案例简介:
达坂城某某110kV变电站发出DHCP告警
作者:刘乐 新疆风能有限责任公司
注:本文系作者投稿。
相关阅读:浅谈风电场安全生产标准化建立方法
1、现象、问题描述
达坂城某某110kV变电站省调二区纵向加密装置拦截到DHCP异常告警,告警主要内容如下:
告警描述:存在大量DHCP(动态主机配置协议)服务访问:[0.0.0.0]发出[2559]次DHCP请求数据(目标地址[255.255.255.255]共1个)
原始告警:0.0.0.0 68 255.255.255.255 67
告警内容分析:
1.由于是省调二区纵向加密装置拦截到的异常告警,可初步将排查范围限制在二区之内(但也不排除其他分区DHCP数据窜入的可能)。
2.告警显示的源IP和目的IP均为广播地址,不利于查找告警源设备。为进一步查找告警源设备,需对二区设备组网进行查看。
3.广播数据包使用了67、68端口,即在后期的处理过程中可对67、68端口的数据进行针对性的过滤。
2、处理过程
(1)查看省调二区组网结构及设备。组网结构无异常。对相关设备的DHCP服务进行了关闭,具体方法如下:
Window系统
1)计算机—管理—服务—DHCP Clent
2)打开DHCP Clent 属性
3)先停止然后禁用服务
Linux系统(这里以网卡0为例,其他网卡可类推)
1)打开shell输入:cd/etc/sysconfig/network-scripts/
2)输入上述命令进入网卡配置文件夹后找到:
ifcfg-eth0,ifcfg-eth1,ifcfg-eth2,ifcfg-eth3等网卡信息
3)输入cat ifg-eth0查看网卡0的信息:BOOTPROTO=none就是网卡没有使用DHCP,BOOTPROTO=dhcp就是启用DHCP自动获取地址功能
4)在当前文件夹下输入 vi ifcfg-eth0 命令编辑网卡0文件。
5)在当前文件夹峡更改网口配置文件,将DHCP禁用:看到以下内容后把光标移动到BOOTPROTO=dhcp处,按i键进入Vi编辑模式,退格键Backspace 删除DHCP,修改为BOOTPROTO=none或BOOTPROTO=static,编辑完成后按Esc键退出编辑模式,同时按下Shift和:后,再输入w q(注意w后面有空格)进行保存并退出(输入q!为不保存退出)
6)输入Service network restart命令重启服务功能。更改完成。
(2)进行省调二区交换机进行ACL包过滤配置,具体配置方法如下:
#进入系统:
<D-XJ-WLMQ-SLTFDC-SD-S1>sys
#建立名为3000的ACL包过滤规则:
[D-XJ-WLMQ-SLTFDC-SD-S1]acl number 3000
#在ACL3000的名下建立包过滤条件。这里是过滤UDP协议下的67、68逻辑端口:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 45 deny udp destination-port eq 67
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 50 deny udp destination-port eq 68
#显示ACL3000的配置情况:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]dis th
#显示内容如下:
acl number 3000
rule 45 deny udp destination-port eq bootps
rule 50 deny udp destination-port eq bootpc
#进入24号物理端口下。根据需要过滤的端口自行更改:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]interface ethernet 1/0/24
#调用ALC3000的配置。对交换机而言,进行输出过滤用outbound,输入过滤用inbound:
[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]packet-filter 3000 outbound
#查看最终配置情况。出现 packet-filter 3000 outbound说明配置成功:
[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]dis th
interface Ethernet1/0/24
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 901 904
packet-filter 3000 outbound
mirroring-group 1 mirroring-port both
#
Return
3、经验总结、预防措施和规范建议
(1)处理异常告警首先要从告警日志入手逐一分析,不能盲目处理。通过锁定告警分区缩小查找范围,根据告警内容、IP及端口的具体情况选择不同的方法。
(2)总结的告警处理方法要根据设备的属性特点、告警内容等灵活运用,可根据实际情况进行修改。
4、DHCP告警处理需要用到的软、硬件设备
0 条