公司pc通过dhcp获取ip失败问题处理总结

1 Dhcp 获取获取 ip 失败问题处理总结失败问题处理总结 Dhcp 获取 ip 失败问题处理总结 1 1 现象 1 2 组网 1 3 排除过程 2 4 后续处理过程 7 4 1添加 acl 拦截过滤 dhcp 消息 7 4 2查找 dhcp 的广播消息的来源并处理 8 4 3各网段交换机开启 dhcp snooping 功能 10 4 4核心交换机开启 acl 拦截测试汇聚交换机接口的 dhcp 消息 12 4 5关闭个 vlan1 的 dhcp 功能 14 5 故障分析 16 6 过程中累计的知识点 17 1 现象现象 公司网络出现自动获取 ip 的 pc 无法获得 ip 显示地址是 169 254 xx xx 的地址 有的区域获取的地址不是规划中的 ip 地址 无法上网 2 组网组网 19 20 楼办公环境采用 48 口接入交换机 ip 为 192 168 2xx xx 2 第三段如图中所示 206 207 208 有级联的下级交换机 上联用 10g 光模块光联核心光交换机 测试环境下用路由方式和办公区域 连接 同样采用光联 测试交换机下接多个接入交换机 各网段划 分不同的 vlan 在核心交换机上起 dhcp 服务 测试交换机中没有 dhcp 功能 上网采用 ros 路由器出局 核心光交换机用千兆网线和 ros 路由器对接 对接口属于 vlan212 3 排除过程排除过程 无法获取 ip 地址的 pc 上抓包 cmd 下执行 ipconfig release ipconfig renew 一个区域显示 discover 后 dhcp 服务 器没有响应 另一个区域情况 另一个区域情况 3 共性是正确的 mac 地址的 dhcp 服务器没有应答 区别是 205 区域有其他的 dhcp server 查看 dhcp 的资源 show ip server pool stat 看有空闲的资源 查看 show int brief 查看各接口的占用情况 发现 1 1 1 端口出入占 用率都比较高 正常时候和故障时的比较图 可以看到明显端口 1 1 1 的明显显偏高 查看查看 cpu 的占用率 如下图 的占用率 如下图 4 一般 cpu 的占用了率在 60 才无法处理包 所以还没有达到阈值 参考参考 cpu 里接收各种协议的数量 里接收各种协议的数量 短短的一两秒间隔 发现有收到大量的 dhcp 消息 肯定不正常 要么环境中有大量的发 dhcp 请求的 discover 的 要么是有大量响应 的 offer 之类的消息 比较丢弃的个数 比较丢弃的个数 下一次 下一次 丢弃了丢弃了 461 包包 5 比较正常情况 比较正常情况 丢弃为 0 确定是接收太多导致无法处理丢弃 Debug 一下接收的包 一下接收的包 把把 debug 信息输出到信息输出到 telnet 的终端上的终端上 查看驱动接收的查看驱动接收的 10 包是什么 包是什么 进入 debug 模式 debug hide 0906 debug driver receive count 10 看到看到 10 包里有包里有 6 包是包是 212vlan 接到消息 接到消息 已知 212vlan 对应的 1 1 1 端口 镜像一下 1 1 1 端口的包看看 已 经添加镜像组 1 monitor 端口是 1 1 23 只需把 1 1 1 端口端口作为 source port 6 查找此查找此 mac 地址地址 据此判断是 ros 路由器大量的发送 offer 消息 导致 dhcp 资源 耗尽 无法处理其他来的 dhcp 消息 导致 discover 没有应答 无法 获得 offer 消息 规划中 ros 路由器无 dhcp 功能 可能是其他同事配置此项功 能 登录 ros 路由器 关闭 dhcp 的 server 功能后 查看发送报数正 常 7 没有丢弃的包 此时检查 dhcp 的功能正常 4 后续处理过程后续处理过程 由于镜像后 急于恢复 dhcp 功能 没有抓端口 1 1 1 发出的包 所以无法确定是否是哪个网络转发的 discover 造成 ros 路由器不停的 发 offer 消息 所以预防性处理问题 添加添加 acl 拦截过滤拦截过滤 dhcp 消息消息 端口 1 1 1 上出口拦截 discover request 消息 入口拦截 offer 消息 ack 消息 Dhcp 的端口是 67 68 所以用 acl 来实现 具体的指令为 access list 2001 rule 2001 deny udp any 68 any 67 rule 2002 deny udp any 67 any 68 int ten 1 1 1 filter ingress access list 2001 statistics 8 filter egress access list 2001 statistics 在 2001 中 拒绝任意源 ip 端口 68 发出的任意 ip 地址 端口为 67 的 udp 消息 在 2002 中 拒绝任意拒绝任意源 ip 端口 67 发出的任意 ip 地址 端口为 68 的 udp 消息 使用规则 注意选择入和出的方向 要看统计数据后面要加上 stat 的选项 在 ingress 方向 拦截测试环境发出 discover 消息 request 消息等等 Egress 方向 拦截发往测试环境的 offer ack 消 息 根据 show ip dhcp server stat 回车来查看 dhcp 消息的多少 发 现还有大量的 discover 和 offer 增加的问题 4 2 查找查找 dhcp 的广播消息的来源并处理的广播消息的来源并处理 在各个 vlan 里抓包发现 vlan206 中有大量的 discover 消息上报 为了方便查看 mac 地址 把添加一列 source hw 9 这是接个无线 wifi 设备 也就是一个有无线 wifi 功能的 nat 路 由器 进入检查发现 wan 口设置为 dhcp 重启后 发现依旧不 停发 discover 消息 而正常的 wifi 路由器不发 确定这些 wifi 路由 器损坏 关闭电源后 现象消失 观察发现 206 网段里存在 dhcp 服务器 回 offer 消息的现象 如图 10 发现 205 网段同样存在 dhcp 服务器情况 询问有的 iad 设备默 认 lan 口开启了 dhcp 接入网段后会引起问题 4 3 各网段交换机开启各网段交换机开启 dhcp snooping 功能功能 为此 各网段交换机开启 dhcp snooping 功能 添加上联级联 口为信任口 DHCP snooping 所起到的的作用就是只有指定端口才 接受主机发送的 dhcpdiscover 广播包 并且只有指定的端口才可以 发送 DHCP 的 offer 而不向其他端口转发 discover 消息 避免环境 中其他的 dhcp 服务器乱回 offer 消息造成 dhcp 失败 一般在接入交换机上 把级联口作为信任端口 其他端口不 接受 discover 消息 步骤是 1 开启全局 dhcp snooping 消息 2 进入信任的端口 开启 dhcp snooping 3 此端口为信任端口 11 只有级联口 1 1 52 端口是上级级联口 开启 dhcp 后 discover 才会接受和转发 offer 消息 执行 show ip dhcp server stat 发现 discover 和 offer 消息大量减 少 但还有增加 排查发现是从测试环境对应交换机上来的 测试 环境的交换机采用路由模式和办公区域互通 不能采用在同一 vlan 12 中抓包 镜像上联口后 过滤如下 规划中测试汇聚交换机没有 dhcp 功能 所以决定采用 acl 拦截 其端口上的 dhcp 消息 4 4 核心交换机开启核心交换机开启 acl 拦截测试汇聚交换机接口的拦截测试汇聚交换机接口的 dhcp 消息消息 注意 ingress 指从端口进入设备 egress 指从端口离开设备 Acl 规则号 不同的数字范围代表不同的拦截方法 同一种协议 对应一张表 可以有 3000 中 ruleid 可以添加 添加过程 1 首先添加一条 access list 注意对应 acl 的编号范围 2 进入对应 aclid 中添加规则 规则和 1 3000 同一种协议对 应一个 acl 号码 否则会冲突 3 使用规则 注意选择入和出的方向 要看统计数据后面要 加上 stat 的选项 13 图上的语句是拦截 dhcp 的协议 discover 消息和冒充 dhcp 服务 器的 offer 消息 Acl 运行后 show ip dhcp server stat 中 discover 消息 offer 消 息不再猛增 14 4 5 关闭个关闭个 vlan1 的的 dhcp 功能功能 镜像交换机端口的包 还有发 discover 消息上来 如图 检查这些 mac 地址的所属区域 发现 mac 地址仅存在于级联口 上 最后发现这些都是各交换机的 mac 地址 15 取消 vlan1 的 dhcp client 功能 关闭 vlan1 的 dhcp 功能后 镜像各端口的包没有抓到 vlan1 发 来的 dhcp 消息 这些措施执行后 查看 dhcp 的消息统计 discover offer 比较 稳定 没有飙升的现象 见下图 16 5 故障分析故障分析 因为处理故障时 没有镜像核心交换机和 ros 路由器之间的包 所以无法确定是各级交换机中那个设备发的 dhcp 的 discover 消息 发到 ros 路由器 引起 ros 路由器不断发 offer 消息 导致核心交 换机无法处理正常的 dhcp 消息引发的故障 自动获取 ip 的 pc 默认租期是一天 到达租期的一半时间时 客户机发出 request 消息进行续租 由于服务器没有应答消息 pc 继续使用此 pc 到达租期八分之七时间后 继续发起 request 消息 服务器依旧没有应答 当到达租期后 pc 不能继续使用此 ip 重新 发起 discover 消息 此时服务器没有应答 导致 pc 无法获得 ip 地址 pc 保护机制分配 169 254 xx xx 的保留地址 Pc 此时无法上网 当环境中有非交换机的 dhcp 服务器存在时 正常情况 pc 的 重启和网线插拔以及租期一半时 均采用 request 广播消息进行续租 正确的服务器胡应答 并给出 ack 消息进行确认租期 当交换机的 dhcp 服务器不能应答消息时 pc 在租期到达后 重新发起 dicover 消息申请 ip 这时非交换机的 dhcp 服务器发出 offer 消息 此时没 有正确 dhcp 服务器的 offer 到达 pc 没有选择正确 ip 的机会 就对 此错误的 ip 进行确认 导致获得 ip 但同样无法上网 交换机配置了 dhcp 的 snooping 消息后 添加级联口为信任端 口 discover request 消息只转发给信任的级联口到核心交换机 环境中其他端口接的 dhcp 服务器无法获得 discover 消息 从而避免 了 offer 消息的发出 同时交换机也只转发信任口的 offer 和 ack 消 17 息到其他端口 6 过程中累计的知识点过程中累计的知识点 Dhcp 过程失败 pc 会自动使用 169 254 的 ip 地址 Dhcp 客户端使用的两个定时器 二分之一租期和八分之七租期 Dhcp 服务器用 mac 地址标识一个 pc 对同一个 mac 的多次 discover 消息 会分配同一个 ip 地址 Dhcp 过程中 客户端产生一个 transactionid 随机数来标识 dhcp 事件 服务器的应答消息 会使用这个 id 来标识整个过程 服务器的 offer 消息发出后 不是立即分配这个 ip 给 pc 而是 有一定的时间等待后续的消息 ack 发