IPv4與IPv6業(yè)務(wù)-DHCP故障處理手冊-D

1、，IPv4與IPv6業(yè)務(wù)-DHCP故障處理手冊DHCP 故障處理杭州華三通信技術(shù)有限公司第i頁 HYPERLINK / 目 錄 HYPERLINK l _bookmark0 第 1 章 DHCP故障處理 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark2 DHCP服務(wù)器簡介 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 DHCP中繼簡介 HYPERLINK l _bookmark3 4 HYPERLI

2、NK l _bookmark3 DHCP客戶端簡介 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark4 DHCP Snooping簡介 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark4 常見問題 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark4 DHCP服務(wù)器與DHCP客戶端在相同物理網(wǎng)段，DHCP客戶端無法獲取地址 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark5 DHCP客戶端無法通過DHCP中繼獲取地址 HY

3、PERLINK l _bookmark5 6 HYPERLINK l _bookmark6 DHCP客戶端無法通過DHCP Snooping獲取地址 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 其他相關(guān)問題 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 DHCP客戶端沒有獲取到部分服務(wù)器配置的選項 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark7 禁止分配的靜態(tài)綁定地址，仍然參與地址分配 HYPERLINK l _bookmark7 10 HYPE

4、RLINK l _bookmark7 釋放的IP地址沒有放入可分配的IP地址表中 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark7 DHCP服務(wù)器的ping探測時間與配置不相符 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark8 DHCP服務(wù)器的租約已經(jīng)過期，但DHCP中繼的安全表項仍然存在 HYPERLINK l _bookmark8 11 HYPERLINK l _bookmark8 DHCP服務(wù)器靜態(tài)綁定IP地址和客戶端MAC失效 HYPERLINK l _bookmark8 11 HYPERL

5、INK l _bookmark9 DHCP Snooping無法生成表項 HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark9 故障處理過程 HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark9 DHCP服務(wù)器與DHCP客戶端在相同物理網(wǎng)段故障處理過程 HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark10 DHCP客戶端通過DHCP中繼獲取IP地址故障處理過程 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark11

6、DHCP客戶端通過DHCP Snooping獲取IP地址故障處理過程 HYPERLINK l _bookmark11 16 HYPERLINK l _bookmark12 典型案例 HYPERLINK l _bookmark12 18 HYPERLINK l _bookmark12 PC做為DHCP客戶端獲取地址時間較長 HYPERLINK l _bookmark12 18DHCP 故障處理杭州華三通信技術(shù)有限公司第 PAGE 22頁 HYPERLINK / 第1章 DHCP 故障處理簡介DHCP（Dynamic Host Configuration Protocol，動態(tài)主機(jī)配置協(xié)議）采用客

7、戶/服務(wù)器通信模式。由客戶端先向服務(wù)器發(fā)送請求配置信息的報文（包括分配的 IP 地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)等參數(shù)），服務(wù)器根據(jù)策略返回攜帶相應(yīng)配置信息的報文，以實(shí)現(xiàn) IP 地址等信息的動態(tài)配置。請求報文和回應(yīng)報文都采用 UDP 進(jìn)行封裝。DHCP客戶端從DHCP服務(wù)器動態(tài)獲取IP地址，主要通過四個階段進(jìn)行,如 HYPERLINK l _bookmark0 圖 1-1所示。DHCP-DISCOVERDHCP-OFFERDHCP-REQUESTDHCP-ACKDHCP clientDHCP server圖1-1 IP 地址動態(tài)獲取過程發(fā)現(xiàn)階段，即 DHCP 客戶端尋找 DHCP 服務(wù)器的階段?？蛻舳?/p>

8、以廣播方式發(fā)送 DHCP-DISCOVER 報文。提供階段，即 DHCP 服務(wù)器提供 IP 地址的階段。DHCP 服務(wù)器接收到客戶端的 DHCP-DISCOVER 報文后，根據(jù) IP 地址分配的優(yōu)先次序選出一個 IP 地址， 與其他參數(shù)一起通過 DHCP-OFFER 報文發(fā)送給客戶端。選擇階段，即 DHCP 客戶端選擇 IP 地址的階段。如果有多臺 DHCP 服務(wù)器向該客戶端發(fā)來 DHCP-OFFER 報文，客戶端只接受第一個收到的DHCP-OFFER 報文，然后以廣播方式發(fā)送 DHCP-REQUEST 報文，該報文中包含 DHCP 服務(wù)器在 DHCP-OFFER 報文中分配的 IP 地址。確

9、認(rèn)階段，即 DHCP 服務(wù)器確認(rèn) IP 地址的階段。DHCP 服務(wù)器收到 DHCP 客戶端發(fā)來的 DHCP-REQUEST 報文后，只有 DHCP 客戶端選擇的服務(wù)器會進(jìn)行如下操作：如果確認(rèn)將地址分配給該客戶端，則返回 DHCP-ACK 報文；否則返回 DHCP-NAK 報文，表明地址不能分配給該客戶端。DHCP 有如下三種典型組網(wǎng)應(yīng)用：DHCP 客戶端和DHCP 服務(wù)器處于相同的物理網(wǎng)段， DHCP 客戶端可以與DHCP服務(wù)器直接通信。一般包含一臺DHCP服務(wù)器和多臺客戶端，如 HYPERLINK l _bookmark1 圖 1-2 所示。圖1-2 DHCP 典型應(yīng)用一DHCP客戶端和DH

10、CP服務(wù)器處于不同的物理網(wǎng)段，客戶端通過DHCP中繼與服務(wù)器通信，獲取IP地址及其他配置信息，如 HYPERLINK l _bookmark1 圖 1-3所示。Eth1/1 /24Eth1/2 /24Eth1/0 /24Router ARouter BDHCP relay agentDHCP serverDHCP clientDHCP clientDHCP clientDHCP client圖1-3 DHCP 典型應(yīng)用二DHCP客戶端和DHCP服務(wù)器處于相同的物理網(wǎng)段，DHCP客戶端與DHCP服務(wù)器通過DHCP Snooping通信。如 HYPERLINK l _bookmark2 圖 1-4

11、所示。圖1-4 DHCP 典型應(yīng)用三DHCP 服務(wù)器簡介DHCP 地址池DHCP 服務(wù)器通過配置地址池提供可分配的 IP 地址資源。DHCP 服務(wù)器按照如下優(yōu)先次序為客戶端選擇 IP 地址：DHCP 服務(wù)器中與客戶端 MAC 地址或客戶端 ID 靜態(tài)綁定的 IP 地址。DHCP 服務(wù)器記錄的曾經(jīng)分配給客戶端的 IP 地址?？蛻舳税l(fā)送的 DHCP-DISCOVER 報文中 Option 50 字段指定的 IP 地址。選擇合適的地址池，從中順序查找可供分配的 IP 地址，最先找到的 IP 地址。如果未找到可用的 IP 地址，則依次查詢租約過期、曾經(jīng)發(fā)生過沖突的 IP 地址， 如果找到則進(jìn)行分配，否

12、則將不予處理。DHCP 地址池的選擇DHCP 服務(wù)器選擇地址池原則：客戶端與服務(wù)器在同一物理網(wǎng)段時，DHCP 服務(wù)器根據(jù)接收 DHCP 請求報文接口的 IP 地址，選擇包含該 IP 地址的地址范圍最小的地址池?？蛻舳伺c服務(wù)器不在同一物理網(wǎng)段，客戶端通過 DHCP 中繼獲取 IP 地址時， DHCP 服務(wù)器根據(jù) DHCP 請求報文中 giaddr 字段指定的 IP 地址，選擇包含該IP 地址的地址范圍最小的地址池。如果該地址池中沒有可供分配的 IP 地址，則服務(wù)器無法為客戶端分配地址。因此配置地址池網(wǎng)段時應(yīng)該與報文接收接口的 IP 地址或者 giaddr 字段指定的IP 地址一致，否則當(dāng) DHC

13、P 服務(wù)器單播發(fā)送回應(yīng)報文時可能由于沒有路由導(dǎo)致發(fā)送失敗。DHCP 中繼簡介DHCP 中繼轉(zhuǎn)發(fā) DHCP 報文過程DHCP中繼完成DHCP報文的轉(zhuǎn)發(fā)，如 HYPERLINK l _bookmark3 圖 1-5所示。DHCP中繼發(fā)送給DHCP服務(wù)器和DHCP客戶端的報文的源IP地址都是接收到DHCP客戶端請求報文接口的IP地址。圖1-5 DHCP 中繼轉(zhuǎn)發(fā)過程DHCP 中繼支持 Option 82Option 82 記錄了 DHCP 客戶端的位置信息。如果 DHCP 中繼配置 Option 82 功能， 則當(dāng) DHCP 中繼接收到 DHCP 請求報文后，將根據(jù)報文中是否包含 Option 82

14、 以及用戶配置的處理策略及填充格式對報文進(jìn)行相應(yīng)的處理，并將處理后的報文轉(zhuǎn)發(fā)給DHCP 服務(wù)器。如果 DHCP 中繼收到的響應(yīng)報文中帶有 Option 82，則會將 Option 82刪除后再轉(zhuǎn)發(fā)給 DHCP 客戶端。管理員可以利用該選項定位 DHCP 客戶端，實(shí)現(xiàn)對客戶端的安全和計費(fèi)等控制。DHCP 客戶端簡介DHCP 客戶端在配置 ip address dhcp-alloc 后不會立即發(fā)送 DHCP-DISCOVER 報文，而是在 110 秒內(nèi)隨機(jī)發(fā)送。如果沒有收到 DHCP 服務(wù)器的回應(yīng)報文，DHCP 客戶端繼續(xù)發(fā)送請求報文，直到收到 DHCP 服務(wù)器的回應(yīng)。DHCP 客戶端在收到 DH

15、CP-ACK 后會通過發(fā)送免費(fèi) ARP 來檢測 DHCP 服務(wù)器分配的 IP 地址是否已經(jīng)被其他客戶端使用。如果該 IP 地址已經(jīng)被使用，則 DHCP 客戶端發(fā)送 DHCP-DECLINE 報文，然后重新申請。如果 DHCP 客戶端的其他接口配置了與 DHCP 服務(wù)器分配的 IP 地址在相同網(wǎng)段的 IP 地址，則 DHCP 客戶端獲取 IP 地址失敗且不再重新申請。DHCP Snooping 簡介DHCP Snooping 是 DHCP 的一種安全特性，在網(wǎng)絡(luò)中如果有私自架設(shè)的 DHCP 服務(wù)器，則可能導(dǎo)致用戶得到錯誤的 IP 地址。為了使用戶能通過合法的 DHCP 服務(wù)器獲取 IP 地址，D

16、HCP Snooping 安全機(jī)制允許將端口設(shè)置為信任端口和不信任端口：信任端口是與合法的 DHCP 服務(wù)器直接或間接連接的端口。信任端口對接收到的 DHCP 報文正常轉(zhuǎn)發(fā)，從而保證了 DHCP 客戶端獲取正確的 IP 地址。不信任端口是不與合法的 DHCP 服務(wù)器連接的端口。如果從不信任端口接收到 DHCP 服務(wù)器的響應(yīng)報文則會丟棄，從而防止了 DHCP 客戶端獲得錯誤的IP 地址。DHCP Snooping 還有一個重要的功能，就是嗅探用戶的地址申請過程，獲取用戶 IP地址MAC 地址PORTVLAN 的綁定。本文主要關(guān)注由于配置引起的 DHCP 相關(guān)問題，以及某些容易理解錯誤的問題。常見

17、問題DHCP 服務(wù)器與 DHCP 客戶端在相同物理網(wǎng)段，DHCP 客戶端無法獲取地址問題描述如 HYPERLINK l _bookmark1 圖 1-2所示，DHCP客戶端無法通過DHCP獲取IP地址。問題定位在用戶視圖下打開 DHCP 服務(wù)器的 debug 開關(guān)：debugging dhcp server all，根據(jù)具體 debug 信息進(jìn)行定位。debug 信息可能的故障原因沒有收到報文的 debug 信息(1) (2)Failed to get available ip from interfaceip-address mask ip-address.(3) (6)DHCPServer

18、: Lease is exhausted!(3) (6)Sending Message-Type failed!(4)DHCPServer: The number of leases has reached the maximum!(5)可能的故障原因包括：物理鏈路不暢通DHCP 未使能DHCP 服務(wù)器沒有配置地址池通過 display dhcp server tree all 查看地址池配置：是否配置了與接收報文的接口IP 在相同網(wǎng)段的地址池，或者包含了接收報文接口 IP 地址的地址池。DHCP 服務(wù)器地址池網(wǎng)段配置錯誤如果 DHCP 客戶端請求 DHCP 服務(wù)器單播回應(yīng)，則配置的地址池網(wǎng)段

19、必須與接收接口 IP 在相同網(wǎng)段，否則回應(yīng)報文會發(fā)送失敗。租約達(dá)到規(guī)格DHCP 服務(wù)器分配的租約是有規(guī)格限制的（各款產(chǎn)品不同，請參考產(chǎn)品規(guī)格），如果達(dá)到規(guī)格，則 DHCP 服務(wù)器不再分配 IP 地址?？梢酝ㄟ^ display dhcp server ip-in-use all 查看 DHCP 服務(wù)器已經(jīng)分配的租約是否達(dá)到上限。DHCP 服務(wù)器沒有可分配的地址查看 DHCP 服務(wù)器是否有可分配的 IP 地址，依次查看如下表項：通過 display dhcp server free-ip 查看是否存在可分配的地址（與接收報文接口 IP 在相同網(wǎng)段的 IP 地址）；通過display dhcp se

20、rver expired all 查看是否存在與接收報文接口在相同網(wǎng)段的 IP 地址；通過display dhcp server conflict all 查看是否存在與接收報文接口在相同網(wǎng)段的沖突 IP 地址，且沖突時間在 1 小時之前。如果沒有符合以上條件的 IP 地址，DHCP 服務(wù)器無法再分配租約。問題解決重新連接網(wǎng)線；在系統(tǒng)視圖下配置命令 dhcp enable；配置包含或與接收接口 IP 地址在相同網(wǎng)段的地址池；配置與接口 IP 地址網(wǎng)段相同的地址池網(wǎng)段；通過 display dhcp server expired all 查看是否存在過期租約，如果有，通過reset dhcp s

21、erver ip-in-use 命令刪除過期租約；擴(kuò)大配置的地址池網(wǎng)段。DHCP 客戶端無法通過 DHCP 中繼獲取地址問題描述如 HYPERLINK l _bookmark1 圖 1-3所示，DHCP客戶端無法通過DHCP獲取IP地址。問題定位在 DHCP 服務(wù)器的用戶視圖下打開 debug 開關(guān)：debugging dhcp server all，在DHCP 中繼的用戶視圖下打開 debug 開關(guān)：debugging dhcp relay all，根據(jù)具體debug 信息進(jìn)行定位。debug 信息可能的故障原因DHCP 服務(wù)器的 debug 信息中沒有收到報文的 debug 信息(1) (

22、2) (3) (5)DHCP 中繼的 debug 信息中沒有收到報文的 debug 信息(1) (2)DHCP 中繼有如下 debug 信息：The interface does not exist(3)DHCP 中繼有如下 debug 信息：Sending packet failed when processing Message-Typepacket!其中 Message-Type 為 DHCP 請求報文類型(4)DHCP 服務(wù)器有如下 debug 信息：Failed to get available ip from interface ip-address maskip-address.

23、(6) (9)DHCP 服務(wù)器有如下 debug 信息：DHCPServer: Lease is exhausted!(6) (9)DHCPServer: The number of leases has reached the maximum!(8)DHCP 服務(wù)器有如下 debug 信息：Sending Message-Type failed!(10)DHCP 中繼有如下 debug 信息：Sending packet failed when processing Message-Typepacket!其中 Message-Type 為 DHCP 響應(yīng)報文類型(7)可能的故障原因包括：物理

24、鏈路不暢通DHCP 未使能DHCP 中繼接口沒有選擇服務(wù)器組在配置了 DHCP 中繼的接口上通過命令 display this 命令查看，沒有 dhcp relay server-select 的配置信息。DHCP 中繼接口配置的 server-group 中指定的 DHCP 服務(wù)器不存在DHCP 中繼接口配置的 server-group 中指定的 DHCP 服務(wù)器不是與 DHCP 中繼相連的 DHCP 服務(wù)器DHCP 服務(wù)器沒有配置地址池通過 display dhcp server tree all 查看地址池配置：是否配置了與 DHCP 中繼接口 IP 地址在相同網(wǎng)段的地址池，或者包含了

25、DHCP 中繼接口 IP 地址的地址池。DHCP 服務(wù)器地址池網(wǎng)段配置錯誤如果 DHCP 客戶端請求 DHCP 服務(wù)器單播回應(yīng)，則配置的地址池網(wǎng)段必須與 DHCP中繼接口 IP 網(wǎng)段相同，否則回應(yīng)報文會發(fā)送失敗。DHCP 服務(wù)器租約達(dá)到規(guī)格DHCP 服務(wù)器分配的租約是有規(guī)格限制的（各款產(chǎn)品不同，請參考產(chǎn)品規(guī)格），如果達(dá)到規(guī)格，則 DHCP 服務(wù)器不再分配 IP 地址?？梢酝ㄟ^ display dhcp server ip-in-use all 查看 DHCP 服務(wù)器已經(jīng)分配的租約是否達(dá)到上限。DHCP 服務(wù)器沒有可分配的地址查看 DHCP 服務(wù)器是否有可分配的 IP 地址，依次查看如下表項：通

26、過 display dhcp server free-ip 查看是否存在可分配的地址（與接收報文接口 IP 在相同網(wǎng)段的 IP 地址）；通過display dhcp server expired all 查看是否存在與接收報文接口在相同網(wǎng)段的 IP 地址；通過display dhcp server conflict all 查看是否存在與接收報文接口在相同網(wǎng)段的沖突 IP 地址，且沖突時間在 1 小時之前。如果沒有符合以上條件的 IP 地址，DHCP 服務(wù)器無法再分配租約。通過 display ip routing-table 查看在 DHCP 服務(wù)器上是否存在到 DHCP 中繼接口 IP 地

27、址的路由，如果沒有，DHCP 服務(wù)器的回應(yīng)報文無法發(fā)送給 DHCP 中繼。問題解決重新連接網(wǎng)線；在系統(tǒng)視圖下配置命令 dhcp enable；在 DHCP 中繼接口上通過命令 dhcp relay server-select 選擇接口的服務(wù)器組；通過系統(tǒng)視圖下命令 dhcp relay server-group server-group ip ip-address， 配置 ip-address 為存在的 DHCP 服務(wù)器地址；通過系統(tǒng)視圖下命令 dhcp relay server-group server-group ip ip-address， 配置 ip-address 為與 DHCP 中

28、繼相連的服務(wù)器；配置包含或與接收接口 IP 地址在相同網(wǎng)段的地址池；配置與接口 IP 地址網(wǎng)段相同的地址池網(wǎng)段；通過 display dhcp server expired all 查看是否存在過期租約，如果有，通過reset dhcp server ip-in-use 命令刪除過期租約；擴(kuò)大配置的地址池網(wǎng)段；配置路由協(xié)議或者 DHCP 服務(wù)器到 DHCP 中繼接口的靜態(tài)路由。DHCP 客戶端無法通過 DHCP Snooping 獲取地址問題描述如 HYPERLINK l _bookmark2 圖 1-4所示，DHCP客戶端無法通過DHCP獲取IP地址。問題定位檢查如下配置是否正確：參考“ H

29、YPERLINK l _bookmark4 1.2.1 HYPERLINK l _bookmark4 DHCP服務(wù)器與DHCP客戶端在相同物理網(wǎng)段，DHCP客戶端無 HYPERLINK l _bookmark4 法獲取地址”中問題定位的（1）（6），檢查DHCP服務(wù)器配置。檢查 DHCP Snooping 與 DHCP 服務(wù)器 連接的端 口是否配 置了dhcp-snooping trust。如果沒有配置，DHCP Snooping 會丟棄 DHCP 服務(wù)器的回應(yīng)報文。問題解決對于（1）中的情況，請參考“ HYPERLINK l _bookmark4 1.2.1 HYPERLINK l _boo

30、kmark4 DHCP服務(wù)器與DHCP客戶端在相同物理 HYPERLINK l _bookmark4 網(wǎng)段，DHCP客戶端無法獲取地址”中的問題解決；對于（ 2 ），請在 DHCP Snooping 與 DHCP 服務(wù)器連接的端口上配置dhcp-snooping trust 命令。其他相關(guān)問題DHCP 客戶端沒有獲取到部分服務(wù)器配置的選項問題描述DHCP 服務(wù)器地址池中配置了某些選項（比如，配置 option 123 ascii abcdef），但DHCP 客戶端沒有獲取到。問題定位DHCP 服務(wù)器配置了 Option 123，但如果 DHCP 客戶端發(fā)送的請求報文中的請求參數(shù)列表（Optio

31、n 50）沒有包含 Option 123，那么 DHCP 服務(wù)器就不會將配置的 Option填充到回應(yīng)報文中。禁止分配的靜態(tài)綁定地址，仍然參與地址分配問題描述進(jìn)行如下配置：#dhcp server ip-pool 1static-bind ip-address mask static-bind mac-address 0001-0001-0001 expired unlimited#dhcp server forbidden-ip #但 IP 地址 仍然可以分配出去。問題定位靜態(tài)綁定的 IP 地址優(yōu)先級高于禁止分配的 IP 地址，因此，靜態(tài)綁定的地址可以分配出去。刪除靜態(tài)綁定后，該地址被禁止動

32、態(tài)分配。釋放的 IP 地址沒有放入可分配的 IP 地址表中問題描述DHCP 服務(wù)器收到 DHCPRELEASE 報文后，不將釋放的 IP 地址放回到 free-IP 中。問題定位DHCP 服務(wù)器將釋放的地址放在了過期租約中。根據(jù) RFC 2131 建議的“盡量給同一個主機(jī)分配同一個 IP 地址”原則，DHCP 服務(wù)器會盡量保存用戶的租約記錄，只要用戶曾經(jīng)申請使用過地址，DHCP 服務(wù)器就會記錄。當(dāng)用戶申請地址時，DHCP 服務(wù)器會優(yōu)先查找租約記錄進(jìn)行分配，保證用戶在下次再申請的時候可以申請到相同的 IP 地址。DHCP 服務(wù)器的 ping 探測時間與配置不相符問題描述設(shè)置 DHCP 服務(wù)器的

33、ping 功能的 timeout 選項為小于 100ms 的值時，ICMP 發(fā)包的間隔時間還是為 100ms，達(dá)不到 timeout 選項所設(shè)定的值，設(shè)置不生效。問題定位由于目前 DHCP 服務(wù)器使用的定時器的時間精度為 100ms，因此配置的超時時間會根據(jù)定時器精度進(jìn)行調(diào)整，向上調(diào)整為 100ms 的整數(shù)倍。例如，配置的時間為 50ms，則調(diào)整為 100ms；配置的時間為 230ms，則調(diào)整為 300msDHCP 服務(wù)器的租約已經(jīng)過期，但 DHCP 中繼的安全表項仍然存在問題描述當(dāng) DHCP 服務(wù)器的租約過期時，DHCP 中繼上的安全表項仍然存在。問題定位DHCP 中繼的安全表項不會立刻刪除

34、，老化刪除的時間跟配置的老化時間和表項的個數(shù)有關(guān)。假設(shè)現(xiàn)有 N 條有效安全表項，那么第一條有效安全表項被老化的時間(秒) 為：缺省(auto 狀態(tài))情況下如果 60/N 大于等于 0.5，則被老化的時間為：60/N*N*2 + 60/N=120+60/N， 即老化探測報文發(fā)送的時間間隔是 60/N；如果 60/N 小于 0.5，則被老化的時間為：0.5 *N*2 +0.5 =N+0.5，即老化探測報文發(fā)送的時間間隔是 0.5 秒非缺省情況下假設(shè)配置的定時器時間超時間隔為 T，現(xiàn)有 N 條有效安全表項，則第一條有效安全表項被老化的時間為 T*N*2+T，即老化探測報文發(fā)送的時間間隔為 T。DHC

35、P 服務(wù)器靜態(tài)綁定 IP 地址和客戶端 MAC 失效問題描述DHCP 服務(wù)器配置了客戶端 MAC 和 IP 地址的靜態(tài)綁定，但客戶端獲取的 IP 地址不是靜態(tài)綁定的 IP 地址。問題定位DHCP 服務(wù)器的靜態(tài)綁定配置兩種方式：IPMAC 方式：適用于在發(fā)送請求報文時不攜帶 ClientID 選項（Option 61） 的客戶端；IPClientID 方式：適用于在發(fā)送請求報文時攜帶 ClientID 選項（Option 61） 的客戶端。通過命令 display dhcp server ip-in-use ip ip-address 查看租約，其中 ip-address 為客戶端獲取的 IP

36、地址。如果租約中的 Client-identifier/Hardware address 不是MAC，則說明該客戶端需要通過 IPClientID 方式配置靜態(tài)綁定；否則為設(shè)備故障， 請聯(lián)系用服人員。DHCP Snooping 無法生成表項問題描述DHCP 客戶端通 DHCP Snooping 設(shè)備成功獲取到IP 地址，但是在 DHCP Snooping設(shè)備上沒有相應(yīng)的表項。問題定位在某些設(shè)備上配置 DHCP Snooping 之后，是通過下發(fā) ACL 將 DHCP 報文送給 CPU 處理的。如果系統(tǒng)的 ACL 資源不足而導(dǎo)致下發(fā) ACL 失敗。雖然為 DHCP Snooping 的信任端口，

37、但是 DHCP 報文實(shí)際上無法上送 CPU，因而無法創(chuàng)建 DHCP Snooping表項。故障處理過程DHCP 服務(wù)器與 DHCP 客戶端在相同物理網(wǎng)段故障處理過程診斷流程DHCP客戶端無法獲取IP地址（1）物理連接 是否暢通？是 （2）DHCP服務(wù)是否使能？否未解決否是 （3）未解決是否配置了正確的地址池？否是 （4）未解決地址池內(nèi)是否有可用IP地址？否是 （5）未解決租約規(guī)格是是否達(dá)到上限？未解決否尋求技術(shù)支持解決解決解決解決故障排除解決物理連接故障刪除過期的租約增加地址池的范圍配置相應(yīng)的地址池使能DHCP 服務(wù)解決圖1-6 DHCP 服務(wù)器故障診斷流程圖故障處理步驟檢查物理連接是否暢通如

38、 HYPERLINK l _bookmark1 圖 1-2，DHCP服務(wù)器通過接口Ethernet1/0 與DHCP客戶端相連。在客戶端為與服務(wù)器連接的網(wǎng)卡配置IP地址，該IP地址與服務(wù)器端接口Ethernet1/0 的IP地址在同一網(wǎng)段，查看是否可以ping通Ethernet1/0 的IP地址。如果可以ping通，則說明連接暢通，可以排除物理線路故障。也可以在服務(wù)器端打開 DHCP 的調(diào)試開關(guān)，查看是否可以收到客戶端的DHCP-DISCOVER 報文。檢查 DHCP 服務(wù)器是否使能在系統(tǒng)視圖中使用 display current-configuration 命令查看是否使能 DHCP。如果沒

39、有使能，則配置 dhcp enable 使能 DHCP 服務(wù)。檢查 DHCP 服務(wù)器地址池配置執(zhí)行命令 display dhcp server tree all 查看是否有配置全局地址池及地址池的網(wǎng)段。查看配置的網(wǎng)段和接口Ethernet1/0 的IP地址是否在同一個大網(wǎng)段。例如網(wǎng)段的配置是network 24，而Ethernet1/0 的IP地址為 ，顯然不在同一個網(wǎng)段， 那么 HYPERLINK l _bookmark1 圖 1-2直連的組網(wǎng)環(huán)境中客戶端是無法正常獲取IP地址的。如果上面的檢查都沒有問題，請繼續(xù)下面的步驟 3。檢查地址池內(nèi)是否有可用 IP執(zhí)行命令 display dhcp

40、server free-ip 檢查地址池內(nèi)是否存在可用的 IP 地址。如果沒有可用的 IP 地址，執(zhí)行命令 display dhcp server expired all 查看是否有過期的 IP 地址，且 IP 地址與接口地址在同一網(wǎng)段。如果不存在過期 IP 地址，執(zhí)行命令 display dhcp server conflict all，查看是否有沖突的 IP 地址，如果有的話，查看其沖突時間是否已經(jīng)超過 1 小時，只有沖突 IP 在發(fā)生沖突 1 小時以后才可以重新分配使用。執(zhí)行完上面的步驟，如果發(fā)現(xiàn)地址池中的可用 IP 地址、過期 IP 地址和沖突的 IP 地址都不存在，就說明地址池中 I

41、P 地址已經(jīng)用盡。否則，請繼續(xù)步驟 4.檢查地址池的租約是否達(dá)到規(guī)格執(zhí)行命令 display dhcp server ip-in-use all，查看租約是否已經(jīng)達(dá)到規(guī)格，如果已經(jīng)達(dá)到規(guī)格，DHCP 服務(wù)器無法再分配租約。DHCP 客戶端通過 DHCP 中繼獲取 IP 地址故障處理過程診斷流程DHCP客戶端無法獲取IP地址（1）物理連接 是否暢通？是 （2）否解決未解決服務(wù)器/中繼是否使能DHCP服務(wù)？否解決是 （3）未解決DHCP中繼配置是否正確？否解決是 （4） 未解決是否配置了正確的地址池？否解決是 （5）未解決地址池內(nèi)是否有可用IP地址？否解決是 （6）未解決租約規(guī)格是否達(dá)到上限？是解

42、決否 （7）未解決服務(wù)器是否有到中繼的路由？否解決未解決是尋求技術(shù)支持故障排除解決物理連接故障配置路由協(xié)議或靜態(tài)路由刪除過期的租約增加地址池的范圍配置相應(yīng)的地址池修改中繼接口配置使能DHCP 服務(wù)圖1-7 DHCP 中繼組網(wǎng)故障診斷流程圖故障處理步驟檢查物理連接是否通暢如 HYPERLINK l _bookmark1 圖 1-3所示，分別檢查DHCP服務(wù)器與DHCP中繼之間的物理鏈接和DHCP中繼與DHCP客戶端之間的物理鏈接是否通暢。檢查 DHCP 中繼和 DHCP 服務(wù)器是否使能在系統(tǒng)視圖中使用 display current-configuration 命令查看是否使能 DHCP。如果沒

43、有使能，通過命令 dhcp enable 使能 DHCP 服務(wù)。檢查 DHCP 中繼的配置查看是否指定服務(wù)器地址，即檢查 Ethernet1/1 接口上是否配置 dhcp select relay 和 dhcp relay server-select，通過命令 display dhcp relay server-group 查看server-group 中是否包含了 DHCP 服務(wù)器的 IP 地址 。檢查 DHCP 服務(wù)器的配置執(zhí)行 display dhcp server tree all 查看是否有配置全局地址池及地址池分配的網(wǎng)段。查看地址池分配的網(wǎng)段和接口 Ethernet1/0 的 IP

44、 地址網(wǎng)段相同，或者包含了接口的IP 地址網(wǎng)段（建議配置與接口網(wǎng)段相同的地址池可分配網(wǎng)段，確保當(dāng) DHCP 客戶端請求單播回應(yīng)時 DHCP 中繼可以成功發(fā)送報文）。在這個例子中檢查是否配置為network mask 檢查地址池內(nèi)是否有可用 IP執(zhí)行命令 display dhcp server free-ip 檢查地址池內(nèi)是否存在可用的 IP 地址。如果不存在可用的 IP 地址，執(zhí)行命令 display dhcp server expired pool 查看是否存在過期 IP 地址。如果不存在過期 IP 地址，執(zhí)行命令 display dhcp server conflict all，查看是否有

45、沖突的 IP 地址，如果有的話，查看其沖突時間是否已經(jīng)超過 1 小時，只有沖突 IP 在發(fā)生沖突 1 小時以后才可以重新分配使用。執(zhí)行完上面的步驟，如果發(fā)現(xiàn)地址池中的可用 IP 地址、過期 IP 地址和沖突的 IP 地址都不存在，就說明地址池中 IP 地址已經(jīng)用盡。否則請繼續(xù)步驟 4.檢查地址池的租約是否達(dá)到規(guī)格執(zhí)行命令 display dhcp server ip-in-use all，查看租約是否已經(jīng)達(dá)到規(guī)格，如果已經(jīng)達(dá)到規(guī)格，DHCP 服務(wù)器無法再分配租約。檢查中繼和服務(wù)器間是否存在路由從 DHCP 服務(wù)器上 ping 查看是否可以 ping 通。如果不能 ping 通，DHCP 服務(wù)器

46、上執(zhí)行命令 display ip routing-table，查看是否有到對端的路由表項，如果沒有，在服務(wù)器上執(zhí)行命令 ip route-static 24 。如果還是不能 ping 通，請檢查物理線路是否正常。DHCP 客戶端通過 DHCP Snooping 獲取 IP 地址故障處理過程診斷流程DHCP客戶端無法獲取IP地址（1）物理連接 是否暢通？是 （2）DHCP服務(wù)是否使能？否未解決否是 （3）未解決DHCP snooping是否有信任端口？否是 （4） 未解決是否配置了正確的地址池？否是 （5）未解決地址池內(nèi)是否有可用IP地址？否是 （6）未解決租約規(guī)格是否達(dá)到上限？是否未解決尋求技

47、術(shù)支持解決解決解決解決解決故障排除解決物理連接故障刪除過期的租約增加地址池的范圍配置相應(yīng)的地址池配置信任端口使能DHCP 服務(wù)解決圖1-8 DHCP Snooping 組網(wǎng)故障診斷流程圖故障處理步驟檢查物理連接是否暢通如 HYPERLINK l _bookmark2 圖 1-4，DHCP服務(wù)器通過Ethernet1/0 與DHCP客戶端相連。在客戶端為與服務(wù)器連接的網(wǎng)卡上配置IP地址，該IP地址與服務(wù)器端接口Ethernet1/0 的IP地址在同一網(wǎng)段，查看是否可以ping通Ethernet1/0 的IP地址。如果可以ping通，則說明連接暢通，可以排除物理線路故障。也可以在服務(wù)器端打開 DH

48、CP 的調(diào)試開關(guān)，查看是否可以收到客戶端的DHCP-DISCOVER 報文。檢查 DHCP 服務(wù)器是否使能在系統(tǒng)視圖中使用 display current-configuration 命令查看是否使能 DHCP。如果沒有使能，通過命令 dhcp enable 使能 DHCP 服務(wù)。檢查 DHCP Snooping 的配置在系統(tǒng)視圖中使用 display current-configuration 命令查看是否使能了 DHCP Snooping，接口 Ethernet1/1 是否配置了 dhcp-snooping trust。檢查 DHCP 服務(wù)器的配置執(zhí)行命令 dhcp enable 使能 D

49、HCP 服務(wù)。執(zhí)行命令 display dhcp server tree all，查看是否有配置全局地址池及地址池的網(wǎng)段。查看配置的網(wǎng)段和接口Eth1/0 的IP地址是否在同一個大網(wǎng)段。例如網(wǎng)段的配置是network 24，而Eth1/0 的IP地址為 ，顯然不在同一個網(wǎng)段，那么 HYPERLINK l _bookmark2 圖 HYPERLINK l _bookmark2 1-4的組網(wǎng)環(huán)境中客戶端是無法正常獲取IP地址的。如果上面的檢查都沒有問題，請繼續(xù)下面的步驟 4。檢查地址池內(nèi)是否有可用 IP執(zhí)行命令 display dhcp server free-ip 檢查地址池內(nèi)是否存在可用的 I

50、P 地址。如果沒有可用的 IP 地址，執(zhí)行命令 display dhcp server expired all 查看是否有過期的 IP 地址，且 IP 地址與接口在同一網(wǎng)段。如果不存在過期 IP 地址，執(zhí)行命令 display dhcp server conflict all，查看是否有沖突的 IP 地址，如果有的話，查看其沖突時間是否已經(jīng)超過 1 小時，只有沖突 IP 在發(fā)生沖突 1 小時以后才可以重新分配使用。執(zhí)行完上面的步驟，如果發(fā)現(xiàn)地址池中的可用 IP 地址、過期 IP 地址和沖突的 IP 都不存在，就說明地址池中 IP 地址已經(jīng)用盡。否則請繼續(xù)步驟 5.檢查地址池的租約是否達(dá)到規(guī)格執(zhí)

51、行命令 display dhcp server ip-in-use all，查看租約是否已經(jīng)達(dá)到規(guī)格，如果已經(jīng)達(dá)到規(guī)格，DHCP 服務(wù)器無法再分配租約。典型案例PC 做為 DHCP 客戶端獲取地址時間較長組網(wǎng)環(huán)境圖1-9 案例組網(wǎng)圖故障現(xiàn)象以 PC 做為 DHCP 客戶端，通過 DHCP 申請地址，經(jīng)過 1 分鐘左右才能獲取地址。處理過程檢查 DHCP 服務(wù)器配置DHCP 服務(wù)器上的配置如下，不存在問題。#dhcp server ip-pool 1network mask # #interface Ethernet1/0 port link-mode routeip address # #dh

52、cp enable #檢查 DHCP 服務(wù)器上接口 Ethernet1/0 的狀態(tài)與 DHCP 客戶端相連的接口 Ethernet1/0 處于 up 狀態(tài)。server display ip interface brief Ethernet 1/0*down: administratively down (s): spoofingInterfacePhysicalProtocolIP AddressEthernet1/0upup檢查物理連接是否通暢在 PC 上手工配置 IP 地址 ，可以 ping 通 DHCP 服務(wù)器的 IP 地址 。通過調(diào)試信息進(jìn)行定位在用戶視圖下打開 DHCP 服務(wù)器的調(diào)

53、試信息開關(guān) debugging dhcp server all。DHCP 服務(wù)器上打印如下調(diào)試信息： debugging dhcp server all*May 27 13:02:19:494 2007 server DHCPS/7/DHCPS_DEBUG_COMMON:DHCPServer: Receive DHCPDISCOVER from 00e0-e100-0201.*May 27 13:02:19:494 2007 server DHCPS/7/DHCPS_DEBUG_PACKET:Rx, interface Ethernet1/0 Message type: requestHard

54、ware type: 1, Hardware address length: 6 Hops: 0, Transaction ID: 16777216Seconds: 0, Broadcast flag: 0Client IP address: Your IP address: Server IP address: Relay agent IP address: Client hardware address: 00e0-e100-0201Server host naame: Not Configured, Boot file name: Not Configured DHCP message

55、type: DHCP Discover*May 27 13:02:19:494 2007 server DHCPS/7/DHCPS_DEBUG_COMMON:DHCPServer: Assign Free Lease from global pool.*May 27 13:02:20:110 2007 server DHCPS/7/DHCPS_DEBUG_PACKET:Tx, interface Ethernet1/0 Message type: replyHardware type: 1, Hardware address length: 6 Hops: 0, Transaction ID:

56、 16777216Seconds: 0, Broadcast flag: 0Client IP address: Your IP address: Server IP address: Relay agent IP address: Client hardware address: 00e0-e100-0201Server host naame: Not Configured, Boot file name: Not Configured DHCP message type: DHCP Offer*May 27 13:02:20:110 2007 server DHCPS/7/DHCPS_DE

57、BUG_COMMON:DhcpServer: Failed to send DHCPOFFER to MAC= 00e0-e100-0201 .*May 27 13:02:20:110 2007 server DHCPS/7/DHCPS_DEBUG_COMMON:DHCPServer: Sending DHCPOFFER failed!*May 27 13:09:54:228 2007 server DHCPS/7/DHCPS_DEBUG_COMMON:DHCPServer: Receive DHCPDISCOVER from 00e0-e100-0201.*May 27 13:09:54:2

58、28 2007 server DHCPS/7/DHCPS_DEBUG_PACKET:Rx, interface Ethernet1/0 Message type: requestHardware type: 1, Hardware address length: 6 Hops: 0, Transaction ID: 266602672Seconds: 0, Broadcast flag: 1Client IP address: Your IP address: Server IP address: Relay agent IP address: Client hardware address:

59、 00e0-e100-0201Server host naame: Not Configured, Boot file name: Not Configured DHCP message type: DHCP Discover*May 27 13:09:54:228 2007 server DHCPS/7/DHCPS_DEBUG_COMMON:DHCPServer: Assign Free Lease from global pool.*May 27 13:09:54:816 2007 server DHCPS/7/DHCPS_DEBUG_PACKET:Tx, interface Ethern

60、et1/0 Message type: replyHardware type: 1, Hardware address length: 6 Hops: 0, Transaction ID: 266602672Seconds: 0, Broadcast flag: 1Client IP address: Your IP address: Server IP address: Relay agent IP address: Client hardware address: 00e0-e100-0201Server host naame: Not Configured, Boot file name