解决无法获取IP地址的故障

解决无法获取IP地址的故障

导语：

无线时代的到来，接入有线网络的无线设备越来越多。风靡网络的黑客行为更是让网络管理员风声鹤唳。网络设备的配置，只有根据网络使用者不断变化的情况，做相应的调整，才能保证网络的正常运行。本文介绍了一次有惊无险的单个Vlan无法获取IP地址故障的处理过程。

网络现状：

三层交换机L3-SW开启DHCP服务，为各vlan提供IP地址分配服务。各接入交换机采用基于端口的vlan，通过Trunk口接入 三层交换机L3-SW。拓扑结构如图 1

故障现象：

客户反映所在网络属于vlanX的客户端，近期经常出现无法通过DHCP服务获得IP地址的故障。虽然执行clear ip dhcp binding * 命令（客户使用的是思科设备）可以暂时缓解，但是过一段时间故障依旧。其他vlan的客户端可以正常获得IP地址。

故障分析：

由于仅仅是vlanX的客户端无法获得地址，基本排除DHCP服务的故障。排查重点放在出现问题的vlanX，可能有三种情况造成无法分配IP地址。 第一种情况：针对DHCP Server的拒绝服务攻击。

vlanX中某主机，对DHCP服务器实施DHCP耗竭攻击，使真实的用户获得不到地址。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过在vlanX启用DHCP监听，交换机能够拦截第二层VLAN域内的所有非正常DHCP报文，从而杜绝DHCP耗竭攻击。

第二种情况：IP 地址冲突太多。

DHCP服务器会将冲突的IP地址，从DHCP地址池移动到DHCP冲突地址表中，造成无IP地址可分配。如果是这种情况只要执行 clear ip dhcp conflict * 命令， 就会将冲突的IP地址归还给地址池。

本文来源：https://www.bwwdw.com/article/r90o.html