阻止DHCP广播包传播

■ 山东广电网络有限公司济宁分公司 崔冬梅 徐源培

故障现象

单位同事反映，在办公局域网内频繁出现掉线故障，本地连接设置为自动获取IP后会获取到非法的IP地址，而且Ping办公网交换机有丢包现象。

故障排查

首先在本机上使用arp-a查询到该网关的MAC地址是0810-77f8-ca4a，登录交换机（格林耐特TiNet S2600-52TS）使用以下命令查看MAC地址学习情况：

重复几次以上操作，发现该MAC又在5口上学习到了。

故障解决

同一个MAC同时在不同端口学习到，说明网络中存在环路，或者ARP攻击。但是5口与26口都是下挂的傻瓜式交换机，单纯通过MAC地址学习很难找到这台主机，使用拔线的方式又较繁琐，我们想到了使用端口隔离的方式来阻止两个端口的通讯。格林纳特交换机的配置方法如下：

进入配置模式

配置这两个端口允许通讯的端口，其中10口和1/1口是的腾讯通服务器及信息发布平台服务器使用的端口。

做完以上操作后，在本机上就无法获取非法的IP地址了，故障解决。

经验总结

随着路由器的普及，用户将路由器反接的现象不可避免，如何避免DHCP广播，依照我们的经验一般有三种方式：一是在端口上使用设置dhcp snooping，即只允许用户端接收上联口的DHCP服务，禁止通过其他下联口获取非法IP地址，但对于一些低端交换机或Hub，不具备该功能。二是本文中介绍的方法，使用端口隔离来限制端口之间的通讯，可以将每个端口都隔离，只允许他们与少数必须通讯的端口通讯。三是交换机端口绑定MAC地址，这个方法最复杂，但最可靠。以上三种方式可以根据实际情况灵活选择，也可以综合使用。