开启DHCP Snooping功能

■

近期某公司频繁出现视频点播获取到192.168.*.*非法地址且使用电脑能够上网的情况。接到报修后，我们首先安排维修人员在终端使用arp-a查到用户获取的网关的MAC地址为d0c7.c0a0.e415，在BRAS上使用show subscriber user-mac d0c7.c0a0.e415查到该用户的账号，与EBOSS上用户对应，最后找出了该用户，经电话询问，该用户将路由器的WAN口接入了EOC终端的第一口，LAN口接入了EOC终端的第二口。这样问题就比较好理解了，由于点播业务都处于同一VLAN下，其他视频点播用户通过EOC终端的第二口获取到该路由器分配的IP地址，这样即可通过该路由器的WAN口访问互联网了。

对于这种路由器接法，不只一处，如何才能避免某一个路由器接错而不影响其他终端，我们的处理方法是在最靠近终端的设备上开启DHCP Snooping（DHCP监听）功能，虽然EOC头端也具有DHCP Snooping功能，但效果不佳，最后我们选择在OLT上开启该项 功 能。DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。当OLT开启了 DHCP Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，即可以完成OLT对假冒DHCP Server的屏蔽作用，又可确保客户端从合法的DHCP Server获取IP地址。

我们现网大部分的OLT是瑞斯康达和中兴的，默认情况下PON口已经设置成非信任模式，就是说不允许用户从PON下的DHCP服务器获取IP地址，但是全局模式下需要打开DHCP监听功能，当全局DHCP Snooping启动后，端口DHCP Snooping才会生效。

设置方法如下：

这样操作完成后，故障排除，可以获取到正常的视频点播DHCP服务器分配的IP地址。DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。但在DHCP服务的管理上存在DHCP Server的冒充及DHCP Server的DOS攻击等现象。而且随着电子产品的多样化，无线路由器也成了客户终端所必备的设备，但大家对于网络知识的熟知度不同，势必会有接错的现象，路由器一旦接错就会充当DHCP Serve的角色，为用户分配非法地址。做为网络运营商我们也不可能保证每个用户都能正确使用路由器，只能从上层设备上进行限制或者网络优化，而且DHCP Snooping会占用大量的CPU资源，在网内我们就发现有些OLT会出现丢包现象，最根本的解决办法还是对用户使用的VLAN进行细分，使用PUPSPV的方式，目前这项工作随着县区BRAS的部署正在同步进行。