文档编号:2013.7.25--非法dhcp

故障现象

从酒店角度分析:酒店用户,客房经常有人自带路由器上网,通常内网会存在多个dhcp服务器,内网用户自动获取ip地址,由于dhcp发的是广播包,时常会获取到其他路由器上的地址,造成无法上网。

从客人角度分析:但从客人角度讲,一般自带的小路由,因为含有无线功能,这样便于客人在房间内不受空间限制地使用手机和笔记本.有存在的必要性。

 

解决思路:

以顾客为上帝理念出发,不限制客户带不路由。但为防止小路由对内网的扰乱,可将酒店官方dhcp受信到接入层交换机,以抑制客人的小路由器的dhcp.

实现方法:

根据本酒店规模可将核心层和会聚层可视为一层,核心设备是s9303,接入层是s2700,接入层为智能交换机,可管理到port.所以操作如下:

在s9303交换上,把DHCP-SNOOPING功能开启,这样交换机可以自动监视DHCP的请求和应答信息,并记录这些信息来自的以太端口和IP,然后将交换机的上联口和下联口都设置为信任端口,这样交换机可以接收到上级交换机传下来的DHCP信息,也可以将这个DHCP信息传递到下级交换机。但是到终端电脑的其他端口都设置为非信任端口。(注意,默认所有的交换机端口都是信任端口)
相关命令为DHCP-SNOOPING功能开启:#dhcp-snooping
dhcp-snooping trust  设置为信任端口
undo dhcp-snoop trust 设置为非信任端口

 

怎样找出那个非法源客人房间?
可以查看DHCP-SNOOPING记录的表
dis dhcp-snooping 
找到非法的DHCP源IP地址条目后,将该条目相应的port所对应的房间即为干扰源客人房间。