- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-HH3C-DHCP-SNOOP2-MIB
本章节下载: 01-HH3C-DHCP-SNOOP2-MIB (164.22 KB)
HH3C-DHCP-SNOOP2-MIB用来实现配置DHCP Snooping、获取DHCP Snooping表项信息以及告警上报等功能。
hh3c-dhcp-snoop2.mib
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.1 |
表项资源耗尽 |
故障告警 |
警告 |
1.3.6.1.4.1.25506.2.124.3.0.2 (hh3cDhcpSnoop2BindTblExhRecov) |
关闭 |
当DHCP Snooping表项资源耗尽时产生该告警信息。
系统不再生成新的SHCP Snooping用户表项,对于新用户而言,可能无法使用DHCP Snooping相关安全功能。
开启
命令行:snmp-agent trap enable dhcp snooping binding-exhaust
关闭
命令行:undo snmp-agent trap enable dhcp snooping binding-exhaust
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.2.2.1.1 (IfIndex) |
接口索引 |
IfIndex |
Unsigned32 |
同MIB标准取值 |
1.请在接口视图下执行display this命令,查看当前接口可动态学习DHCP Snooping表项的最大数目。
- 如果该值过小,请在接口视图下通过dhcp snooping max-learning-num命令增加接口可动态学习DHCP Snooping表项的最大数目。增加表项资源后,如果仍会告警,则请执行步骤2。
- 如果该值合理,则请执行步骤2。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.2 |
绑定表项资源从耗尽状态恢复 |
恢复告警 |
警告 |
- |
关闭 |
当DHCP Snooping表项资源从耗尽状态恢复到存在可用资源时产生此告警。
对系统无影响。
开启
命令行:snmp-agent trap enable dhcp snooping binding-exhaust
关闭
命令行:undo snmp-agent trap enable dhcp snooping binding-exhaust
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.2.2.1.1 (IfIndex) |
接口索引 |
IfIndex |
Unsigned32 |
同MIB标准取值 |
正常运行,无需处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.3 |
表项资源使用率大于等于阈值 |
故障告警 |
警告 |
1.3.6.1.4.1.25506.2.124.3.0.4 (hh3cDhcpSnoop2BindTblThreshRecov) |
关闭 |
当DHCP Snooping表项资源使用率大于等于阈值时产生此告警。
继续生成表项将导致表项资源耗尽,表项资源耗尽后,对于新用户而言,可能无法使用DHCP Snooping相关安全功能。
开启
命令行:snmp-agent trap enable dhcp snooping binding-threshold
关闭
命令行:undo snmp-agent trap enable dhcp snooping binding-threshold
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.2.2.1.1 (IfIndex) |
接口索引 |
ifindex |
Unsigned32 |
同MIB标准取值 |
1.请根据表项生成需求,通过dhcp snooping learning-num-threshold命令调整上限告警阈值或通过dhcp snooping max-learning-num增加表项资源。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.4 |
表项资源使用率恢复到低于阈值 |
恢复告警 |
警告 |
- |
关闭 |
当DHCP Snooping表项资源使用率从大于等于阈值恢复到低于阈值时产生此告警。
对系统无影响。
开启
命令行:snmp-agent trap enable dhcp snooping binding-threshold
关闭
命令行:undo snmp-agent trap enable dhcp snooping binding-threshold
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.2.2.1.1 (IfIndex) |
接口索引 |
ifindex |
Unsigned32 |
同MIB标准取值 |
正常运行,无需处理
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.5 |
与绑定表项不匹配而被丢弃的请求报文数达到阈值 |
事件告警 |
警告 |
- |
关闭 |
当与绑定表不匹配而被丢弃的DHCP请求报文数达到阈值产生此告警。
对系统无影响。
开启
命令行:snmp-agent trap enable dhcp snooping binding-mismatch
关闭
命令行:undo snmp-agent trap enable dhcp snooping binding-mismatch
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.2.2.1.1 (IfIndex) |
接口索引 |
ifindex |
Unsigned32 |
同MIB标准取值 |
1.请在任意视图下执行display dhcp snooping binding命令查看DHCP Snooping绑定表项信息,并通过使用端口镜像的方式获取此接口或者VLAN收到的DHCP请求报文。
- 如果接口下收到大量与绑定表项不匹配的DHCP请求报文,则认为接口受到攻击,请根据需要排查攻击源头。
- 如果接口下未收到大量与绑定表项不匹配的DHCP请求报文,则认为接口未受到攻击,请通过dhcp snooping trap binding-mismatch threshold命令调整告警阈值。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.6 |
因数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的报文数达到阈值 |
事件告警 |
警告 |
- |
关闭 |
因数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的报文数达到阈值时产生此告警。
系统可能受到更改CHADDR字段的DHCP报文攻击,但该攻击报文被丢弃,不影响其它业务运行。
开启
命令行:snmp-agent trap enable dhcp snooping chaddr-mismatch
关闭
命令行:undo snmp-agent trap enable dhcp snooping chaddr-mismatch
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.2.2.1.1 (IfIndex) |
接口索引 |
IfIndex |
Unsigned32 |
同MIB标准取值 |
1.请在触发告警的使用端口镜像的方式获取接口收到的DHCP报文。
- 如果接口下收到大量据帧头MAC地址与DHCP报文中的CHADDR字段不一致DHCP报文,则认为接口受到攻击,请根据需要排查攻击源头。
- 如果接口下未收到大量数据帧头MAC地址与DHCP报文中的CHADDR字段不一致DHCP报文,则认为接口未受到攻击,请在接口视图下通过dhcp snooping trap chaddr-mismatch threshold调整告警阈值。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.7 |
非信任口丢弃的DHCP服务器应答报文数达到阈值 |
事件告警 |
警告 |
- |
关闭 |
当非信任口丢弃的DHCP服务器的应答报文数达到阈值时产生此告警。
丢弃非法DHCP报文
开启
命令行:snmp-agent trap enable dhcp snooping untrust-reply
关闭
命令行:undo snmp-agent trap enable dhcp snooping untrust-reply
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.31.1.1.1.1 (ifName) |
接口名字 |
ifindex |
DisplayString |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.4 (hh3cDhcpSnoop2TrapDropNum) |
丢弃的应答报文数 |
无 |
Counter64 |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.5 (hh3cDhcpSnoop2PktVlanID) |
DHCP Snooping丢弃的报文所属的VlanId |
无 |
Unsigned32(1..4094) |
同MIB标准取值 |
1.请在触发告警的对应接口使用端口镜像方式获取DHCP服务器的应答报文信息,通过查看DHCP应答报文中携带的服务器地址是否为指定的服务器地址,判断接口下是否有非法用户仿冒DHCP服务器。
- 如果DHCP应答报文中携带的服务器地址不是指定的服务器地址,则认为该应答报文是攻击报文,不进行处理。
- 如果DHCP应答报文中携带的服务器地址是合法的服务器地址,请在接口视图下通过dhcp snooping trust命令将该接口设置为信任接口。如果处理完后仍会告警,则请执行步骤2。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
|
OID |
告警标题 |
类型 |
级别 |
清除告警 |
缺省状态 |
|
1.3.6.1.4.1.25506.2.124.3.0.8 |
超过速率限制被丢弃的请求报文数达到门限阈值 |
事件告警 |
警告 |
- |
关闭 |
当因接收到的DHCP请求报文速率超过限速值而被丢弃的DHCP报文数据达到阈值时产生此告警。
超过限速值的DHCP请求报文被丢弃,可能导致部分合法用户的DHCP请求报文被丢弃。
开启
命令行:snmp-agent trap enable dhcp snooping rate-limit
关闭
命令行:undo snmp-agent trap enable dhcp snooping rate-limit
|
OID(变量名) |
含义 |
索引节点 |
类型 |
取值范围 |
|
1.3.6.1.2.1.31.1.1.1.1 (ifName) |
接口名字 |
ifindex |
DisplayString |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.4 (hh3cDhcpSnoop2TrapDropNum) |
DHCP Snooping为上报trap告警信息所记录的丢弃的报文数 |
无 |
Counter64 |
同MIB标准取值 |
|
1.3.6.1.4.1.25506.2.124.1.2.5 (hh3cDhcpSnoop2PktVlanID) |
DHCP Snooping丢弃的报文时的VlanId |
无 |
Unsigned32(1..4094) |
同MIB标准取值 |
1.请在触发告警的对应接口使用端口镜像的方式获取DHCP请求报文信息,查看DHCP请求报文是否为攻击报文。
- 如果接口收到同一用户发送的大量DHCP请求报文,则认为该用户发送的是攻击报文。请根据源地址排查攻击源头。
- 如果接口不存在用户发送大量DHCP请求报文,则认为收到的DHCP请求报文均为合法报文。请根据实际需求,在接口视图下执行dhcp snooping rate-limit命令调整报文限速阈值,同时可在接口或系统视图下通过dhcp snooping trap rate-limit threshold命令调整告警阈值。如果处理完后仍会告警,则请执行步骤2。
2.请收集告警信息、日志信息和配置信息,并联系H3C技术支持工程师进行处理。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
