#227 Comprendre l’erreur DHCPD_DECLINE_CONFLICT sur un routeur Cisco 877.

Depuis quelques temps, nous avons mis en place un routeur cisco 877 pour un accès  internet ADSL secondaire. Sur ce routeur un pool DHCP est actif et depuis quelques jours nous avons une erreur DHCPD-4-DECLINE_CONFLICT. Voyons comment résoudre ce problème.

Voici le message remonté sur le serveur syslog qui supervise les alertes en temps réelles sur notre routeur.

Si vous avez paramétré un serveur DHCP sur votre routeur, il est probable que le paramètre IP DHCP PING soit activé.
En effet le routeur ping avant l’adresse IP qu’il va distribué, si le routeur reçoit un message ICMP Echo reply (réponse à un ping) cela signifie que l’adresse est en cours d’utilisation. Si l’option « Conflit d’enregistrement » est activée (par défaut) le routeur enverra un message syslog et insérera l’adresse IP dans une liste d’adresses en conflit. Les adresses figurant dans cette liste ne seront plus utilisés à l’avenir.

Il peut arriver qu’un client dispose toujours d’une adresse IP du pool (Firewall d’activé par exemple) alors que celle-ci soit disponible dans ce même pool.

Pour voir cette liste il suffit de se connecter sur le routeur en mode administrateur (enable) et de taper la commande suivante :

router# show ip dhcp conflict

Explication de la méthode Gratuitous ARP :

Un message ARP important est le message ARP gratuit (Gratuitous ARP). Ce message est émis au démarrage par un hôte qui cherche à savoir si une adresse IP identique à la sienne existe déjà. Cette requête est reçue par tous les hôtes à l’écoute qui mettent à jour (avec l’information reçue) leur propre table arp. Le protocole ARP ne possédant pas de mécanisme d’autentification, les hôtes d’un sous-réseau prennent en compte les messages qui leur sont adressés même s’ils n’ont rien demandé.

Le principe des attaques ARP consiste à envoyer régulièrement vers la machine à tromper soit des messages ARP gratuit, soit des messages répondant à une demande qui n’a jamais été effectuée. L’hôte victime, à la réception des messages provenant de la machine de l’attaquant met à jour sa table ARP sans autre forme de procès. L’attaquant fait ainsi croire à ses victimes qu’il est par exemple la passerelle par défaut et si l’attaque aboutit, les communications des victimes à destination de l’extérieur du sous-réseau passeront par lui.

Pour libérer ces adresses et pour pouvoir les réutiliser, il faut utiliser la commande suivante.

router#clear ip dhcp conflict addresse_ip

(ou * pour toutes les adresses de la liste)

Regardons maintenant la liste des adresses ip en conflit (aucune ne devrait apparaître)

Si vous n’avez pas de serveur syslog, vous devez vérifier de temps en temps sur votre routeur les adresses ip en conflits afin de les libérer.

That’s All.

Difficulté :

Modification :-

Crédits : -