案例簡介：

達坂城某某110kV變電站發(fā)出DHCP告警

作者：劉樂 新疆風能有限責任公司

注：本文系作者投稿。

相關(guān)閱讀：淺談風電場安全生產(chǎn)標準化建立方法

1、現(xiàn)象、問題描述

達坂城某某110kV變電站省調(diào)二區(qū)縱向加密裝置攔截到DHCP異常告警，告警主要內(nèi)容如下：

告警描述：存在大量DHCP(動態(tài)主機配置協(xié)議)服務訪問:[0.0.0.0]發(fā)出[2559]次DHCP請求數(shù)據(jù)(目標地址[255.255.255.255]共1個)

原始告警：0.0.0.0 68 255.255.255.255 67

告警內(nèi)容分析：

1.由于是省調(diào)二區(qū)縱向加密裝置攔截到的異常告警，可初步將排查范圍限制在二區(qū)之內(nèi)（但也不排除其他分區(qū)DHCP數(shù)據(jù)竄入的可能）。

2.告警顯示的源IP和目的IP均為廣播地址，不利于查找告警源設備。為進一步查找告警源設備，需對二區(qū)設備組網(wǎng)進行查看。

3.廣播數(shù)據(jù)包使用了67、68端口，即在后期的處理過程中可對67、68端口的數(shù)據(jù)進行針對性的過濾。

2、處理過程

（1）查看省調(diào)二區(qū)組網(wǎng)結(jié)構(gòu)及設備。組網(wǎng)結(jié)構(gòu)無異常。對相關(guān)設備的DHCP服務進行了關(guān)閉，具體方法如下：

Window系統(tǒng)

1）計算機—管理—服務—DHCP Clent

2）打開DHCP Clent 屬性

3）先停止然后禁用服務

Linux系統(tǒng)（這里以網(wǎng)卡0為例，其他網(wǎng)卡可類推）

1）打開shell輸入：cd/etc/sysconfig/network-scripts/

2）輸入上述命令進入網(wǎng)卡配置文件夾后找到：

ifcfg-eth0,ifcfg-eth1,ifcfg-eth2,ifcfg-eth3等網(wǎng)卡信息

3）輸入cat ifg-eth0查看網(wǎng)卡0的信息：BOOTPROTO=none就是網(wǎng)卡沒有使用DHCP，BOOTPROTO=dhcp就是啟用DHCP自動獲取地址功能

4）在當前文件夾下輸入 vi ifcfg-eth0 命令編輯網(wǎng)卡0文件。

5）在當前文件夾峽更改網(wǎng)口配置文件，將DHCP禁用：看到以下內(nèi)容后把光標移動到BOOTPROTO=dhcp處，按i鍵進入Vi編輯模式，退格鍵Backspace 刪除DHCP，修改為BOOTPROTO=none或BOOTPROTO=static,編輯完成后按Esc鍵退出編輯模式，同時按下Shift和:后，再輸入w q（注意w后面有空格）進行保存并退出（輸入q！為不保存退出）

6）輸入Service network restart命令重啟服務功能。更改完成。

（2）進行省調(diào)二區(qū)交換機進行ACL包過濾配置，具體配置方法如下：

#進入系統(tǒng):

<D-XJ-WLMQ-SLTFDC-SD-S1>sys

#建立名為3000的ACL包過濾規(guī)則:

[D-XJ-WLMQ-SLTFDC-SD-S1]acl number 3000

#在ACL3000的名下建立包過濾條件。這里是過濾UDP協(xié)議下的67、68邏輯端口:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 45 deny udp destination-port eq 67

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 50 deny udp destination-port eq 68

#顯示ACL3000的配置情況:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]dis th

#顯示內(nèi)容如下:

acl number 3000

rule 45 deny udp destination-port eq bootps

rule 50 deny udp destination-port eq bootpc

#進入24號物理端口下。根據(jù)需要過濾的端口自行更改:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]interface ethernet 1/0/24

#調(diào)用ALC3000的配置。對交換機而言，進行輸出過濾用outbound，輸入過濾用inbound:

[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]packet-filter 3000 outbound

#查看最終配置情況。出現(xiàn) packet-filter 3000 outbound說明配置成功:

[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]dis th

interface Ethernet1/0/24

port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 901 904

packet-filter 3000 outbound

mirroring-group 1 mirroring-port both

#

Return

3、經(jīng)驗總結(jié)、預防措施和規(guī)范建議

（1）處理異常告警首先要從告警日志入手逐一分析，不能盲目處理。通過鎖定告警分區(qū)縮小查找范圍，根據(jù)告警內(nèi)容、IP及端口的具體情況選擇不同的方法。

（2）總結(jié)的告警處理方法要根據(jù)設備的屬性特點、告警內(nèi)容等靈活運用，可根據(jù)實際情況進行修改。

4、DHCP告警處理需要用到的軟、硬件設備