环境:使用了三层交换机(华为S5700),划分多个VLAN,并通过DHCP中继功能让位于其中某个VLAN的DHCP服务器分配IP地址。
故障表现如下:
1、部分设备可能没办法获取IP地址;
2、已分配IP地址的设备可以正常上网和访问其它VLAN;
3、无法获取IP地址的设备,通过手动分配IP地址,可以与本VLAN内同一网段的设备通讯,但无法和其它VLAN通讯,更没办法上网;
4、怀疑是ARP攻击,但抓包后没有发现异常。
虽然抓包没发现有ARP攻击的情况,但出现以上问题也不禁让人怀疑是与默认网关相关的ARP冲突问题,但又没办法找出准确故障点,只能确定大概的范围,而这个范围内只有摄像头的接入,固件也全部都更新过,应该不存在私建服务的情况,而且交换机也几乎全部都更换过一遍,但这个问题还是会出现。
后来进行了如下的处理,问题才得以缓解:
1、在交换机上开启ARP安全功能;
2、修改交换机广播包的限制策略,改为抑制20%的广播流量;
3、修改生成树模式为MSTP(原为RSTP)。
虽然问题暂时得到缓解,但是这些方法能不能彻底解决这个问题,还需要一段时间的观察。