DHCP常见配置错误有哪些?
客户端从DHCP服务器获取IP地址慢
可能原因一:网络中存在其他DHCP服务器。
定位思路
同网段内如果存在多个DHCP服务器,客户端会接收第一个回应报文的DHCP服务器的消息。
解决办法
在客户端的上行接入设备上配置DHCP Snooping功能,使客户端仅接收信任的DHCP服务器消息,避免从其他DHCP服务器获取IP地址。在设备上配置DHCP Snooping功能时,详细的配置请参见《Huawei AR系列 V200R010 配置指南-安全》 DHCP Snooping配置。
可能原因二:广播流量抑制。
定位思路
检查客户端和DHCP服务器之间链路上是否配置了广播流量抑制。由于DHCP请求报文是广播的,如果网络中广播报文超过了之前配置的阈值,会造成DHCP请求报文被丢弃。
解决办法
根据业务实际情况调整广播流量抑制的阈值,以不影响业务的下限为好。
可能原因三:恶意攻击。
定位思路
执行命令display cpu-defend statistics查看DHCP服务器上送CPU报文的统计信息,发现出现大量DHCP报文被丢弃,且分析报文发现同一时间DHCP报文由同一个MAC地址发出,可以确定该MAC地址为DHCP泛洪攻击源。
解决办法
将此MAC地址列为黑名单,具体配置请参见《Huawei AR系列 V200R010 配置指南-安全-本机防攻击配置》中的“配置CPU防攻击”。
可能原因四:DHCP服务器/中继上使能了STP功能。
定位思路
STP功能缺省处于使能状态,DHCP服务器/中继如果使能了STP功能,可能会造成地址分配较慢。
解决办法
如果确认不需要使能STP功能,可以执行命令undo stp enable去使能STP功能。
补充:有中继情况下,客户端可以获取IP地址但无法连接Internet
有中继情况下,客户端可以获取IP地址但无法连接Internet的定位思路与解决办法
可能原因:客户端没有获取出口网关地址。
定位思路:客户端通过DHCP中继可以获得IP地址,但是不能访问Internet,也不能ping通DHCP服务器。说明设备的DHCP中继和DHCP服务器功能是正常的,可能是客户端没有获取出口网关地址。执行命令display ip pool查看地址池中是否配置了DHCP客户端的出口网关地址。如果显示信息中字段“Gateway-0”显示为-,表示地址池中未配置DHCP客户端的出口网关地址。
解决方法:在DHCP服务器的全局地址池视图下,执行命令gateway-list ip-address &<1-8>,配置DHCP客户端的出口网关地址。