阻止DHCP廣播包傳播

■ 山東廣電網絡有限公司濟寧分公司 崔冬梅 徐源培

故障現象

單位同事反映，在辦公局域網內頻繁出現掉線故障，本地連接設置為自動獲取IP后會獲取到非法的IP地址，而且Ping辦公網交換機有丟包現象。

故障排查

首先在本機上使用arp-a查詢到該網關的MAC地址是0810-77f8-ca4a，登錄交換機（格林耐特TiNet S2600-52TS）使用以下命令查看MAC地址學習情況：

重復幾次以上操作，發(fā)現該MAC又在5口上學習到了。

故障解決

同一個MAC同時在不同端口學習到，說明網絡中存在環(huán)路，或者ARP攻擊。但是5口與26口都是下掛的傻瓜式交換機，單純通過MAC地址學習很難找到這臺主機，使用拔線的方式又較繁瑣，我們想到了使用端口隔離的方式來阻止兩個端口的通訊。格林納特交換機的配置方法如下：

進入配置模式

配置這兩個端口允許通訊的端口，其中10口和1/1口是的騰訊通服務器及信息發(fā)布平臺服務器使用的端口。

做完以上操作后，在本機上就無法獲取非法的IP地址了，故障解決。

經驗總結

隨著路由器的普及，用戶將路由器反接的現象不可避免，如何避免DHCP廣播，依照我們的經驗一般有三種方式：一是在端口上使用設置dhcp snooping，即只允許用戶端接收上聯(lián)口的DHCP服務，禁止通過其他下聯(lián)口獲取非法IP地址，但對于一些低端交換機或Hub，不具備該功能。二是本文中介紹的方法，使用端口隔離來限制端口之間的通訊，可以將每個端口都隔離，只允許他們與少數必須通訊的端口通訊。三是交換機端口綁定MAC地址，這個方法最復雜，但最可靠。以上三種方式可以根據實際情況靈活選擇，也可以綜合使用。