微信客服
微信公眾號
案例簡介:
達坂城某某110kV變電站發出DHCP告警
作者:劉樂 新疆風能有限責任公司
注:本文系作者投稿。
相關閱讀:淺談風電場安全生產標準化建立方法
1、現象、問題描述
達坂城某某110kV變電站省調二區縱向加密裝置攔截到DHCP異常告警,告警主要內容如下:
告警描述:存在大量DHCP(動態主機配置協議)服務訪問:[0.0.0.0]發出[2559]次DHCP請求數據(目標地址[255.255.255.255]共1個)
原始告警:0.0.0.0 68 255.255.255.255 67
告警內容分析:
1.由于是省調二區縱向加密裝置攔截到的異常告警,可初步將排查范圍限制在二區之內(但也不排除其他分區DHCP數據竄入的可能)。
2.告警顯示的源IP和目的IP均為廣播地址,不利于查找告警源設備。為進一步查找告警源設備,需對二區設備組網進行查看。
3.廣播數據包使用了67、68端口,即在后期的處理過程中可對67、68端口的數據進行針對性的過濾。
2、處理過程
(1)查看省調二區組網結構及設備。組網結構無異常。對相關設備的DHCP服務進行了關閉,具體方法如下:
Window系統
1)計算機—管理—服務—DHCP Clent
2)打開DHCP Clent 屬性
3)先停止然后禁用服務
Linux系統(這里以網卡0為例,其他網卡可類推)
1)打開shell輸入:cd/etc/sysconfig/network-scripts/
2)輸入上述命令進入網卡配置文件夾后找到:
ifcfg-eth0,ifcfg-eth1,ifcfg-eth2,ifcfg-eth3等網卡信息
3)輸入cat ifg-eth0查看網卡0的信息:BOOTPROTO=none就是網卡沒有使用DHCP,BOOTPROTO=dhcp就是啟用DHCP自動獲取地址功能
4)在當前文件夾下輸入 vi ifcfg-eth0 命令編輯網卡0文件。
5)在當前文件夾峽更改網口配置文件,將DHCP禁用:看到以下內容后把光標移動到BOOTPROTO=dhcp處,按i鍵進入Vi編輯模式,退格鍵Backspace 刪除DHCP,修改為BOOTPROTO=none或BOOTPROTO=static,編輯完成后按Esc鍵退出編輯模式,同時按下Shift和:后,再輸入w q(注意w后面有空格)進行保存并退出(輸入q!為不保存退出)
6)輸入Service network restart命令重啟服務功能。更改完成。
(2)進行省調二區交換機進行ACL包過濾配置,具體配置方法如下:
#進入系統:
<D-XJ-WLMQ-SLTFDC-SD-S1>sys
#建立名為3000的ACL包過濾規則:
[D-XJ-WLMQ-SLTFDC-SD-S1]acl number 3000
#在ACL3000的名下建立包過濾條件。這里是過濾UDP協議下的67、68邏輯端口:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 45 deny udp destination-port eq 67
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 50 deny udp destination-port eq 68
#顯示ACL3000的配置情況:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]dis th
#顯示內容如下:
acl number 3000
rule 45 deny udp destination-port eq bootps
rule 50 deny udp destination-port eq bootpc
#進入24號物理端口下。根據需要過濾的端口自行更改:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]interface ethernet 1/0/24
#調用ALC3000的配置。對交換機而言,進行輸出過濾用outbound,輸入過濾用inbound:
[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]packet-filter 3000 outbound
#查看最終配置情況。出現 packet-filter 3000 outbound說明配置成功:
[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]dis th
interface Ethernet1/0/24
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 901 904
packet-filter 3000 outbound
mirroring-group 1 mirroring-port both
#
Return
3、經驗總結、預防措施和規范建議
(1)處理異常告警首先要從告警日志入手逐一分析,不能盲目處理。通過鎖定告警分區縮小查找范圍,根據告警內容、IP及端口的具體情況選擇不同的方法。
(2)總結的告警處理方法要根據設備的屬性特點、告警內容等靈活運用,可根據實際情況進行修改。
4、DHCP告警處理需要用到的軟、硬件設備
達坂城某某110kV變電站發出DHCP告警
作者:劉樂 新疆風能有限責任公司
注:本文系作者投稿。
相關閱讀:淺談風電場安全生產標準化建立方法
1、現象、問題描述
達坂城某某110kV變電站省調二區縱向加密裝置攔截到DHCP異常告警,告警主要內容如下:
告警描述:存在大量DHCP(動態主機配置協議)服務訪問:[0.0.0.0]發出[2559]次DHCP請求數據(目標地址[255.255.255.255]共1個)
原始告警:0.0.0.0 68 255.255.255.255 67
告警內容分析:
1.由于是省調二區縱向加密裝置攔截到的異常告警,可初步將排查范圍限制在二區之內(但也不排除其他分區DHCP數據竄入的可能)。
2.告警顯示的源IP和目的IP均為廣播地址,不利于查找告警源設備。為進一步查找告警源設備,需對二區設備組網進行查看。
3.廣播數據包使用了67、68端口,即在后期的處理過程中可對67、68端口的數據進行針對性的過濾。
2、處理過程
(1)查看省調二區組網結構及設備。組網結構無異常。對相關設備的DHCP服務進行了關閉,具體方法如下:
Window系統
1)計算機—管理—服務—DHCP Clent
2)打開DHCP Clent 屬性
3)先停止然后禁用服務
Linux系統(這里以網卡0為例,其他網卡可類推)
1)打開shell輸入:cd/etc/sysconfig/network-scripts/
2)輸入上述命令進入網卡配置文件夾后找到:
ifcfg-eth0,ifcfg-eth1,ifcfg-eth2,ifcfg-eth3等網卡信息
3)輸入cat ifg-eth0查看網卡0的信息:BOOTPROTO=none就是網卡沒有使用DHCP,BOOTPROTO=dhcp就是啟用DHCP自動獲取地址功能
4)在當前文件夾下輸入 vi ifcfg-eth0 命令編輯網卡0文件。
5)在當前文件夾峽更改網口配置文件,將DHCP禁用:看到以下內容后把光標移動到BOOTPROTO=dhcp處,按i鍵進入Vi編輯模式,退格鍵Backspace 刪除DHCP,修改為BOOTPROTO=none或BOOTPROTO=static,編輯完成后按Esc鍵退出編輯模式,同時按下Shift和:后,再輸入w q(注意w后面有空格)進行保存并退出(輸入q!為不保存退出)
6)輸入Service network restart命令重啟服務功能。更改完成。
(2)進行省調二區交換機進行ACL包過濾配置,具體配置方法如下:
#進入系統:
<D-XJ-WLMQ-SLTFDC-SD-S1>sys
#建立名為3000的ACL包過濾規則:
[D-XJ-WLMQ-SLTFDC-SD-S1]acl number 3000
#在ACL3000的名下建立包過濾條件。這里是過濾UDP協議下的67、68邏輯端口:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 45 deny udp destination-port eq 67
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 50 deny udp destination-port eq 68
#顯示ACL3000的配置情況:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]dis th
#顯示內容如下:
acl number 3000
rule 45 deny udp destination-port eq bootps
rule 50 deny udp destination-port eq bootpc
#進入24號物理端口下。根據需要過濾的端口自行更改:
[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]interface ethernet 1/0/24
#調用ALC3000的配置。對交換機而言,進行輸出過濾用outbound,輸入過濾用inbound:
[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]packet-filter 3000 outbound
#查看最終配置情況。出現 packet-filter 3000 outbound說明配置成功:
[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]dis th
interface Ethernet1/0/24
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 901 904
packet-filter 3000 outbound
mirroring-group 1 mirroring-port both
#
Return
3、經驗總結、預防措施和規范建議
(1)處理異常告警首先要從告警日志入手逐一分析,不能盲目處理。通過鎖定告警分區縮小查找范圍,根據告警內容、IP及端口的具體情況選擇不同的方法。
(2)總結的告警處理方法要根據設備的屬性特點、告警內容等靈活運用,可根據實際情況進行修改。
4、DHCP告警處理需要用到的軟、硬件設備
0 條