熟悉網(wǎng)絡(luò)管理的朋友對DHCP服務(wù)并不陌生，它給我們的網(wǎng)絡(luò)管理帶來極大的方便，只要在DHCP服務(wù)端配置好，可以讓終端用戶快速方便上網(wǎng)，無須作任何參數(shù)設(shè)置。

但如果配置不當(dāng)，架設(shè)不正確，它會讓我們的網(wǎng)絡(luò)不通，而且查找起來很麻煩了。下面以本人工作所遇到故障為例，相信也是大多網(wǎng)管經(jīng)常碰到的，從故障現(xiàn)象、故障原因、故障排除幾方面加以分析。

一、故障現(xiàn)象：

網(wǎng)絡(luò)用戶反映：網(wǎng)絡(luò)連接正常，而且還可以訪問到部分辦公室計算機(jī)了，但就是上不了網(wǎng)。

我們查看了一下故障，發(fā)現(xiàn)故障現(xiàn)象也很明顯，即上不去網(wǎng)的用戶獲得了一個以192.168.1打頭的IP地址，網(wǎng)關(guān)為192.168.1.1(我們單位的路由器IP是的192.168.0.1)，這明顯是通過一臺非法搭建的路由器獲得的IP地址，隨后我們在該用戶計算機(jī)的瀏覽器上登錄192.168.1.1這個地址，即打開了一臺寬帶路由器的管理界面，好在這臺路由器的用戶名/密碼是默認(rèn)的admin/admin，我們登陸進(jìn)去，將該路由器的DHCP功能關(guān)閉，進(jìn)行完以上操作后整個辦公室的網(wǎng)絡(luò)又穩(wěn)定了一段時間，但是前幾天又有用戶反映說是上不去網(wǎng)了，我們查了一下，故障現(xiàn)象跟上次的一樣，但是由于這次路由器被更改了登陸密碼，所以我們不能通過關(guān)閉該路由器的DHCP功能來解決問題了，這次到了徹底解決問題的時候了，一定要在局域網(wǎng)中揪出這臺私自為用戶分配IP地址的寬帶路由器，才有可能保證局域網(wǎng)的安全穩(wěn)定運行。

二、故障原因分析：

如下圖所示：

一般來講,網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)設(shè)備(交換機(jī)或其它)連接到路由器A,并通過DHCP服務(wù)獲取上網(wǎng)的相關(guān)參數(shù).即可上網(wǎng).但隨著網(wǎng)絡(luò)用戶的增多,尤其是筆記本用戶,無了實現(xiàn)無線上網(wǎng),在很多辦公室都架設(shè)一個無線路由共享上網(wǎng)。這樣就導(dǎo)致網(wǎng)絡(luò)中其它的用戶也就可能從這個無線路由獲取IP了。這里有兩種情況

1、無線路由器默認(rèn)的DHCP服務(wù)是打開的，而且網(wǎng)關(guān)是192.168.1.1。一般用戶只設(shè)置了無線網(wǎng)絡(luò)參數(shù)，這樣網(wǎng)絡(luò)用戶就從它獲取了IP，導(dǎo)致在小范圍的局域網(wǎng)是通的，但與外網(wǎng)不通了，不能上網(wǎng)。

2、情況跟上面一樣了，但稍稍有點網(wǎng)絡(luò)知識的人就知道分別設(shè)置一下LAN端口和WAN端口網(wǎng)絡(luò)參數(shù)，這樣導(dǎo)致同樣IP是192.168.1打頭的用戶確可以上網(wǎng)了。即便這樣，從技術(shù)上完全可以的，但從網(wǎng)絡(luò)管理上來講是不科學(xué)的，因為它沒有必要架設(shè)一個路由，增加網(wǎng)絡(luò)運行負(fù)擔(dān)了。

三、故障排除

1、加強(qiáng)網(wǎng)絡(luò)配置管理規(guī)范化。

(1)、作為一個合格的網(wǎng)絡(luò)管理員，技術(shù)固然是重要的。但規(guī)范的管理可以減少很多不必要的麻煩。那就是凡是私自增加網(wǎng)絡(luò)設(shè)備的用戶要經(jīng)網(wǎng)管同意，在他技術(shù)指導(dǎo)下完成網(wǎng)絡(luò)設(shè)備的設(shè)置。

(2)、使用固定的IP地址

這種方案可以徹底解決非法DHCP服務(wù)的危害，因為網(wǎng)絡(luò)用戶都是固定的IP，不會自動獲取IP了。缺點是很多筆記本用戶由于上網(wǎng)環(huán)境不同，要經(jīng)常更改參數(shù)了。

少數(shù)網(wǎng)絡(luò)用戶很難記住為自己計算機(jī)分配IP地址，而且如果出現(xiàn)IP地址沖突之類的故障，又增加了排查沖突IP故障難度。

不過這個方案只要管理得當(dāng)，每位網(wǎng)絡(luò)用戶認(rèn)真遵守自己固定的IP，應(yīng)該是一種不錯的辦法。而且不怕任何網(wǎng)絡(luò)用戶自己私自接寬帶路由器。

(3)、通過PPPOE的形式上網(wǎng)

這種形式有很多的好處，由于局域網(wǎng)用戶上網(wǎng)時不是通過DHCP的方式(當(dāng)然也不用設(shè)置靜態(tài)IP地址)，而是通過PPPOE撥號獲得一個IP地址，這樣就不會受到非法的DHCP服務(wù)器的干擾了。

其實PPPOE服務(wù)器的好處不僅如此，一來架設(shè)一臺PPPOE服務(wù)器不是一件容易的事(不怕一般用戶無意惡意為之了)，二來通過PPPOE的方式上網(wǎng)，局域網(wǎng)內(nèi)也不會發(fā)生ARP地址欺騙攻擊的問題了。：

2、通過各種技術(shù)手段排除故障

(1)、臨時性排除

通過命令釋放再獲取IP參數(shù)

ipconfig /release 和 ipconfig /renew

我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題，直到客戶機(jī)可以得到真實的地址為止。即先使用ipconfig /release釋放非法網(wǎng)絡(luò)數(shù)據(jù)，然后使用ipconfig /renew嘗試獲得網(wǎng)絡(luò)參數(shù)，如果還是獲得錯誤信息則再次嘗試/release與/renew直到得到正確信息。

提醒：這種方法治標(biāo)不治本，反復(fù)嘗試的次數(shù)沒有保證，另外當(dāng)DHCP租約到期后客戶端計算機(jī)需要再次尋找DHCP服務(wù)器獲得信息，故障仍然會出現(xiàn)。

設(shè)一個固定的IP

先給網(wǎng)絡(luò)用戶設(shè)一個固定的IP及網(wǎng)關(guān)、子網(wǎng)掩碼、DNS，可能確保暫時上網(wǎng)了。

(2)、“揪”出非法的DHCP服務(wù)

1、DHCP服務(wù)器也充當(dāng)著網(wǎng)關(guān)的作用，如果獲得了非法網(wǎng)關(guān)地址，也就是知道了非法DHCP服務(wù)器的IP地址。通過ping (非法的DHCP服務(wù))IP，通過arp -A查出MAC地址。知道了MAC地址，就可以在路由器中屏蔽這個MAC，或者是屏蔽該MAC的68端口。

2、如果是設(shè)置了無線路由的路由功能，那么通過以上方法查找的只能是無線路由器的LAN的MAC，而在中心路由器A中所能控制的只能是它的WAN端口了。這里提供一個小技巧:一般來講，無線路由器的LAN端口MAC和WAN端口MAC是連著的，即最后二位數(shù)是連著的。如下圖所示：

其實我們在方法1得到的MAC是LAN的，但要在中心路由器A要封掉的MAC應(yīng)該是WAN MAC了。這樣只要在中心路由器A的ARP緩存表找到與LAN MAC最接近的MAC即是了。

三、從技術(shù)上限制非法DHCP的產(chǎn)生

1、通過“域”的方式對非法DHCP服務(wù)器進(jìn)行過濾

將合法的DHCP服務(wù)器添加到活動目錄(Active Directory)中，通過這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的DHCP Server在相應(yīng)請求前，會向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCPINFORM查詢包， 如果其他DHCP Server有響應(yīng)，那么這個DHCP Server就不能對客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時非法的就不起任何作用了。

提醒：這種方法效果雖然不錯，但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用，基本上使用工作組就足以應(yīng)對日常的工作了。所以這個方法，效果也不錯，但不太適合實際情況。

2、在路由交換設(shè)備上封端口

DHCP服務(wù)主要使用的是UDP的67和68端口，DHCP服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口，67端口為客戶機(jī)發(fā)送請求時使用。所以我們可以在路由器上保留服務(wù)器的68端口，封閉客戶機(jī)的68端口，就能達(dá)到過濾非法DHCP服務(wù)器的目的。

提醒：如果計算機(jī)很多的話，操作起來不方便，而且會增加路由器的負(fù)擔(dān)，影響到網(wǎng)絡(luò)速度。

凡是提供DHCP服務(wù)的服務(wù)器都必須設(shè)置固定IP地址，想在動態(tài)獲得IP信息的計算機(jī)上啟用DHCP服務(wù)是不可以的。而且雖然微軟公司在限制DHCP服務(wù)上做了規(guī)定，例如同一個網(wǎng)絡(luò)中不容許兩臺DHCP存在。

但是目前有很多第三方軟件可以建立DHCP服務(wù)器，甚至是寬帶路由器也將DHCP功能集成于自身配置中，因此在這種情況下就無法清楚的查詢出網(wǎng)絡(luò)中到底存在幾個DHCP服務(wù)器了，我們只能將懷疑對象一一關(guān)閉或者在交換機(jī)及路由器上將懷疑對象進(jìn)行訪問控制列表過濾。總之網(wǎng)絡(luò)中存在非法DHCP服務(wù)器引起的網(wǎng)絡(luò)故障是非常難解決的，需要反復(fù)調(diào)查循序漸進(jìn)。

反思：為什么不能讓網(wǎng)絡(luò)用戶的設(shè)備只能從指定的DHCP服務(wù)器獲取地址？

這個功能我想是大多數(shù)網(wǎng)絡(luò)管理員都非常向往的，在一次次追查那臺“非法”的寬帶路由器未果的時候，我們就在想，如果終端設(shè)備上能夠設(shè)置只通過指定的DHCP服務(wù)器獲取IP地址的話，這樣終端設(shè)備就不會被那臺寬帶路由器所干擾，我們也就不用找得這么辛苦了。