DHCP-Snooping特性使用不当造成PC机无法获取IP地址收集.pdfVIP

DHCP-Snooping特性使用不当造成 PC机无法获取 IP 地址 DHCP-Snooping 特性使用不当造成 PC机无法获取 IP 地址 DHCP(Dynamic Host Configuration Protocol) 即动态主机配置协议，该协议采用 Client-Server 模型，是基于 UDP层的协议，兼容并扩充了 BOOTP(BOOTstrap Protocol) 协 议。DHCPClient 采用知名端口号 68 ，DHCPServer 采用知名端口号 67 。当网络中有 DHCPRelay 设备时， DHCP的主要过程如下： DHCP协议使用在 PC机与 DHCPRelay 设备之间，当 Client 收到 Relay 设备转发的 DHCPAck 报文后，对报文中提供的配置参数进行检查，同时进行配置，完成 DHCP过程；如果 Client 收到 Nak 报文，则重新开始整个过程。 需要注意的是 DHCPRelay 设备回给 Client 的报文有可能是单播，也有可能是广播，这完全 取决于 Client 是否将发出的 Discover 报文里面的 Bootp flags 字段进行置位。如果该字 段数值为 1，则 DHCPRelay 将 Offer 或者 Ack/Nak 报文广播给 Client ；反之，如果该字段 数值为 0 ，则 DHCP Relay 将 Offer 或者 Ack/Nak 报文单播给 Client 。 以上，只是简单介绍客户端通过 DHCP动态获取地址的过程，主要为了给 DHCP-Snoooping 这个交换机新增的特性做铺垫。从字面上看， DHCP-Snooping 和 IGMP-Snooping 完成的功能 类似，都是对特定报文进行侦听。 当交换机开启了 DHCP-Snooping 后，会对 DHCP报文进行侦听，并可以从接收到的 DHCP Request 或 DHCP Ack报文中提取并记录 IP 地址和 MAC地址信息。另外， DHCP-Snooping 允 许将某个物理端口设置为信任端口或不信任端口。 信任端口可以正常接收并转发 DHCPOffer 报文，而不信任端口会将接收到的 DHCPOffer 报文丢弃。 这样，可以完成交换机对假冒 DHCP Server 的屏蔽作用，确保客户端从合法的 DHCP Server 获取 IP 地址。 下面通过一个故障实例，来介绍该功能的配置以及注意事项。 【故障现象及问题定位】 使用 S3026G作为接入设备，接入设备汇聚到 S3528P 上， S3528P 作为网络中的 DHCP Relay 设备，而 DHCPServer 接在 S3026G下面。要求各个 VLAN的 PC机可以自动获取 IP 地址，同 时希望能够屏蔽网络中的假冒 DHCP Server 。 组网图： 首先，保证各个 VLAN的 PC机可以通过这台 DHCP Server 获取 IP 地址。然后，开启交换机 的 DHCP-Snooping 功能，发现所有 PC机均无法获取 IP 地址，说明 DHCP-Snooping 功能正常。 为了让 S3026G可以正常收发 DHCP Offer 报文，则在连接 DHCP Server 的端口 0/23 上配置 dhcp-snooping trust ，将该端口设置为信任端口，发现 PC机还是无法获取 IP 地址。将 PC 机换至其它 VLAN，仍然无法获取 IP 地址。而关闭 S3026G的 DHCP-Snooping 功能后，故障 消失。可以肯定是 DHCP-Snooping 的配置导致该故障。 虽然 PC机和 DHC