記一次DHCP排錯

2021-09-13 14:21:51 字數 2747 閱讀 7072

如拓撲,某業務整個網路劃分在乙個vlan之下,入網的終端裝置要接收來自dhcp伺服器的ip指派,業務正常,客戶開心,一切都顯得祥和安靜;

忽然有一天,使用者的乙個動作打破了一切。。。他把終端的網線無情的插入到了路由的lan口,如此,路由器本身的dhcp發揮作用,混進了這個vlan。自此,這個vlan下廣播域之內便有了兩台dhcp伺服器,災難發生了。。。

怎麼辦???

怎麼辦!!!

是偶然還是必然?

盒子裡傳來了乙個聲音:用dhcp snooping trust吧,它將解決一切你目前面臨的問題。

dhcp


snooping


信任功能


dhcp


snooping


的信任功能,能夠保證客戶端從合法的伺服器獲取ip(


internet


protocol


)位址。如圖1


所示,網路中如果存在私自架設的


dhcp


server


仿冒者,則可能導致


dhcp


客戶端獲取錯誤的


ip位址和網路配置引數,無法正常通訊。


dhcp


snooping


信任功能可以控制


dhcp


伺服器應答報文的**,以防止網路中可能存在的


dhcp


server


仿冒者為


dhcp


客戶端分配


ip位址及其他配置資訊。


dhcp


snooping


信任功能將介面分為信任介面和非信任介面:


信任介面正常接收


dhcp


伺服器響應的


dhcp


ack、


dhcp


nak和


dhcp


offer


報文。另外,裝置只會將


dhcp


客戶端的


dhcp


請求報文通過信任介面傳送給合法的


dhcp


伺服器。


非信任介面在接收到


dhcp


伺服器響應的


dhcp


ack、


dhcp


nak和


dhcp


offer


報文後,丟棄該報文。
於是,我開啟了它,暴風結束了

但,有誰又能想到,這個盒子的名字叫做潘多拉。。。

上午還歲月靜好,

下午卻是狂風暴雨。

這一天,還是來了

中端機型sw2和3下新接入的裝置沒有辦法再獲取到ip了,怎麼等都不來。

重啟了交換機能好兩三天,隨後濤聲依舊,

貌似是到達了一定數量,就無法再接入新裝置。但sw1下的裝置卻是沒受到影響。

這又是為什麼。

偶然間,我發現了乙個數字:

dhcp dynamic bind-table total count:1024

直覺告訴我,這個必定個異數。

於是,這一天,我才知道,dhcps nooping 是有動態繫結表的,而且上限是1024

一旦裝置接入數量超過預設的數值,就無法在獲取到ip了

但為什麼sw1下的裝置卻沒事?

查了下,原來這個機型要高階些,上限是3萬+

技術客服說:到達這個上限,只能更換更高階別的裝置。

只能說,如果是個銷售,他是合格的。

思考了很多方案,

從埠隔離

到mac匹配

都有一絲不盡人意。

但似乎,acl有我想要的一切

acl


,access


control


list


。是由若干


permit


或deny


語句組成的一系列規則的列表,可以作為基礎配置被應用模組引用。


acl主要應用在


qos、路由過濾、使用者接入等領域。


限制網路資料流以提高網路效能。例如,公司網路中配置


acl提供流量控制。例如,如果網路狀況允許,用


acl限制路由更新的傳輸,可以節約頻寬。


提供基本的網路訪問安全。例如,只允許特定使用者訪問人力資源網路。
抓包,分析特徵…..

兩個網段不衝突……

業務資料網段:b.


b.0.0流氓


dhcp


通用網段:c.


c.0.0
分析特徵字段…

dhcp


是udp


報文
資料生成…

acl


name


block_fake_dhcpserver


3000


rule


deny


udpsourcec.


c.0.00.0


.255.255


qtraffic


-filter


vlan


xxinbound


aclname


block_fake_dhcpserver
配置命令…

久違的美好…

orto be continued…?

dchp原理

acl(擴充套件)

dchp snooping trust

記一次DHCP排錯

如拓撲,某業務整個網路劃分在乙個vlan之下,入網的終端裝置要接收來自dhcp伺服器的ip指派,業務正常,客戶開心,一切都顯得祥和安靜 忽然有一天,使用者的乙個動作打破了一切。他把終端的網線無情的插入到了路由的lan口,如此,路由器本身的dhcp發揮作用,混進了這個vlan。自此,這個vlan下廣播...

記一次python mem排錯

docker run 乙個容器 多個測試樣例 結果顯示 有個測試樣例被 killed docker stats 檢視 發現記憶體接近90g 而我實際執行時 只有 1g的記憶體。所以被killed。root a34h05007.cloud.h05.amtest87 root docker stats ...

記一次tomcat部署排錯經歷(jar衝突)

18 feb 2022 08 32 46.836 severe localhost startstop 1 org.apache.catalina.core.standardcontext.startinternal context ospflowcenter startup failed due ...