■

近期某公司頻繁出現(xiàn)視頻點(diǎn)播獲取到192.168.*.*非法地址且使用電腦能夠上網(wǎng)的情況。接到報(bào)修后，我們首先安排維修人員在終端使用arp-a查到用戶獲取的網(wǎng)關(guān)的MAC地址為d0c7.c0a0.e415，在BRAS上使用show subscriber user-mac d0c7.c0a0.e415查到該用戶的賬號(hào)，與EBOSS上用戶對(duì)應(yīng)，最后找出了該用戶，經(jīng)電話詢問(wèn)，該用戶將路由器的WAN口接入了EOC終端的第一口，LAN口接入了EOC終端的第二口。這樣問(wèn)題就比較好理解了，由于點(diǎn)播業(yè)務(wù)都處于同一VLAN下，其他視頻點(diǎn)播用戶通過(guò)EOC終端的第二口獲取到該路由器分配的IP地址，這樣即可通過(guò)該路由器的WAN口訪問(wèn)互聯(lián)網(wǎng)了。

對(duì)于這種路由器接法，不只一處，如何才能避免某一個(gè)路由器接錯(cuò)而不影響其他終端，我們的處理方法是在最靠近終端的設(shè)備上開啟DHCP Snooping（DHCP監(jiān)聽(tīng)）功能，雖然EOC頭端也具有DHCP Snooping功能，但效果不佳，最后我們選擇在OLT上開啟該項(xiàng) 功 能。DHCP Snooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。當(dāng)OLT開啟了 DHCP Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽(tīng)，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣，即可以完成OLT對(duì)假冒DHCP Server的屏蔽作用，又可確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

我們現(xiàn)網(wǎng)大部分的OLT是瑞斯康達(dá)和中興的，默認(rèn)情況下PON口已經(jīng)設(shè)置成非信任模式，就是說(shuō)不允許用戶從PON下的DHCP服務(wù)器獲取IP地址，但是全局模式下需要打開DHCP監(jiān)聽(tīng)功能，當(dāng)全局DHCP Snooping啟動(dòng)后，端口DHCP Snooping才會(huì)生效。

設(shè)置方法如下：

這樣操作完成后，故障排除，可以獲取到正常的視頻點(diǎn)播DHCP服務(wù)器分配的IP地址。DHCP服務(wù)器可以為客戶端自動(dòng)分配IP地址、掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了網(wǎng)絡(luò)配置，提高了管理效率。但在DHCP服務(wù)的管理上存在DHCP Server的冒充及DHCP Server的DOS攻擊等現(xiàn)象。而且隨著電子產(chǎn)品的多樣化，無(wú)線路由器也成了客戶終端所必備的設(shè)備，但大家對(duì)于網(wǎng)絡(luò)知識(shí)的熟知度不同，勢(shì)必會(huì)有接錯(cuò)的現(xiàn)象，路由器一旦接錯(cuò)就會(huì)充當(dāng)DHCP Serve的角色，為用戶分配非法地址。做為網(wǎng)絡(luò)運(yùn)營(yíng)商我們也不可能保證每個(gè)用戶都能正確使用路由器，只能從上層設(shè)備上進(jìn)行限制或者網(wǎng)絡(luò)優(yōu)化，而且DHCP Snooping會(huì)占用大量的CPU資源，在網(wǎng)內(nèi)我們就發(fā)現(xiàn)有些OLT會(huì)出現(xiàn)丟包現(xiàn)象，最根本的解決辦法還是對(duì)用戶使用的VLAN進(jìn)行細(xì)分，使用PUPSPV的方式，目前這項(xiàng)工作隨著縣區(qū)BRAS的部署正在同步進(jìn)行。