-
Acl
过滤
dhcp
消
息和
arp
请求消息
1.
2.
3.
< br>问题
..................................
..................................................
..................................................
.....
1
组网
..............................................
..................................................
...........................................
1
解决方法
.
...........................
..................................................
..................................................
...
5
3.1
配置
acl ......................
..................................................
.................................................
5
3.2
根据
layer2
进行过滤
arp
p>
消息
...........................
..................................................
......
8
1.
问题
:
测试环境中发出中有大量
dhcp
消息,浪费
< br>dhcp
服务器的资源。并有设备开启
dhcp
服务器功能,有抢先
回
discover
消息的现象,导致客户机获得错误的
ip
地址
,
无法上网。
p>
测试环境中有大量的
arp
请求消息,增加
了同一
vlan
中其他设备的负担。
2.
组网
:
<
/p>
核心汇聚交换机上开启
dhcp
服务器,
测试环境规划中
没有
dhcp
的
client
设备,
使用静态路由,
和通过
trunck
口与
上级核心汇聚交换机对接,
实现到办公网的
vlan
和路由连接。
1
现象:
查看
dhcp
消息发现有大量的
discover
和
offer
消息同时增
长,但
req
uest
和
ack
却没有对应增长。如
下图:
基于设置默认的租期是一天,
dhcpclient
在
1/2
租期回发
request
消息来续租原来的
ip
地址,
pc
重启以后或者掉线也
会发
requ
est
请求原来使用过的
ip
地址,而
不发
discover
消
息。因此不可
能这么多
discover
消息上来。
因为
discover
消息和
request
消息一般是广播消息,因
2
此在各个
vlan
下抓包广播消息,
发现是从测试环境对应的汇
聚交换机
上发来的。
镜像核心汇聚交换机的对应测试交
换机的端口包,发现,
测试环境中有大量的
dhcp
消息发出,上级
dhcp
服务器不断
的发出
offer
消息响应。并有时响应其他交换机
下的
dhcp
的
discover
p>
消息。
3
下图是正确的获取的值
同时,测试环境中有大量的
arp
请求消息发出。
4
3.
解决方法
:
测试环境分散在多个小组中维护,很难查出是那种设备
发出上面这些消息,为了减轻核心
汇聚交换机的负担,避免
出现各种意想不到的问题,决定采用在核心交换机上对应测
p>
试环境的端口
1/1/8
上采用
acl
解决问题。
3.1
配置
acl
注意:
ingress
指从端口进入设备,
< br>egress
指从端口离开设备。
Acl
规
则号,不同的数字范围代表不同的拦截方法,同一
种协议对应一张表,
< br>可以有
32
个
ruleid
p>
可以添加。
添加过程:
首先添加一条
access-list
,注意对应
acl
的编号范围
进入对应
aclid
中添加规则,
规则
id
是
1-6553
5
中选择一个,
5
同一种协议对应一个
aclid
号码,否则会冲突。<
/p>
一种协议
aclid
< br>对应
32
条拦截规则,规则号为
1-65535
中任
意值。
Acl
的规则语法:
我要拦截端口
1/1/8
端口进入交换机的
dhcp
协议消息,
和从
1/1/8
发出的
dhcp
协议消息,
dhcp
协议对应的端口为
67
和
68
端口,对端口为
67,68
的<
/p>
udp
消息进行拦截。
具体的指令为:
rule 2001 deny udp any 68 any 67
rule 2002 deny udp any 67
any 68
在
2001
中,拒绝任
意源
ip
端口
68
发出的任意
ip
地址,
端口为
p>
67
的
udp
消息
。
在
2002
中,拒绝任意拒绝任意源
ip
端口
6
7
发出的任意
ip
地址,端口为
68
的
udp
消息。
使用规则,注意选择入和出的方向,要看统计数据后面
要加上
stat
的选项。在
< br>ingress
方向,拦截测试环境发出
discove
r
消息,
request
消息等等。<
/p>
Egress
方向,拦截发往测
试环境的
offer
,
ack
< br>消息。
6
-
-
-
-
-
-
-
-
-
上一篇:数据中心防火墙部署
下一篇:h3c端口镜像配置及实例