- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-HH3C-DHCP-SNOOP2-MIB
本章节下载: 11-HH3C-DHCP-SNOOP2-MIB (134.22 KB)
HH3C-DHCP-SNOOP2-MIB用来实现配置DHCP Snooping、获取DHCP Snooping表项信息以及告警上报等功能。
hh3c-dhcp-snoop2.mib
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.7 |
非信任口丢弃的DHCP服务器应答报文数达到阈值 |
事件告警 |
警告 |
- |
关闭 |
当非信任口丢弃的DHCP服务器的应答报文数达到阈值时产生此告警。
丢弃非法DHCP报文
开启
命令行:snmp-agent trap enable dhcp snooping untrust-reply
关闭
命令行:undo snmp-agent trap enable dhcp snooping untrust-reply
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.31.1.1.1.1 (ifName) |
接口名字 |
ifindex |
DisplayString |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.4 (hh3cDhcpSnoop2TrapDropNum) |
丢弃的应答报文数 |
无 |
Counter64 |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.5 (hh3cDhcpSnoop2PktVlanID) |
DHCP Snooping丢弃的报文所属的VlanId |
无 |
Unsigned32(1..4094) |
同MIB标准取值 |
1.请在触发告警的对应接口使用端口镜像方式获取DHCP服务器的应答报文信息,通过查看DHCP应答报文中携带的服务器地址是否为指定的服务器地址,判断接口下是否有非法用户仿冒DHCP服务器。
- 如果DHCP应答报文中携带的服务器地址不是指定的服务器地址,则认为该应答报文是攻击报文,不进行处理。
- 如果DHCP应答报文中携带的服务器地址是合法的服务器地址,请在接口视图下通过dhcp snooping trust命令将该接口设置为信任接口。如果处理完后仍会告警,则请执行步骤2。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.8 |
超过速率限制被丢弃的请求报文数达到门限阈值 |
事件告警 |
警告 |
- |
关闭 |
当因接收到的DHCP请求报文速率超过限速值而被丢弃的DHCP报文数据达到阈值时产生此告警。
超过限速值的DHCP请求报文被丢弃,可能导致部分合法用户的DHCP请求报文被丢弃。
开启
命令行:snmp-agent trap enable dhcp snooping rate-limit
关闭
命令行:undo snmp-agent trap enable dhcp snooping rate-limit
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.31.1.1.1.1 (ifName) |
接口名字 |
ifindex |
DisplayString |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.4 (hh3cDhcpSnoop2TrapDropNum) |
DHCP Snooping为上报trap告警信息所记录的丢弃的报文数 |
无 |
Counter64 |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.5 (hh3cDhcpSnoop2PktVlanID) |
DHCP Snooping丢弃的报文时的VlanId |
无 |
Unsigned32(1..4094) |
同MIB标准取值 |
1.请在触发告警的对应接口使用端口镜像的方式获取DHCP请求报文信息,查看DHCP请求报文是否为攻击报文。
- 如果接口收到同一用户发送的大量DHCP请求报文,则认为该用户发送的是攻击报文。请根据源地址排查攻击源头。
- 如果接口不存在用户发送大量DHCP请求报文,则认为收到的DHCP请求报文均为合法报文。请根据实际需求,在接口视图下执行dhcp snooping rate-limit命令调整报文限速阈值,同时可在接口或系统视图下通过dhcp snooping trap rate-limit threshold命令调整告警阈值。如果处理完后仍会告警,则请执行步骤2。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.6 |
因数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的报文数达到阈值 |
事件告警 |
警告 |
- |
关闭 |
因数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的报文数达到阈值时产生此告警。
系统可能受到更改CHADDR字段的DHCP报文攻击,但该攻击报文被丢弃,不影响其它业务运行。
开启
命令行:snmp-agent trap enable dhcp snooping chaddr-mismatch
关闭
命令行:undo snmp-agent trap enable dhcp snooping chaddr-mismatch
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.2.2.1.1 (IfIndex) |
接口索引 |
IfIndex |
Unsigned32 |
同MIB标准取值 |
1.请在触发告警的使用端口镜像的方式获取接口收到的DHCP报文。
- 如果接口下收到大量据帧头MAC地址与DHCP报文中的CHADDR字段不一致DHCP报文,则认为接口受到攻击,请根据需要排查攻击源头。
- 如果接口下未收到大量数据帧头MAC地址与DHCP报文中的CHADDR字段不一致DHCP报文,则认为接口未受到攻击,请在接口视图下通过dhcp snooping trap chaddr-mismatch threshold调整告警阈值。
请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
