简述风电场二次安防DHCP告警处理方法

案例简介：

达坂城某某110kV变电站发出DHCP告警

作者：刘乐 新疆风能有限责任公司

注：本文系作者投稿。

相关阅读：浅谈风电场安全生产标准化建立方法

1、现象、问题描述

达坂城某某110kV变电站省调二区纵向加密装置拦截到DHCP异常告警，告警主要内容如下：

告警描述：存在大量DHCP(动态主机配置协议)服务访问:[0.0.0.0]发出[2559]次DHCP请求数据(目标地址[255.255.255.255]共1个)

原始告警：0.0.0.0 68 255.255.255.255 67

告警内容分析：

1.由于是省调二区纵向加密装置拦截到的异常告警，可初步将排查范围限制在二区之内（但也不排除其他分区DHCP数据窜入的可能）。

2.告警显示的源IP和目的IP均为广播地址，不利于查找告警源设备。为进一步查找告警源设备，需对二区设备组网进行查看。

3.广播数据包使用了67、68端口，即在后期的处理过程中可对67、68端口的数据进行针对性的过滤。

2、处理过程

（1）查看省调二区组网结构及设备。组网结构无异常。对相关设备的DHCP服务进行了关闭，具体方法如下：

Window系统

1）计算机—管理—服务—DHCP Clent

2）打开DHCP Clent 属性

3）先停止然后禁用服务

Linux系统（这里以网卡0为例，其他网卡可类推）

1）打开shell输入：cd/etc/sysconfig/network-scripts/

2）输入上述命令进入网卡配置文件夹后找到：

ifcfg-eth0,ifcfg-eth1,ifcfg-eth2,ifcfg-eth3等网卡信息

3）输入cat ifg-eth0查看网卡0的信息：BOOTPROTO=none就是网卡没有使用DHCP，BOOTPROTO=dhcp就是启用DHCP自动获取地址功能

4）在当前文件夹下输入 vi ifcfg-eth0 命令编辑网卡0文件。

5）在当前文件夹峡更改网口配置文件，将DHCP禁用：看到以下内容后把光标移动到BOOTPROTO=dhcp处，按i键进入Vi编辑模式，退格键Backspace 删除DHCP，修改为BOOTPROTO=none或BOOTPROTO=static,编辑完成后按Esc键退出编辑模式，同时按下Shift和:后，再输入w q（注意w后面有空格）进行保存并退出（输入q！为不保存退出）

6）输入Service network restart命令重启服务功能。更改完成。

（2）进行省调二区交换机进行ACL包过滤配置，具体配置方法如下：

#进入系统:

<D-XJ-WLMQ-SLTFDC-SD-S1>sys

#建立名为3000的ACL包过滤规则:

[D-XJ-WLMQ-SLTFDC-SD-S1]acl number 3000

#在ACL3000的名下建立包过滤条件。这里是过滤UDP协议下的67、68逻辑端口:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 45 deny udp destination-port eq 67

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 50 deny udp destination-port eq 68

#显示ACL3000的配置情况:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]dis th

#显示内容如下:

acl number 3000

rule 45 deny udp destination-port eq bootps

rule 50 deny udp destination-port eq bootpc

#进入24号物理端口下。根据需要过滤的端口自行更改:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]interface ethernet 1/0/24

#调用ALC3000的配置。对交换机而言，进行输出过滤用outbound，输入过滤用inbound:

[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]packet-filter 3000 outbound

#查看最终配置情况。出现 packet-filter 3000 outbound说明配置成功:

[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]dis th

interface Ethernet1/0/24

port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 901 904

packet-filter 3000 outbound

mirroring-group 1 mirroring-port both

#

Return

3、经验总结、预防措施和规范建议

（1）处理异常告警首先要从告警日志入手逐一分析，不能盲目处理。通过锁定告警分区缩小查找范围，根据告警内容、IP及端口的具体情况选择不同的方法。

（2）总结的告警处理方法要根据设备的属性特点、告警内容等灵活运用，可根据实际情况进行修改。

4、DHCP告警处理需要用到的软、硬件设备