如拓撲,某業務整個網路劃分在乙個vlan之下,入網的終端裝置要接收來自dhcp伺服器的ip指派,業務正常,客戶開心,一切都顯得祥和安靜;
忽然有一天,使用者的乙個動作打破了一切。。。他把終端的網線無情的插入到了路由的lan口,如此,路由器本身的dhcp發揮作用,混進了這個vlan。自此,這個vlan下廣播域之內便有了兩台dhcp伺服器,災難發生了。。。
怎麼辦???
怎麼辦!!!
是偶然還是必然?
盒子裡傳來了乙個聲音:用dhcp snooping trust吧,它將解決一切你目前面臨的問題。
於是,我開啟了它,暴風結束了dhcp
snooping
信任功能
dhcp
snooping
的信任功能,能夠保證客戶端從合法的伺服器獲取ip(
internet
protocol
)位址。如圖1
所示,網路中如果存在私自架設的
dhcp
server
仿冒者,則可能導致
dhcp
客戶端獲取錯誤的
ip位址和網路配置引數,無法正常通訊。
dhcp
snooping
信任功能可以控制
dhcp
伺服器應答報文的**,以防止網路中可能存在的
dhcp
server
仿冒者為
dhcp
客戶端分配
ip位址及其他配置資訊。
dhcp
snooping
信任功能將介面分為信任介面和非信任介面:
信任介面正常接收
dhcp
伺服器響應的
dhcp
ack、
dhcp
nak和
dhcp
offer
報文。另外,裝置只會將
dhcp
客戶端的
dhcp
請求報文通過信任介面傳送給合法的
dhcp
伺服器。
非信任介面在接收到
dhcp
伺服器響應的
dhcp
ack、
dhcp
nak和
dhcp
offer
報文後,丟棄該報文。
但,有誰又能想到,這個盒子的名字叫做潘多拉。。。
上午還歲月靜好,
下午卻是狂風暴雨。
這一天,還是來了
中端機型sw2和3下新接入的裝置沒有辦法再獲取到ip了,怎麼等都不來。
重啟了交換機能好兩三天,隨後濤聲依舊,
貌似是到達了一定數量,就無法再接入新裝置。但sw1下的裝置卻是沒受到影響。
這又是為什麼。
偶然間,我發現了乙個數字:
dhcp dynamic bind-table total count:1024
直覺告訴我,這個必定個異數。
於是,這一天,我才知道,dhcps nooping 是有動態繫結表的,而且上限是1024
一旦裝置接入數量超過預設的數值,就無法在獲取到ip了
但為什麼sw1下的裝置卻沒事?
查了下,原來這個機型要高階些,上限是3萬+
技術客服說:到達這個上限,只能更換更高階別的裝置。
只能說,如果是個銷售,他是合格的。
思考了很多方案,
從埠隔離
到mac匹配
都有一絲不盡人意。
但似乎,acl有我想要的一切
抓包,分析特徵…..acl
,access
control
list
。是由若干
permit
或deny
語句組成的一系列規則的列表,可以作為基礎配置被應用模組引用。
acl主要應用在
qos、路由過濾、使用者接入等領域。
限制網路資料流以提高網路效能。例如,公司網路中配置
acl提供流量控制。例如,如果網路狀況允許,用
acl限制路由更新的傳輸,可以節約頻寬。
提供基本的網路訪問安全。例如,只允許特定使用者訪問人力資源網路。
兩個網段不衝突……
分析特徵字段…業務資料網段:b.
b.0.0流氓
dhcp
通用網段:c.
c.0.0
資料生成…dhcp
是udp
報文
配置命令…acl
name
block_fake_dhcpserver
3000
rule
deny
udpsourcec.
c.0.00.0
.255.255
qtraffic
-filter
vlan
xxinbound
aclname
block_fake_dhcpserver
久違的美好…
orto be continued…?
dchp原理
acl(擴充套件)
dchp snooping trust
記一次DHCP排錯
如拓撲,某業務整個網路劃分在乙個vlan之下,入網的終端裝置要接收來自dhcp伺服器的ip指派,業務正常,客戶開心,一切都顯得祥和安靜 忽然有一天,使用者的乙個動作打破了一切。他把終端的網線無情的插入到了路由的lan口,如此,路由器本身的dhcp發揮作用,混進了這個vlan。自此,這個vlan下廣播...
記一次python mem排錯
docker run 乙個容器 多個測試樣例 結果顯示 有個測試樣例被 killed docker stats 檢視 發現記憶體接近90g 而我實際執行時 只有 1g的記憶體。所以被killed。root a34h05007.cloud.h05.amtest87 root docker stats ...
記一次tomcat部署排錯經歷(jar衝突)
18 feb 2022 08 32 46.836 severe localhost startstop 1 org.apache.catalina.core.standardcontext.startinternal context ospflowcenter startup failed due ...