问

h3c secpath F100防火墙 DHCP异常

DHCP

4小时前提问

0关注
0收藏，61浏览

zhiliao_WL7koL

zhiliao_WL7koL 零段

粉丝：0人关注：0人

问题描述：

长时间开机DHCP服务器异常，部分电脑不能获取到IP地址，重启f100防火墙后，DHCP正常，但是电脑再重启后需要2-5分钟才能获取到IP地址

组网及组网描述：

h3c secpath F100 序列号：219801A3EP9244Q000DJ

4 个回答

按时间按赞数

什么都不会的网络工程师

什么都不会的网络工程师六段

粉丝：11人关注：0人

摇个人看一下吧。在保也可以找400

暂无评论

有飞不起的鸟

有飞不起的鸟八段

粉丝：17人关注：0人

请通过命令行或Web界面依次执行以下配置。

步骤1：立即定位并隔离攻击源（最紧急）

找到攻击MAC地址：

# 查看当前ARP表，找出哪个MAC地址对应了多个冲突IP（如图片中的192.168.30.xx） display arp | include 192.168.30 # 假设找到攻击者MAC为：000f-e2xx-xxxx
找到此MAC连接的交换机端口：

# 登录到核心交换机（如您提到的S6520X） display mac-address | include 000f-e2xx-xxxx
命令会输出类似：GigabitEthernet1/0/15。这个端口就是攻击源。
立即隔离该端口：

# 在交换机上执行 system-view interface GigabitEthernet 1/0/15 shutdown description "隔离-DHCP攻击源-日期" quit
这是最有效、最快的临时解决方案。隔离后，观察网络是否恢复正常。

步骤2：在交换机上配置核心防护（防止未来攻击）

这是防止问题复发的关键，需在核心交换机（S6520X）上配置。

system-view

# 1. 启用DHCP Snooping（基石功能）
dhcp snooping enable
vlan 1  # 假设您的用户VLAN是1
dhcp snooping enable
quit

# 2. 指定信任端口（连接防火墙和合法服务器的端口）
interface GigabitEthernet 1/0/1  # 假设此口连接防火墙
dhcp snooping trust
quit

# 3. 在接入端口限制DHCP请求速率
interface range GigabitEthernet 1/0/10 to GigabitEthernet 1/0/48  # 用户端口范围
dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate 10  # 每秒最多10个请求，超过则丢弃
quit

# 4. 启用IP源防护(IPSG) - 防止IP欺骗
dhcp snooping binding record  # 生成绑定表
user-bind enable

interface range GigabitEthernet 1/0/10 to GigabitEthernet 1/0/48
ip source check user-bind enable
quit

步骤3：在H3C F100防火墙上优化DHCP配置

登录防火墙，进行如下调整。

system-view

# 1. 进入DHCP地址池视图
dhcp server ip-pool vlan1  # 或您的地址池名称
network 192.168.30.0 mask 255.255.255.0
gateway-list 192.168.30.1

# 2. 缩短租约时间（临时措施，加速地址回收）
lease day 0 hour 2 minute 0  # 从默认的1天改为2小时

# 3. 强烈建议：为关键服务器和打印机配置静态绑定
static-bind ip-address 192.168.30.10 hardware-address 000f-e2xx-yyyy

# 4. 退出地址池视图
quit

# 5. （可选但推荐）全局限制DHCP请求处理速率
dhcp server rate-limit 100  # 每秒处理最多100个请求

步骤4：在防火墙上配置安全策略，加强监控

创建安全策略，记录异常流量：

security-policy ip rule name Monitor_DHCP_Attack source-zone trust destination-zone local destination-ip 192.168.30.1 32 # 防火墙自身地址 service dhcp action permit logging enable # 关键！开启日志记录 counting enable # 开启计数 quit
启用日志监控：

# 开启DHCP调试日志（故障排查时开启，平时可关闭） debugging dhcp server packet # 查看实时日志 terminal monitor terminal logging

三、最终验证与长效建议

验证攻击是否停止：
- 隔离攻击端口后，等待几分钟。
- 在防火墙上执行 display dhcp server conflict all，查看是否还有新的冲突产生。
- 测试正常电脑能否立即获取IP。
恢复隔离端口（如需）：
- 如果必须恢复隔离的端口，请先在该端口下接入的设备上杀毒、查杀恶意软件。
- 然后在交换机端口上启用端口安全：
  
  interface GigabitEthernet 1/0/15 undo shutdown port-security enable port-security max-mac-num 2 # 该端口最多学习2个MAC地址 port-security protect-action block # 超过则阻塞 quit