【2022争霸赛*干货满满】AF路由部署且启用DHCP场景下的用户断网故障处理

一、环境介绍：

客户规模不大上网用户在50人左右，交换机均使用二层部署未启用VLAN划分，终端的IP地址由编辑防火墙设备进行动态分配，目前客户反馈时常会出现上不去网的现象怀疑防火墙设备出现异常，需要协助排查。

二、现场网络拓扑：

三、故障分析判断：

经过与客户沟通，发现上网异常的终端获取到的IP地址与AF设备的DHCP地址池并不属于一个网段。且了解到现场环境中每个办公室使用无线网络都是通过私接路由器的方式实现。故怀疑是同一局域网内同时存在1个以上的DHCP服务器设备导致部分终端获取IP地址异常导致无法正常上网。

四、故障根因：

经过确认该故障是由于有个房间的路由器将接口插错导致，也就是本该插在WAN口的网线被插入了LAN口，由于LAN口带DHCP功能，所以就形成了一个仿冒DHCP的服务器，导致与防火墙的DHCP存在冲突，所以用户获取不到正确的IP地址。

五、解决方案：

将所以的接入交换机都开启dhcp snooping 功能 只信任来自上行接口的dhcp数据包，其他的视为非法进行丢弃。

[sw1]dhcp enable        #开启DHCP服务

[sw1]dhcp snooping enable        #开启dhcp snooping服务

[sw1-GigabitEthernet0/0/1]dhcp snooping trusted    #开启端口信任，只有这个端口分配的IP地址才会接受
六、注意事项：服务器通常采用固定IP的形式上网，如有终端在同一网段内，防火墙在配置DHCP地址池时需要将其IP进行排除或者配置保留IP

七、商机：

1、可引导客户采购AC设备，管控路由私接的问题，同时也可对上网行为进行审计管控2、可引导客户将无线路由器 变更为无线AC+无线AP的方案

专家点评：感谢楼主分享！文章介绍了一起上架AF后部分用户断网的单点排障案例，很实用，期待楼主带来更多有价值的案例分享

图文并茂 步骤清晰  学习一下

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

解决方案：
将所以的接入交换机都开启dhcp snooping 功能 只信任来自上行接口的dhcp数据包，其他的视为非法进行丢弃。
[sw1]dhcp enable        #开启DHCP服务
[sw1]dhcp snooping enable        #开启dhcp snooping服务
[sw1-GigabitEthernet0/0/1]dhcp snooping trusted    #开启端口信任，只有这个端口分配的IP地址才会接受
学习了

感谢分享

感谢分享