1. [Todo acerca switches] Cliente DHCP no puede obtener direccion IP

252 0 0 0

Cliente DHCP no puede obtener dirección IP.

Acerca de este capítulo.

Este capítulo describe cómo resolver problemas de fallas a causa de los clientes DHCP que son incapaces de obtener direcciones IP desde un servidor DHCP. También, se provee casos típicos para resolver problemas y preguntas frecuentes relacionadas con la obtención de direcciones IP.

1.1  ¿Cómo funciona DHCP?
1.2  Comandos comunes
1.3  Procedimientos para resolver problemas
1.4  Casos típicos para resolver problemas
1.5  FAQs

1.1 ¿Cómo funciona DHCP?

Antes de buscar por qué el cliente DHCP no puede obtener dirección IP desde un servidor DHCP, se debe saber cómo el cliente DHCP usa DHCP para obtener una dirección IP. Figura 1-1 muestra intercambios de mensaje DHCP. Los dispositivos “DHCP snooping” y los agentes “DHCP relay” puede que no esté presente dependiendo de cómo se forme la red.Si no están presentes, centrarse solo en cómo el cliente DHCP y el servidor DHCP intercambian mensajes DHCP. La siguiente descripción asume que tanto“DHCP snooping” y “DHCP relay” son implementados.

Figure 1-1Mensaje de intercambioDHCP
http://forum.huawei.com/huaweiconnect/data/attachment/forum/201610/25/20161025160351583001.png

Mensaje de intercambioDHCP

  1. Una vez accediendo por primera vez a la red, el cliente DHCP realiza broadcast de mensajes “Discover” para encontrar servidores DHCP disponibles. Las direcciones IP de origen y destino de los mensajes “Discover” siempre son 0 y siempre 1, respectivamente.

  2. Una vez recibido el mensaje “Discover” del DHCP, el dispositivo “DHCP snooping” reenvía o descarta el mensaje. Esto depende si existe una interfaz confiable. Si existe una interfaz confiable, el dispositivo “DHCP snooping” reenvía los mensajes hacia el “DHCP relay” (asumiendo que ésta es la situación actual). Si no hay interfaces confiables, el dispositivo “DHCP snooping” lo descarta.

  3. Una vez recibido el mensaje “Discover” del DHCP, el agente “DHCP relay” mediante unicast especifica el servidor DHCP de acuerdo a la configuración del agente “relay”.

  4. Basado en el segmento de red donde el mensaje “Discover” reside, el servidor DHCP selecciona una dirección IP para ser asignada al cliente DHCP, encapsula la dirección IP dentro de un mensaje “Offer” y envía el mensaje “Offer” hacia el agente “DHCP realy.

  5. El agente “DHCP relay” reenvía mensajes “Offer” mediante unicast hacia el dispositivo “DHCP snooping”

  6. El dispositivo “DHCP snooping” reenvía mensajes “Offer” hacia el cliente DHCP.

  7. Una vez recibido el mensaje “Offer” del DHCP, el cliente DHCP envía un mensaje DHCP “Request” mediante broadcast, informando los posibles servidores DHCP que han obtenido una dirección IP. El mensaje DHCP “Request” contiene información del servidor DHCP seleccionado junto con su dirección IP asignada.

  8. Paso 8 hasta el 12 son similares del paso 2 hasta el paso 6, verFigura 1-1.

Roles DHCP

  • Cliente DHCP

Un cliente DHCP, usa DHCP para obtener una dirección IP y otros parámetros desde un servidor DHCP. Clientes DHCP pueden ser, teléfonos, PC’s, dispositivos móviles entre otros dispositivos de red.

  • Dispositivo Snooping (Opcional)

Un dispositivo DHCP Snooping puede ser configurado con interfaces confiables para asegurar que el cliente DHCP pueda obtener dirección IP desde un servidor DHCP en específico. Para prevenir ataques DHCP, un dispositivo DHCP Snooping también puede ser configurado para registrar la asignación entre las direcciones IP y las direcciones MAC de los clientes DHCP.

  • Agente DHCP Relay (Opcional)

Un Agente DHCP Relay reenvía los mensajes DHCP “Discover” desde el cliente DHCP hasta el servidor DHCP, sólo cuando el cliente y el servidor residen en segmentos diferentes de red.

  • Servidor DHCP

Un servidor DHCP es el que asigna direcciones IP y otros parámetros a los clientes DHCP.

1.2 Comandos comunes
Fallas de DHCP estan localizadas en las estadisticas acerca de los mensajes de intercambio de DHCP. Los siguientes comandos son los más usados para localizar fallas.


Table 1-1Comandos comunes para localizar fallas de protocolo stack DHCP

      Commando
        

      Función
        

      display dhcp packet enqueue statistics
        

        Comando   diagnostico usado para revisar la velocidad con el cual recibe el dispositivo   mensajes DHCP.
        

        display dhcp packet process statistics
        

   Comando diagnostico usado para revisar los   mensajes de proceso de DHCP
        

        debugging dhcp stack all
        

      Comando de   depuración, usado para habilitar la depuración de protocolos DHCP que envía y   recibe.
        


Table 1-2Comandos comunes para localizar fallas en el servidor DHCP.

        Comando
        

Función

      display ip pool
        

        Comando que   muestra información acerca del pool de direcciones IP de un servidor DHCP.
        

        display dhcp server statistics
        

      Comando que muestra las estadísticas acerca de   los mensajes DHCP, el cual el servidor DHCP envía y recibe.
        

        debugging dhcp server all
        

        Comando de   depuración usado para habilitar la depuración de módulos de un servidor DHCP.
        

        debugging am all
        

        Comando de   depuración usado para habilitar la depuración del módulo de administración   del pool de direcciones IP.
        



Table 1-3Comandos comunes para localizar fallas en el agente DHCP relay.

        Comando
        

      Función
        

      display dhcp relay statistics
        

        Comando que   muestra las estadísticas acerca de los mensajes DHCP que el DHCP relay envía   y recibe.
        

        display dhcp relay
        

        Comando que   muestra las configuraciones de un servidor DHCP en una interfaz de un agente   DHCP relay.
        

        display dhcp server group
        

        Comando que   muestra las configuraciones de un grupo de servidores DHCP en un agente DHCP   relay.
        

        debugging dhcp relay all
        

        Comando de   depuración utilizado para habilitar la depuración de los módulos de los   agentes DHCP relay.
        


Table 1-4Comandos comunes para localizar fallas para los dispositivos DHCP snooping.

        Comando
        

      Funcion
        

      display dhcp snooping
        

        Comando usado   para mostrar las configuraciones DHCP snooping en una interfaz o en una VLAN.
        

        display dhcp snooping user-bind
        

        Comando que   muestra la tabla de enlace dinámico del DHCP snooping.
        

        reset dhcp snooping user-bind
        

        Comando de   restablecer que elimina la tabla de información de enlace dinámico desde un   dispositivo DHCP snooping

   
        

        display dhcp snooping statistics
        

        Comando que   muestra las estadísticas acerca de los mensajes DHCP snooping que el   dispositivo envía y recibe.
        

        reset dhcp snooping statistics
        

        Comando de   restablecer que elimina las estadísticas de los mensajes DHCP el cual el   dispositivos DHCP snooping envía y recibe.
        

        debugging dhcp snooping all
        

        Comando de   depuración usado para habilitar la depuración de los módulos DHCP snooping.
        


Table 1-5Comandos comunes para localizar fallas en los clientes DHCP.

        Comando
        

      Función
        

      display dhcp client
        

        Comando que   muestra DHCP o información de clientes BOOTP en una interfaz.
        

        display dhcp client statistics
        

        Comando que muestra las   estadisiticas de mensajes DHCP en un DHCP o en un cliente BOOTP.
        

        debugging dhcp client all
        

        Comando de   depuración usado para habilitar la depuración en los módulos del cliente   DHCP.
        


1.3 Procedimiento para resolver problemas

Un cliente DHCP obtiene dirección IP desde un servidor DHCP intercambiando mensajes DHCP con el servidor. Cualquier dispositivo o falla de enlace en la ruta desde el cliente hacia el servidor puede impedir que el cliente obtenga una dirección IP.

Se puede resolver los problemas de falla con lo siguiente:

1.3.1 Comprobación de ruta accesible entre el cliente DHCP y el servidor DHCP

Resolución de problema

  1. Configure una dirección IP estática para el cliente DHCP y use esa dirección IP para realizar un ping hacia la dirección IP del servidor DHCP.

    1. Si el ping se realiza exitosamente, significa que el cliente es alcanzable hacia el servidor.En esta situación,verifique si las configuraciones DHCP son correctas.

    2. Si el ping falla, el cliente es inalcanzable hacia el servidor DHCP. Ir hacia el paso 2 y 3 para su dicha resolución.

  2. Determinar la ubicación donde el ping presenta la falla, de segmento a segmento. Para aislar el problema del ping desde un segmento en específico.

  3. Determine la razón por el cual el ping falla desde colectar las estadísticas del tráfico o de obtener los encabezados de los paquetes.

Ejemplo para resolver problema

  1. Configure la dirección IP 192.168.10.10 para el cliente DHCP y use esta dirección IP para hacer ping a la dirección IP del servidor DHCP. El ping falla, lo que indica que la red de capa 2 tiene un problema.

PC>ping 192.168.10.1
 
Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
 
--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

  1. Ejecute el comandodisplay arpen el servidor DHCP para verificar su tabla ARP. La salida del comando muestra que la tabla ARP no contiene la entrada ARP del cliente DHCP, lo que indica que la solicitud del cliente DHCP y el paquete de ping no llegan al servidor DHCP

    <SwitchA>display arp
    IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE INTERFACE      VPN-INSTANCE      
                                              VLAN 
    ------------------------------------------------------------------------------
    192.168.10.1    4c1f-cc60-702b            I -  Vlanif100
    ------------------------------------------------------------------------------
    Total:1         Dynamic:0       Static:0     Interface:1

  1. Ejecute el comandodisplay mac-addressen SwitchB para verificar la tabla de direcciones MAC de SwitchB. La salida del comando muestra que SwitchB aprende la dirección MAC del cliente DHCP pero no aprende la dirección MAC del servidor DHCP. Esto indica que la falla de ping ocurre en la ruta entre SwitchB y el servidor DHCP.

    <SwitchB>display mac-address
    MAC address table of slot 0:
    -------------------------------------------------------------------------------
    MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
                   VSI/SI                                              MAC-Tunnel  
    -------------------------------------------------------------------------------
    5489-982d-78db 100         -      -      Eth0/0/1        dynamic   0/-         
    -------------------------------------------------------------------------------
    Total matching items on slot 0 displayed = 1

  1. Verifique la información de la interfaz de SwitchA y SwitchB. La salida del comando muestra que la interfaz del uplink GE 0/0/2 de SwitchB no está configurada para permitir que pase la VLAN 100.

    [SwitchA-GigabitEthernet0/0/1]display this 
    #
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 100
    #
    return
    [SwitchA-GigabitEthernet0/0/1]

    [SwitchB-GigabitEthernet0/0/2]display this 
    #
    interface GigabitEthernet0/0/2
    #
    return
    [SwitchB-GigabitEthernet0/0/2]

  1. Configure GE 0/0/2 para permitir que pase VLAN 100. El cliente DHCP hace ping exitoso al servidor DHCP.

    [SwitchB-GigabitEthernet0/0/1]display this 
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    return
    [SwitchB-GigabitEthernet0/0/1]

1.3.2 Comprobando si las configuraciones DHCP son correctas

Checando las configuraciones del servidor DHCP
Posibles fallas

  1. Configuraciones DHCP incompletas.

  2. Direcciones IP no disponibles en el pool de direcciones IP.

Procedimiento para resolver problemas

  1.     Para configuraciones DHCP incompletas:

Ejecutar el comando “display current-configuration” comando para verificar si las funciones del servidor DHCP están completamente configuradas.

    1. Verifique si el comandodhcp enableestá habilitado.

      <HUAWEI>display current-configuration
      #
      dhcp enable
      #

    2. Compruebe si el pool de direcciones globales está configurado en modo global para las direcciones pool. Si existe un agente DHCP relay, configure en el servidor DHCP un pool de direcciones de igual segmento de red donde el cliente DHCP reside.

      <HUAWEI>display current-configuration
      #
      ip pool 1 
       gateway-list 192.168.10.1 
       network 192.168.10.0 mask 255.255.255.0 
      #

    3. Compruebe si se ejecuta el comando dhcp select global o dhcp select interface para habilitar la función del servidor DHCP en la interfaz del servidor DHCP que se conecta al cliente DHCP. Tenga en cuenta que el comando dhcp select global se aplica al modo de pool de direcciones globales, mientras que el comando dhcp select interface se aplica al modo de pool de direcciones de interfaz.

      <HUAWEI>display current-configuration
      #
      interface Vlanif10
       ip address 192.168.10.1 255.255.255.0
       dhcp select global
      #

  1. Para direcciones IP no disponibles en el pool de direcciones:

    Ejecute el comando display ip pool para verificar si hay direcciones IP disponibles (indicadas por el campo Inactivo) en el pool de direcciones del servidor DHCP.

    <HUAWEI>display ip pool interface Vlanif100                                
      Pool-name        : Vlanif100                                                   
      Pool-No          : 0                                                          
    ...
     -------------------------------------------------------------------------------
      Network section                                                                
             Start           End       Total    Used Idle(Expired) Conflict Disabled
     -------------------------------------------------------------------------------
         192.168.4.1   192.168.4.254     254       0        254(0)       0     0    
     -------------------------------------------------------------------------------

    Revisar el valor de Idle si la salida del comando es 0:

    - Si el valor no es 0, el servidor DHCP tiene direcciones IP disponibles.

    En esta situación, verifique las configuraciones del agente de DHCP relay o verifique las configuraciones del dispositivo de DHCP snooping.

             - Si el valor es 0, el servidor DHCP no tiene direcciones IP disponibles.

Utilice cualquiera de las soluciones descritas en la Tabla 1-6 para resolver este problema.

http://forum.huawei.com/huaweiconnect/data/attachment/forum/201610/25/20161025160353608003.jpg

Table 1-6Solutions to unavailable DHCP server IP address

      Solucion
        

        Pool de   direcciones de interfaz
        

        Pool de direcciones globales
        

      Añadir direcciones IP.
        

        Reducir   mascara de direcciones IP.
        
Asignar   más VLAN’s al pool de direcciones de interfaces para agregar más clientes   DHCP.
        
Añadir   servidores DHCP.
        

        Reducir leases de   direcciones IP.
        

        Ejecutar el   comandodhcp server leaseen   la vista de interfaz.
        

        Ejecutar el   comandoleaseen la vista de   pool de direcciones globales.
        

Checar las configuraciones del agente DHCP Relay
Posibles fallas
1.        DHCP deshabilitado
2.         Función DHCP relay deshabilitada
3.         Direccion IP del servidor DHCP no especificado o incorrecto.

Procedimiento de resolución.    

  1. Para incompletas configuraciones DHCP:

Ejecutar el comandodisplay current-configurationen cualquier vista para revisar las configuraciones del agente DHCP relay.

  1. Compruebe si el comando dhcp enable se ejecuta para habilitar el DHCP globalmente.

    <HUAWEI>display current-configuration
    #
    dhcp enable
    #

  2. Compruebe si se ejecuta el comandodhcp select relaypara habilitar la función del agente DHCP relay.

    #
    interface Vlanif100
     ip address 192.168.10.1 255.255.255.0
     dhcp select relay   
     dhcp relay server-ip 192.168.20.2
    #

  3. Compruebe si se ejecuta el comandodhcp relay server-ippara especificar la dirección IP del servidor DHCP en el agente DHCP relay.

Checar las configuraciones del dispositivo DHCP Snooping

Posibles fallas

  • La función de snooping de DHCP está habilitada, pero no se ha configurado ninguna interfaz de confianza.

  • El número de usuarios de acceso en una interfaz o en a VLAN alcanza el máximo.

Procedimiento de resolución. 

  1. Ejecute el comandodisplay dhcp snooping configurationen el dispositivo de snooping DHCP para verificar si una interfaz está configurada como una interfaz de confianza utilizando el comandodhcp snooping trusted.

    <HUAWEI>display dhcp snooping configuration
    #
    dhcp snooping enable   //Enable DHCP Snooping globally.
    #
    vlan 100
     dhcp snooping enable   //Enable DHCP Snooping for a VLAN.
    #
    interface GigabitEthernet0/0/3
     dhcp snooping trusted   //Configure the interface as a trusted interface.
    #

    Por defecto, todas las interfaces son interfaces no confiables. Un dispositivo de snooping DHCP envía solicitudes DHCP y recibe respuestas DHCP sólo a través de interfaces de confianza. Si no se configuran interfaces de confianza, el dispositivo de snooping DHCP descarta todos los mensajes DHCP recibidos.

  2. Ejecute el comandodisplay dhcp snoopingen el dispositivo de snooping DHCP para verificar si el número máximo de usuarios de acceso se configura en una interfaz o en a VLAN Si el número máximo no cumple con el requisito, ejecute el comandodhcp snooping max-user-numberpara ajustarlo.

    <HUAWEI>display dhcp snooping
     DHCP snooping running information for VLAN 100 :
     DHCP snooping                            : Enable   
     Dhcp user max number                     : 1024     (default) //Maximum number of DHCP users allowed in this VLAN
     Current dhcp user number                 : 3                  //Maximum number of access DHCP users in this VLAN
     Check dhcp-giaddr                        : Disable  (default)
     Check dhcp-chaddr                        : Disable  (default)
     Check dhcp-request                       : Disable  (default)
     Check dhcp-rate                          : Disable  (default)

      1. Checando donde los mensajes de intercambio DHCP son interrumpidos.

Procedimiento de resolución. 

Incluso si el cliente DHCP es accesible al servidor DHCP en la prueba de ping y las configuraciones DHCP son correctas, también se pueden interrumpir los intercambios de mensajes DHCP. Esto se debe a que los mensajes DHCP son muy especiales y diferentes de los paquetes ICMP utilizados en las pruebas de ping.

Figura 1-3 DHCP Intercambio de mensajes

http://forum.huawei.com/huaweiconnect/data/attachment/forum/201610/25/20161025160351583001.png

En la Figura 1-3, el fallo del cliente DHCP para obtener una dirección IP puede ocurrir en los cuatro dispositivos DHCP o en tres segmentos de red. Para determinar la ubicación específica, utilice cualquiera de los siguientes métodos:

1. Ejecutar los siguientes comandos para verificar el número de mensajes DHCP enviados y recibidos por un dispositivo DHCP específico:

− Ejecutar el comandodisplay dhcp server statisticsen un servidor DHCP.

− Ejecutar el comandodisplay dhcp relay statisticsen un agente DHCP relay.

− Ejecutar el comandodisplay dhcp snooping statisticsen un dispositivo de snooping DHCP.

2.Mirroring

Para obtener una configuración de duplicación detallada, consulte "Mirroring Configuration" en Configuration Guide -Network Management and Monitoring en la documentación de los productos switch series S.

3.Obteniendo paquetes encabezado.

Utilice un software de encabezado de paquetes para obtener encabezados de paquetes en los dispositivos DHCP para ver dónde se interrumpen los mensajes DHCP.

Solución

Table 1-7Fallas de dispositivo

        Tipo de dispositivo
        

      Solución
        

      Cliente
        

        Reiniciar   el cliente DHCP.
        
Desactivar   y reactivarla NIC.
        

        Dispositivos de servicioDHCP
        

        Si   el problema es causado por la alta utilización de CPU, revisar los temas de   mantenimiento por la alta utilización de CPU
        
Ejecutar   el comandodebugging dhcp{snooping|relay|server  |stack}erroren la vista de usuario para habilitar la   depuración de errores de los módulos DHCP. Luego, determinar las razones de   los errores, en base a los resultados obtenidos a través del comando.
        
Contactar al personal   de apoyo técnico.
        

    1. Casos típicos para resolver problemas

      1. Un servidor DHCP no puede recibir un mensaje de solicitud DHCP de un cliente DHCP

Topología de red

En la Figura 1-4, el PC (cliente DHCP) y el servidor DHCP residen en diferentes segmentos de red. Se implementa un dispositivo de snooping DHCP entre el agente de retransmisión DHCP y el servidor DHCP.

Figura 1-4Diagrama de networking

http://forum.huawei.com/huaweiconnect/data/attachment/forum/201610/25/20161025160354415004.png

Causa Raíz

El dispositivo de snooping DHCP descarta inesperadamente el mensaje DHCP Request. Esto ocurre específicamente:

1. Porque el cliente y el servidor DHCP residen en diferentes segmentos de red, el agente DHCP relay llena su dirección IP en el campoGIADDRdel Request message del cliente DHCP.

2. El comandodhcp snooping check dhcp-giaddr enablese ejecuta en el dispositivo de snooping de DHCP para que pueda verificar si el campoGIADDRes 0 en el mensaje de solicitud DHCP de the.

3. El dispositivo de snooping DHCP encuentra que el campoGIADDRno es 0 y por lo tanto descarta el mensaje DHCP Request.

Conclusión y sugerencias.

Para asegurarse de que un dispositivo de snooping DHCP puede obtener parámetros como la información de direcciones MAC de usuario para generar una tabla de enlace de snooping de DHCP, despliegue la función DHCP snooping en un dispositivo de acceso de capa 2 o en el primer agente de retransmisión DHCP entre el cliente DHCP y el servidor.

1.4.2 Una política de tráfico descarta los mensajes del cliente DHCP, lo que impide al cliente DHCP obtener una dirección IP

Topología de red

En la Figura 1-5, el SwitchA funciona como servidor DHCP y reside en el mismo segmento de red que el PC. El PC no puede obtener una dirección IP desde el servidor DHCP.

Figura 1-5 Diagrama de networking

http://forum.huawei.com/huaweiconnect/data/attachment/forum/201610/25/20161025160355319005.png

Procedimiento de resolución. 

1. Ejecutar el comandodisplay mac-addressen SwitchA. La salida de comandos muestra que el SwitchA aprendió la dirección MAC de la PC, indicando que la red de la capa 2 funciona correctamente.

2. Ejecutar el comandodisplay ip poolen SwitchA. La salida de comandos muestra que el pool de direcciones de SwitchA contiene direcciones IP inactivas, lo que indica que las configuraciones del servidor DHCP son correctas.

3. Ejecutar el comandodisplay current-configurationen SwitchA para verificar su configuración. La salida de comandos muestra que se configura una directiva de tráfico en SwitchA Esta política sólo permite mensajes que contienen direcciones IP especificadas y niega mensajes del PC.

[SwitchA]display current-configuration
...
#
acl number 3002
 rule 5 permit ip destination 192.168.30.1 0
 rule 10 permit ip destination 192.168.30.2 0
 rule 15 permit ip destination 192.168.30.3 0
 rule 20 permit ip destination 192.168.30.4 0
 rule 50 deny ip
#
 traffic classifier c2 operator and
 if-match acl 3002
#
 traffic behavior b2
 permit
#
 traffic policy p2 match-order config
 classifier c2 behavior b2
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
 traffic-policy p2 inbound   //The traffic policy is applied to the interface. This traffic policy discards all DHCP messages except those with specified IP addresses.
#

Causa Raíz

El mensaje DHCP Discover del PC se emite y golpea la regla 50 de la ACL 3002 cuando llega al servidor DHCP. Como resultado, el mensaje es descartado, y el PC no puede obtener una dirección IP.

Solución

Agregue una regla en ACL 3002 para permitir que el servidor DHCP permita los mensajes DHCP del PC.

rule 25 permit ip source 0.0.0.0 0

1.4.3 Algunos usuarios no pueden obtener direcciones IP cuando se envían muchos mensajes DHCP a la CPU.

Topología de red

En la Figura 1-6, muchos clientes DHCP se conectan a un servidor DHCP sobre un dispositivo de acceso que tiene habilitado DHCP.

Figura 1-6 diagrama de networking

http://forum.huawei.com/huaweiconnect/data/attachment/forum/201610/25/20161025160356290006.png

Síntomas de Falla

Estos clientes tratan de ir en línea simultáneamente, pero algunos de ellos no pueden obtener una dirección IP.

Causa Raíz

Los dispositivos DHCP envían mensajes DHCP recibidos a sus CPU para su procesamiento. Si un gran número de usuarios de DHCP se conectan simultáneamente o la red de capa 2 tiene un bucle o está bajo ataques DHCP, estos dispositivos recibirán un gran número de mensajes DHCP en poco tiempo. Si la tasa de recepción supera el valor CPCAR configurado, el exceso de mensajes DHCP se descartan. Como resultado, algunos usuarios no pueden obtener direcciones IP.

Solución

  • Prever a muchos usuarios de ir en línea simultáneamente, o deshabilitar DHCP en el dispositivo de acceso 2 de capa (no el dispositivo de snooping DHCP).

  • Eliminar los bucles posibles de la red de capa 2.

  • Habilitar el rastreo de fuentes de ataque en el dispositivo de acceso y configurar una lista negra. Si un usuario envía muchos mensajes DHCP sospechosos, la función de rastreo de fuentes de ataque detectará la dirección MAC del usuario. Luego, la lista negra filtra esta dirección MAC.

Conclusión y sugerencias

lNo ejecute el comandodhcp enableen un dispositivo que no esté ejecutando ningún servicio DHCP.

  • Si existe un switch de agregación o switch core } como un dispositivo de snooping DHCP o un relay agent, active el trazado de fuentes de ataque en el switch. Si el switch detecta ataques DHCP, puede localizar rápidamente la fuente de ataque y tomar las acciones adecuadas.

1.4.4 Seguridad del puerto configurada en un Switch Prevents New Users de acceso desde la obtención de direcciones IP

Descripción del problema

Para evitar que las direcciones MAC no autorizadas ataquen una red, la seguridad del puerto se configura en el switch de acceso de capa 2 de la red, y se ejecuta el comandoport-security maxmac-num max-number para permitir que la interfaz de acceso aprenda un máximo de 30 direcciones MAC. Una vez que el switch de acceso está funcionando durante un tiempo, los nuevos usuarios de acceso no pueden obtener direcciones IP y tampoco visitar el gateway. Sus servicios se interrumpen.

Procedimiento de resolución.

  1. Ejecutar el comando display mac-address para verificar las entradas de direcciones MAC aprendidas por el switch de acceso. La salida de comandos muestra que el switch ha aprendido 30 direcciones MAC pero no aprende la dirección MAC de su PC adjunto.

    <HUAWEI>display mac-address
    ------------------------------------------------------------------------------- 
    MAC Address          VLAN/VSI                    Learned-From          Type
     ------------------------------------------------------------------------------- 
    0000-0000-0001          100/-                    GE0/0/1             sticky
    ...
    0000-0000-0030          100/-                    GE0/0/1             sticky
    ------------------------------------------------------------------------------- 
     Total items displayed = 30

  2. Ejecute el comando display this en GE0/0 / 1. La salida de comandos muestra que la interfaz tiene configurada la seguridad del puerto y puede aprender un máximo de 30 direcciones MAC. Esto es lo mismo que el número de direcciones MAC que el switch ha aprendido en el paso 1.

    #
    interface GigabitEthernet0/0/1
     port-security enable
     port-security max-mac-num 30
    #

  3. Eliminar la seguridad del puerto de la interfaz. La PC puede obtener una dirección después.

Problema raíz.

Los nuevos usuarios de acceso no pueden obtener direcciones IP debido a las direcciones MAC. Esto ocurre específicamente porque:

1. La interfaz convierte sus direcciones MAC aprendidas en direcciones MAC pegajosas.

2. Las direcciones MAC no pueden guardarse o perderse después de que el switch guarda sus configuraciones.

3. El número de direcciones MAC pegajosas alcanza el umbral configurado utilizando el comando port-security max-mac-num max-number. Como resultado, el interruptor deja de aprender nuevas direcciones MAC, y los nuevos usuarios de acceso no pueden obtener direcciones IP.

Solución.

Ejecute el comandoport-security max mac-numpara configurar el umbral al valor máximo que soporta la interfaz.

Conlusión y sugerencias.

El puerto de seguridad filtra los mensajes DHCP. Configure la seguridad del puerto de acuerdo con los requerimientos específicos, por ejemplo:

  • Si se requiere una interfaz para permitir la dirección MAC del primer usuario de inicio de sesión y denegar las direcciones MAC de los usuarios de inicio de sesión posteriores, ejecute el comando deport-security mac-address stickypara configurar la interfaz para aprender sólo una dirección MAC pegajosa.

  • Si se requiere una interfaz para permitir sólo 10 usuarios, ejecute el comandoport-security enablepara habilitar la seguridad del puerto y ejecute el comandoport-security max-mac-numpara configurar el número máximo de direcciones MAC que la interfaz puede aprender a 10.

  • Si se requiere una interfaz para permitir una dirección MAC específica y otras 10 direcciones MAC dinámicas, configure manualmente la dirección MAC específica, permita la seguridad del puerto y permita que la interfaz aprenda un máximo de 10 direcciones MAC dinámicas. Esta dirección MAC estática no ocupa el recurso de especificación de las direcciones MAC dinámicas.

1.4.5 Un cliente DHCP no puede obtener una dirección IP de un DHCP Server que tenga direcciones IP inactivas

Descripción del problema

En la Figura 1-7, hay seis PC en la red. Los cinco anteriores pueden obtener una dirección IP, pero PC6 no puede. Hay direcciones IP inactivas en el pool de direcciones IP globales del servidor DHCP

Topología de Red

Figura 1-7Diagrama de Red
http://forum.huawei.com/huaweiconnect/data/attachment/forum/201610/25/20161025160357579007.png

Procedimiento para resolver el problema

  1. Verifique el segmento de red donde reside PC6. PC6 se conecta al servidor DHCP a través de GE 0/0 / 1 que corresponde a VLANIF100.

    [SwitchB]interface GigabitEthernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/1
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    [SwitchB-GigabitEthernet0/0/1]quit

    [SwitchB]interface Vlanif 100
    [SwitchB-Vlanif100]display this
    #
    interface Vlanif100
     ip address 192.168.10.241 255.255.255.248  //The gateway IP address is 192.168.10.241/29.
    dhcp select global
    #

  2. La salida del comando en el paso 1 muestra que PC6 se encuentra en el segmento de red de 192.168.10.240/29 Dado que la máscara de subred es 29, el número de direcciones IP disponibles en este segmento de red es de 5 (23 -3 = 5). La razón para restar 3 es que la dirección de red, la dirección de difusión y la dirección de gateway de red no están disponibles). Por lo tanto, los antiguos cinco PC pueden obtener una dirección IP, pero PC6 no puede.

  3. Ejecute el comandodisplay ip poolen el servidor DHCP para verificar la información de su pool de direcciones IP. La salida de comandos muestra que el servidor tiene direcciones IP inactivas. Sin embargo, debido a que la dirección IP de la puerta de enlace (GE 0/0 / 1 de PC6 tiene una pequeña máscara de subred, PC6 no puede obtener una dirección IP.

    [SwitchB]display ip pool
      -----------------------------------------------------------------------
      Pool-name      : shuai
      Pool-No        : 0
      Position       : Local           Status           : Unlocked
      Gateway-0      : 192.168.10.241
     Mask           :255.255.255.240  //The network segment of the DHCP server's address pool is 192.168.10.240/28.
      VPN instance   : --
     
     
      IP address Statistic
        Total       :13    
        Used        :5         Idle        :8     
        Expired     :0          Conflict    :0          Disable   :0

  4. Configure la dirección IP de GE 0/0 / 1 como 192.168.10.241/28. PC6 puede obtener una dirección IP desde el servidor DHCP.

Problema Raíz.

PC6 reside en el segmento de red de 192.168.10.240/29 que proporciona sólo cinco direcciones IP disponibles de acuerdo con la máscara de subred. Como resultado, el PC6 no puede obtener una dirección IP.

Solución

Configure la máscara de subred de la dirección IP de VLANIF 100 como 28. Esto es lo mismo que la máscara de subred del pool de direcciones global del servidor DHCP.

    1. Preguntas frecuentes

1.5.1 ¿Por qué los clientes DHCP no pueden obtener direcciones IP después de configurar el snooping de DHCP?

No configurar ninguna interfaz de confianza

Después de habilitar el snooping de DHCP, todas las interfaces del dispositivo de snooping DHCP no son confiables por defecto. Para habilitar un servidor DHCP para aceptar mensajes DHCP Discover de clientes DHCP, ejecute el comandodhcp snooping trusteden el dispositivo de snooping DHCP para configurar la interfaz que se conecta al servidor DHCP como interfaz de confianza. Estos clientes pueden obtener direcciones IP desde el servidor DHCP.

Configuración de interfaz de confianza incorrecta

La interfaz de confianza configurada no es la que se conecta al servidor DHCP.

1.5.2 ¿Puede la interfaz VLANIF para un Super VLAN tener habilitada la función del servidor DHCP?

Sí. La interfaz VLANIF para un super VLAN puede tener la función del servidor DHCP activada en las versiones posteriores de V100R006.

1.5.3 ¿Pueden los dispositivos de servicio no DHCP tener habilitado DHCP?

No. La razón es la siguiente:

  1. Los dispositivos de servicio Non-DHCP que tienen habilitado DHCP envían sus mensajes DHCP recibidos a sus CPU para su procesamiento.

  1. Sí muchos usuarios se conectan simultáneamente o por otras razones, como un bucle de red, la red se verá abrumado con los mensajes DHCP. Los mensajes DHCP que superan la capacidad CPCAR del dispositivo se descartan. Como resultado, algunos o muchos clientes DHCP no pueden obtener direcciones IP.

1.5.4 ¿Se puede configurar NAT en un servidor DHCP Relay Agent y un servidor DHCP?

No

1.5.5 ¿Se puede implementar un dispositivo Snooping DHCP en el Uplink de un DHCP Relay Agent?

Sí, pero debe ejecutar elundo dhcp snooping check dhcp-giaddr enablepara deshabilitar el dispositivo de snooping DHCP para verificar si el campoGIADDRen los mensajes DHCP es 0 Si el dispositivo de snooping DHCP está habilitado para verificar el campoGIADDR, descarta cualquier mensaje DHCP recibido cuyo campoGIADDRno sea 0. Esto es lo que sucede cuando el dispositivo de snooping DHCP se despliega en el uplink del agente de retransmisión DHCP, porque el agente de relé llena el campoGIADDRcon la dirección de gateway de usuario. Se recomienda configurar el snooping de DHCP en un dispositivo de acceso 2 de capa.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje