DHCP Snooping配置不当导致用户无法上线
来源:support.huawei.com 编辑:xjh 2025-11-19
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping使得设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。但是若设置不当也会带来无法获取DHCP地址的问题。
故障现象
DHCP Snooping导致用户无法上线可能由以下原因造成:
·连接DHCP Server的网络侧接口未配置为“信任”状态
·用户侧接口下DHCP用户数达到配置的最大值
·DHCP报文过多,超过限速,导致新用户的DHCP报文被丢弃
操作步骤
1.查看接口状态是否配置错误。
a.执行命令display dhcp snooping查看在哪些VLAN下、哪些BD下、哪些接口下使能了DHCP Snooping功能并查看网络侧接口下的“Trusted interface”信息。
“Trusted”是接口信任状态的标识。接口使能了DHCP Snooping功能后,默认为“非信任”状态。对网络侧报文:设备只处理信任接口收到的DHCP Reply报文,非信任接口收到DHCP Reply报文会丢弃;对用户侧报文:设备收到用户的请求报文时,只会向信任接口转发。
b.连接DHCP Server的网络侧接口应该配置为“Trusted”。如果网络侧接口不是信任接口,可在VLAN视图或接口视图下执行命令dhcp snooping trusted,配置接口为信任状态。
2.如果接口信任状态配置正确,则查看DHCP上线用户数是否达到配置的最大值。
a.执行命令display dhcp snooping,查看全局、VLAN、BD以及用户侧接口下是否有“DHCP user max number: XX”信息。
若没有“DHCP user max number: XX”信息,则接口允许接入的最大DHCP用户数取默认值32768个。若配置了该信息则以配置值为准。
如果在系统视图、VLAN视图、接口视图下均配置了该参数,则接口下允许接入的最大DHCP用户为三者中的最小值。
如果在系统视图、BD视图下同时配置了该参数,则BD下允许接入的最大DHCP用户为两者中的较小值。
b.执行命令display user-bind dhcp snooping all,查看当前设备使能DHCP Snooping功能的接口上一共生成多少DHCP用户动态绑定表项。如果表项数已经达到配置的限制值,后续用户无法接入不属于故障。
3.如果DHCP上线用户数未达到配置的限制值,则查看是否DHCP报文过多,超过限速值而被丢弃。
a.执行命令display dhcp snooping查看全局、VLAN、BD以及用户侧接口下是否有“Rate-limit value(pps): xx”信息。
若没有“Rate-limit value(pps): xx”信息,则限速值取默认值100pps。若配置了该信息则以配置值为准。
如果在系统视图、VLAN视图、接口视图下均配置了该参数,则配置的最小值生效。
如果在系统视图、BD视图下同时配置了该参数,则配置的最小值生效。
b.如果DHCP报文的限速值较小,可在系统视图、接口视图、VLAN视图或BD视图下执行命令dhcp snooping rate-limit适当增大限速值。
参考来源:
https://support.huawei.com/enterprise/zh/doc/EDOC1100518783/48668215
https://support.huawei.com/enterprise/zh/doc/EDOC1100518783/48668215