■ 山東廣電網(wǎng)絡(luò)有限公司濟(jì)寧分公司 崔冬梅 徐源培

故障現(xiàn)象

單位同事反映，在辦公局域網(wǎng)內(nèi)頻繁出現(xiàn)掉線故障，本地連接設(shè)置為自動獲取IP后會獲取到非法的IP地址，而且Ping辦公網(wǎng)交換機(jī)有丟包現(xiàn)象。

故障排查

首先在本機(jī)上使用arp-a查詢到該網(wǎng)關(guān)的MAC地址是0810-77f8-ca4a，登錄交換機(jī)（格林耐特TiNet S2600-52TS）使用以下命令查看MAC地址學(xué)習(xí)情況：

重復(fù)幾次以上操作，發(fā)現(xiàn)該MAC又在5口上學(xué)習(xí)到了。

故障解決

同一個MAC同時在不同端口學(xué)習(xí)到，說明網(wǎng)絡(luò)中存在環(huán)路，或者ARP攻擊。但是5口與26口都是下掛的傻瓜式交換機(jī)，單純通過MAC地址學(xué)習(xí)很難找到這臺主機(jī)，使用拔線的方式又較繁瑣，我們想到了使用端口隔離的方式來阻止兩個端口的通訊。格林納特交換機(jī)的配置方法如下：

進(jìn)入配置模式

配置這兩個端口允許通訊的端口，其中10口和1/1口是的騰訊通服務(wù)器及信息發(fā)布平臺服務(wù)器使用的端口。

做完以上操作后，在本機(jī)上就無法獲取非法的IP地址了，故障解決。

經(jīng)驗(yàn)總結(jié)

隨著路由器的普及，用戶將路由器反接的現(xiàn)象不可避免，如何避免DHCP廣播，依照我們的經(jīng)驗(yàn)一般有三種方式：一是在端口上使用設(shè)置dhcp snooping，即只允許用戶端接收上聯(lián)口的DHCP服務(wù)，禁止通過其他下聯(lián)口獲取非法IP地址，但對于一些低端交換機(jī)或Hub，不具備該功能。二是本文中介紹的方法，使用端口隔離來限制端口之間的通訊，可以將每個端口都隔離，只允許他們與少數(shù)必須通訊的端口通訊。三是交換機(jī)端口綁定MAC地址，這個方法最復(fù)雜，但最可靠。以上三種方式可以根據(jù)實(shí)際情況靈活選擇，也可以綜合使用。