DHCP易忽視的上限值

■ 北京 趙振濤

編者按：筆者單位出現因交換機DHCP服務中IP地址綁定超過限值的情況，導致單位很多員工IP地址沖突等問題，本文將討論交換機的DHCP服務的上限值問題。

圖1 查看租期內的綁定信息

筆者所在單位網絡環境用戶數不足千人，在IP地址使用管理上，少量的有線用戶采用固定IP形式，無線用戶部分采用DHCP自動分配IP地址，使用無線核心交換機（邁普S8900）做DHCP服務，二次認證采用城市熱點認證計費系統，以Portal方式進行認證，由于未采用無感知認證技術，認證以設備的IP地址作為認證對象。

無線項目實施過程中發現一個問題，一些品牌手機用戶在行進中，經過2個AP切換時，會重新申請獲得新的IP地址，這樣就導致上網時因IP地址的改變進行再次認證，實施方對這種情況也沒有較好的解決方案。

為減少移動用戶的頻繁認證，采取了一個臨時的方案，在DHCP為設備分配IP地址后自動進行IP地址和MAC地址的綁定，但需要定期處理。

網絡在運行一段時間之后，某日上午，某使用部門反映說不少用戶所使用的設備不能正常的獲取到IP地址，通過提示分析懷疑與DHCP服務有關系，登錄到核心交換機查看交換機當前的運行配置：

wuxianhexin#sh run

（忽略與DHCP無關部分）

ip dhcp pool yewu

network 10.13.128.0 255.255.128.0

default-router 10.13.128.1

dns-server 221.130.33.52 211.99.129.210

lease 15 0 0

bind automatic

bind 10.13.128.18 708a.0968.f7ef

bind10.13.128.61 64cc. 2e0e.fe72

bind 10.13.128.73a4ca.a09d.36e3

bind 10.13.128.27 acc1.eeca.b8f6

……

DHCP服務配置信息正確，地址池總IP地址數為32766，對于不足千人的小單位使用上綽綽有余，租期為15天，分配即自動綁定IP和MAC地址。但發現自動綁定的數量非常大不便于統計，于是通過統計命令進行查看：

wuxianhexin#sh ip dhcp pool-binding

Bindings: 4096

查看租期內的綁定信息，如圖1所示。

通過查詢發現當前已分配681個IP地址，而系統自動綁定數為4096個，出于對4096這個數值的敏感，懷疑會不會是自動綁定數據達到上限而不能正常分配了，查詢設備的命令手冊和咨詢廠家客服也沒有關于這一數據范圍的說明，于是將當前配置導出，所有綁定的信息導入到EXCEL文件中，與認證系統中的在線用戶和歷史上網用戶IP地址信息進行比較，篩選出那些只連接了無線AP卻沒有使用網絡的IP地址綁定信息。通過刪除綁定命令進行刪除：

wuxianhexin# configure terminal

wuxianhexin(config)#ip dhcp pool yewu

no bind X.X.X.X

需要注意的是用以上命令是不能解除租期內的IP地址綁定信息，對這部分設備需要使用以下命令進行解除綁定：

wuxianhexin#clear ip dhcp binding X.X.X.X

通過刪除部分IP地址綁定信息后再聯系該部門，回復可以上網了，但不能確定一定是這個原因導致了不能上網。

圖2 批處理內容

后經邁普設備廠家研發人員確認，自動綁定的數目限制就是4K，S8900型號交換機不適合提供大容量的DHCP服務。出于綜合的考慮，建議實際使用中綁定終端數不要超過2K。當超過綁定的4K限值后，正常情況下地址池中仍有未分配的地址，DHCP仍可以繼續分配IP地址。經認證系統查詢發現當綁定值超過4K，一些手機又開始了不斷更換IP地址，頻繁認證，只不過是用戶沒有反映這種情況。

為及時了解IP地址綁定信息，筆者結合腳本語言制作了批處理程序，加入啟動程序組，每天開機自動檢查綁定信息，批處理內容如圖2所示。

如何避免DHCP服務中IP地址綁定超過限值的情況，最理想的方案是采用無感知認證，對于未采用無感知技術，又想減少頻繁認證，就只有加強DHCP維護，比如可以延長租期，定期統計綁定數量，當數據接近建議值時，將綁定的IP地址信息與當前分配（租期內）IP地址進行比較，刪除那些不在租期內的IP地址。

總而言之，交換機畢竟不是提供DHCP服務的專用設備，IP地址綁定服務容量有限，適用于網絡人數較少的情況，使用時一定要了解其上限值，根據使用情況定期的檢查和維護。