有选择正确ip的机会，就对此错误的ip进行确认。导致获得ip，但同样无法上网。 交换机配置了dhcp的snooping消息后，添加级联口为信任端口，discover，request消息只转发给信任的级联口到核心交换机，环境中其他端口接的dhcp服务器无法获得discover消息，从而避免了offer消息的发出。同时交换机也只转发信任口的offer和ack消息到其他端口。6. 过程中累计的知识点：Dhcp过程失败，pc会自动使用169.254的ip地址。Dhcp客户端使用的两个定时器，二分之一租期和八分之七租期。Dhcp服务器用mac地址标识一个pc，对同一个mac的多次discover消息，会分配同一个ip地址。Dhcp过程中，客户端产生一个transactionid随机数来标识dhcp事件，服务器的应答消息，会使用这个id来标识整个过程。服务器的offer消息发出后，不是立即分配这个ip给pc，而是有一定的时间等待后续的消息，ack发出后，才确定正式分配