核心交換機報錯信息

從日誌和描述來看，核心交換機丟棄的是**從路由器（G1/0/46）發向核心交換機的DHCP單播報文（如DHCP ACK/NAK）**，原因在於**核心交換機未將連接路由器的端口（G1/0/46）設置為`dhcp snooping trust`**。這是典型的配置遺漏導致合法DHCP服務器報文被錯誤丟棄。

以下是詳細分析和解決方案：

---

### **故障原因分析**
1. **報文類型分析**：
- `PktType=IPV4_UC_DHCP`：被丟棄的是**IPv4單播DHCP報文**（如DHCP ACK/NAK），這類報文是DHCP服務器（路由器）對客戶端的響應。
- `SrcMAC=305f-789f-90a8`：該MAC屬於路由器（G1/0/46接口）。
- `Dropped from interface=GigabitEthernet1/0/46`：丟棄發生在核心交換機連接路由器的上行接口。

2. **DHCP Snooping機製**：
- DHCP Snooping默認**不信任所有端口**，隻轉發來自`trust`端口的DHCP服務器響應（如ACK/NAK）。
- 若未將路由器接口設置為`trust`，核心交換機會將路由器下發的DHCP單播報文視為非法攻擊報文，觸發**軟CAR限速（Stage 5）**並丟棄。

3. **丟棄後果**：
- 終端無法收到DHCP服務器的ACK/NAK報文 → DHCP流程中斷 → 終端無法獲取/續約IP → **大規模斷網**。

---

### **解決方案**
#### 步驟1：在核心交換機上配置路由器接口為信任端口
```bash
# 進入核心交換機配置模式
system-view

# 進入路由器接口（G1/0/46）
interface GigabitEthernet1/0/46

# 啟用DHCP Snooping信任
dhcp snooping trust

# 保存配置
save
```

#### 步驟2：驗證配置是否生效
```bash
# 檢查接口信任狀態
display dhcp snooping interface GigabitEthernet1/0/46
```
輸出中應有 `Trusted interface` 標識。

#### 步驟3：清除計數器並觀察日誌
```bash
# 清除接口計數器和軟CAR統計
reset counters interface GigabitEthernet1/0/46
reset cpu-defend statistics packet-type dhcp
```
觀察日誌是否仍有 `SOFTCAR DROP` 告警，終端是否恢複獲取IP。

---

### **預防措施**
1. **全網DHCP Snooping信任配置**：
- **接入層**：連接終端的端口設為`untrust`（默認狀態無需配置）。
- **核心層**：連接合法DHCP服務器（路由器/防火牆）的端口必須設為`trust`。
```bash
# 示例：核心交換機連接DHCP服務器的端口均需配置
interface range GigabitEthernet1/0/45 to GigabitEthernet1/0/48
dhcp snooping trust
```

2. **檢查其他相關配置**：
- **防DHCP欺騙**：在接入層啟用 `dhcp snooping enable`（已配置）。
- **Option 82支持**：若路由器需處理Option 82，需在核心交換機添加：
```bash
dhcp snooping information enable
```

3. **調整CAR限速閾值（可選）**
若合法報文仍被限速（罕見），可適當提高DHCP報文限速：
```bash
cpu-defend policy
car packet-type dhcp rate-limit 2000 # 默認值通常為512 pps，建議逐步調整
```

---

### **同類案例參考**
- **案例1**：某企業核心交換機頻繁丟棄DHCP ACK，原因為未配置`dhcp snooping trust`，配置後恢複。
- **案例2**：校園網終端隨機斷網，核心日誌顯示`SOFTCAR DROP DHCP`，將路由器接口設為`trust`後問題解決。
- **華為官方建議**：明確要求連接DHCP服務器的端口必須配置為信任端口（參考華為S7700係列配置指南）。

> 📌 **關鍵點總結**：DHCP Snooping的`trust`配置是此類問題的核心原因。修正後通常能立即恢複網絡，無需重啟設備。務必全網檢查DHCP服務器連接端口的信任狀態！