Acl过滤拦截dhcp消息和arp请求消息

2021年2月12日发(作者：懒惰的英文)

Acl

过滤

dhcp

消 息和

arp

请求消息

1.

2.

3.

< br>问题

.................................. .................................................. .................................................. .....

1

组网

.............................................. .................................................. ...........................................

1

解决方法

.

........................... .................................................. .................................................. ...

5

3.1

配置

acl ...................... .................................................. .................................................

5

3.2

根据

layer2

进行过滤

arp

消息

........................... .................................................. ......

8

1.

问题

： 测试环境中发出中有大量

dhcp

消息，浪费

< br>dhcp

服务器的资源。并有设备开启

dhcp

服务器功能，有抢先

回

discover

消息的现象，导致客户机获得错误的

ip

地址 ，

无法上网。

测试环境中有大量的

arp

请求消息，增加 了同一

vlan

中其他设备的负担。

2.

组网

：

< /p>

核心汇聚交换机上开启

dhcp

服务器， 测试环境规划中

没有

dhcp

的

client

设备，

使用静态路由，

和通过

trunck

口与

上级核心汇聚交换机对接，

实现到办公网的

vlan

和路由连接。

1

现象：

查看

dhcp

消息发现有大量的

discover

和

offer

消息同时增

长，但

req uest

和

ack

却没有对应增长。如 下图：

基于设置默认的租期是一天，

dhcpclient

在

1/2

租期回发

request

消息来续租原来的

ip

地址，

pc

重启以后或者掉线也

会发

requ est

请求原来使用过的

ip

地址，而 不发

discover

消

息。因此不可 能这么多

discover

消息上来。

因为

discover

消息和

request

消息一般是广播消息，因

2

此在各个

vlan

下抓包广播消息，

发现是从测试环境对应的汇

聚交换机 上发来的。

镜像核心汇聚交换机的对应测试交 换机的端口包，发现，

测试环境中有大量的

dhcp

< p>
消息发出，上级

dhcp

服务器不断

的发出

offer

消息响应。并有时响应其他交换机 下的

dhcp

的

discover

消息。

3

下图是正确的获取的值

< p>
同时，测试环境中有大量的

arp

请求消息发出。

4

3.

解决方法

：

测试环境分散在多个小组中维护，很难查出是那种设备

发出上面这些消息，为了减轻核心 汇聚交换机的负担，避免

出现各种意想不到的问题，决定采用在核心交换机上对应测

试环境的端口

1/1/8

上采用

< p>
acl

解决问题。

3.1

配置

acl

注意：

ingress

指从端口进入设备，

< br>egress

指从端口离开设备。

Acl

规 则号，不同的数字范围代表不同的拦截方法，同一

种协议对应一张表，

< br>可以有

32

个

ruleid

可以添加。

添加过程：

首先添加一条

access-list

，注意对应

acl

的编号范围

进入对应

aclid

中添加规则，

< p>
规则

id

是

1-6553 5

中选择一个，

5

同一种协议对应一个

aclid

号码，否则会冲突。< /p>

一种协议

aclid

< br>对应

32

条拦截规则，规则号为

1-65535

中任

意值。

Acl

的规则语法：

我要拦截端口

1/1/8

端口进入交换机的

dhcp

协议消息，

和从

1/1/8

发出的

dhcp

协议消息，

dhcp

协议对应的端口为

67

和

68

端口，对端口为

67,68

的< /p>

udp

消息进行拦截。

具体的指令为：

rule 2001 deny udp any 68 any 67

rule 2002 deny udp any 67 any 68

在

2001

中，拒绝任 意源

ip

端口

68

发出的任意

ip

地址，

端口为

67

的

udp

消息 。

在

2002

中，拒绝任意拒绝任意源

ip

端口

6 7

发出的任意

ip

地址，端口为

68

的

udp

消息。

使用规则，注意选择入和出的方向，要看统计数据后面

要加上

stat

的选项。在

< br>ingress

方向，拦截测试环境发出

discove r

消息，

request

消息等等。< /p>

Egress

方向，拦截发往测

试环境的

offer

，

ack

< br>消息。

6