#原创分享# AF打开DHCP功能后获取不到地址的排查

今天接到客户求助：在AF防火墙上配了DHCP，底下的终端却获取不到地址。随即进行一系列排查


【排错步骤】

1. 首先排查的是链路是否畅通。客户端先设置一个固定IP，访问DHCP服务器（这里是防火墙），看是否能通信

（PS：这里给电脑终端配了192.168.1.2，ping防火墙的LAN口地址192.168.1.1 发现是通的，证明链路没问题）


2. 登陆进防火墙，检查了一下DHCP的配置，也并没有发现问题





3. 检查一下终端，通过在终端电脑上安装抓包软件，看终端是否有发包

（PS：从中可以看到客户端有发DHCP发现包，但没收到任何服务器的回应，排除客户端的问题）


3. 在防火墙上抓包，看是否有收到客户端发出的广播包并回应

（PS：通过在防火墙内网接口上打开抓包取证功能，但没有抓到任何DHCP包。证明客户端发的包在半路给拒绝掉，初步怀疑是中间设备有问题）

4. 经过与客户商量，决定跳开交换机，直接把电脑接防火墙，测试防火墙DHCP是否正常

（PS：再一次在防火墙的内网口抓包，这次能抓到包了，并且DHCP交互正常，排除防火墙问题）

5. 既然客户端与防火墙都没有问题。只能怀疑是交换机了。通过登录到交换机，发现竟然开了dhcp-snooping功能，并且对应的上联口没设置成信任接口（当交换机dhcp-snooping功能打开时，默认所有的端口都是非信任状态，需要单独把面向dhcp服务器的端口放通）



6. 把交换机与防火墙的接口设置成信任口，DHCP获取正常了

为楼主点赞，希望楼主多多分享干货！

您好，感谢您参与社区原创分享计划5，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

很有用  遇到就知道了

排障步骤很详细，学习了！

细节来的，学到了

简单明了，写的很有价值

写的太精彩了

不太会夸人，只能说写的好

步骤非常详细，某为交换机