7609开启DHCPsnooping后不更新DHCPbinding.PDFVIP

7609开启DHCP snooping后不更新DHCP binding table 目录 硬件平台 软件版本 案例介绍 问题分析思路 问题总结 经验总结 相关命令 其他相关文档 硬件平台 CISCO7609-S 1 24 CEF720 24 port 1000mb SFP WS-X6724-SFP 5 2 Route Switch Processor 720 (Active) RSP720-3C-GE 6 2 Route Switch Processor 720 (Hot) RSP720-3C-GE 9 48 48-port 10/100/1000 RJ45 EtherModule WS-X6148A-GE-TX 软件版本 IOS 12.2(33)SRE3 案例介绍 7609开启DHCP snooping和DAI，7609在收到DHCP ACK包后不建立或刷新binding表项，造成 DAI告警，终端断网。 问题分析思路 1. 确定DAI告警中的IP/MAC是攻击还是合法的： 产生DAI告警的原因是ARP报文（请求和回复）中源IP/MAC对不在DHCP binding表中 ，ARP报文同时被丢弃。客户反映，log中显示的这些IP/MAC对都是合法的，故问题的原因在 于，没有binding表项。 2. 确定7609收到相应DHCP ACK报文时是否会更新binding表： 客户设定的租约时间是30天，在客户的环境中很难看到DHCP binding表项刷新的现象，所以 让客户建立一个测试vlan，租约时间为1min。话机连上2960时可以获取IP，同时7609上能够 生成binding表项，但是表项age会一直老化到0，持续一段时间后消失，随后出现DAI告警 log。过一段时间后，话机会重新获取IP，7609上表项会重新出现。 3. 将7609上DHCP snooping和DAI配置删除，在2960上开启DHCP snooping和snooping debug。在2960上每到租约时间一半，会收到DHCP ACK并更新binding表项。 7609上此时开启DHCP snooping，但不开启DAI，无DHCP binding表项。开启debug，能看到 DHCP request但没有ACK，说明7609没有收到ACK或收到没有对其进行处理。 ELAM能够抓到ACK包，说明7609收到了但是没有处理。 让话机重新获取IP，在这个过程中，server回复的ACK目的IP为7609上的网关（DHCP relay ip），7609能够生成binding表项。 话机获取IP后，到达租约时间的一半，会向DHCP server单播request来更新租约，server回复 单播ACK。但是7609 DHCP snooping没有处理这类ACK报文。 4. 搭lab重现： 如下拓扑下，7609作为DHCP relay，能够更新binding表 DHCP server 7609 2960 IP phone 如下拓扑，当7609-2收到的ACK是mpls包，便不会更新binding表。说明问题和MPLS有关。 DHCP server 7609-1 MPLS 7609-2 2960 IP phone 5. 配置命令mls mpls recir-agg强制带有aggregation lable的包recirculate，问题解决。 或应用包含 “default-class”的policy-map在7609-2连7609-1的接口上，这类policy-map有side effect disable VPN CAM，同样能够解决问题。 没有应用以上workaround时，netdr抓包结果表明上CPU的包仍然带有MPLS label： dump of incoming inband packet interface Gi1/1, routine process_rx_packet_inline, timestamp 16:57:22.515 dbus info: src_vlan 0x3FD(1021), src_indx 0