巧妙解決DHCP出錯引起的網絡故障

摘要：筆者單位近期經常有同事反映網絡不通，經過多次排查，發現主要是由于DHCP地址分配混亂引起，本文就該故障的排查、解決過程做一個簡單的介紹。

關鍵詞：DHCP服務器;網絡故障;排查;解決

一、故障現象

接到同事電話，反映電腦不能上網。帶好測線儀、壓線鉗等工具實地檢查，發現該電腦“本地連接”是正常的，未出現“！”（受限制的連接）或“×”（未連接）現象，因此可以排除硬件故障。在命令提示行輸入“ipconfig/all”命令，發現該電腦獲取的IP地址是192.168.1.105，而單位DHCP服務器分配的地址均為“172”網段，筆者當時也沒有多想，將“本地連接”禁用后再啟用，電腦順利獲取了“172”開頭的地址，恢復正常上網。后來，陸續又有同事反映不能上網，有的通過禁用、啟用“本地連接”一次便解決問題，有的需要多次，甚至有的只能通過手動設置IP地址才能解決，且出現頻率越來越高，因此筆者遂下決心解決該故障。

二、故障分析與排查

筆者在一臺故障電腦上查看其網關為192.168.1.1，通過電腦Ping該網關，能Ping通，再通過arp –a命令，找到該網關的MAC地址為5c63.bf93.c25a;遠程登錄到故障電腦所連接的交換機，在特權模式下輸入“show mac-address-table”，在出現的MAC地址列表中找到了上述網關MAC地址連接的端口為Fa0/40，通過查看單位的《端口使用登記表》找到了該端口的使用者同事甲，找到該同事后，發現他私自接了一臺無線路由器，經查看是該無線路由器給故障電腦分配了IP地址，導致其不能上網。

由此可見，該故障是由于電腦未能從單位DHCP服務器正常獲取IP地址所致。筆者仔細檢查了DHCP服務器、網絡設備以及部分同事自帶的路由器，認為引起DHCP分配混亂的主要原因有：（1）DHCP服務器租約期限設置太短，僅為2天，這樣很容易導致關機時間超過兩天的電腦不能快速獲取原來的地址，此時，開啟了DHCP服務功能的路由器便“趁虛而入”，給它分配錯誤的IP地址導致不能上網;（2）單位每人只有一個網絡接口，但不少同事希望臺式機、筆記本、PAD、手機等都能上網，于是就自行購買路由器，并按家庭上網的方式進行連接和設置，從而不知不覺中影響了其他同事的正常上網。

三、故障排除

找到故障原因后，通過瀏覽器進入同事甲的無線路由器，在“DHCP服務器|DHCP服務”中關閉DHCP服務，同時將原本連接藍色WAN口的網線改接到黃色LAN口，將路由器當作交換機使用，重啟路由器。再次禁用、啟用故障電腦的“本地連接”，這時該電腦順利獲取到 “172”網段地址，恢復正常上網。隨后，筆者通過群發短信，讓自帶路由器的同事按要求設置路由器，至此，困擾了筆者近兩個星期的問題基本得來了解決。

修改路由器設置雖然解決了上述問題，但很快又引起了另外兩個問題：（1）有的同事把路由器拿回家后，家里的電腦無法上網，只能把路由器的設置又改回來，這樣改來改去相當麻煩;（2）由于不少同事同時使用兩三個甚至更多的設備上網，這樣很快就導致了學校IP地址使用緊張。針對這些問題，筆者通過多方查找資料，發現通過設置交換機的DHCP監聽功能可以更好的解決問題。

交換機DHCP監聽技術可以有效地避免電腦獲取錯誤的IP地址，將交換機的上聯口以及連接DHCP服務器的端口設置為信任端口，允許任何DHCP報文通過;連接客戶機的端口設置為非信任端口，只允許DHCP發現報文和請求報文通過，丟棄DHCPOFFER報文。這樣就防止了電腦從其他DHCP服務器上獲取地址，下面以思科交換機為例，進行具體配置。

（一）進入用戶模式，開啟DHCP監聽功能：

C3550（config）#ip dhcp snooping

（二）將上聯口G0/1設置為信任端口：

C3550 （config）#int g0/1

C3550 （config-if）#ip dhcp snooping trust

C3550（config-if）#exit

其他端口默認為非信任（untrust）端口，無需設置，用同樣的方法在其他交換機上開啟DHCP監聽功能，其中核心交換機將連接DHCP服務器的端口設置成信任端口。設置完成后，將單位同事的路由器重新設置成路由模式，再也沒有出現DHCP分配混亂的故障。

四、經驗總結

本文涉及的故障并不復雜，但從發現到徹底解決花了近一個月的時間。因此作為網絡管理員，必須對網絡拓撲結構、網絡設備、操作系統等有較全面的了解，才能快速解決各類故障。

作者簡介：

蔣純（1980-），男，漢，湖南東安，大學本科，現有職稱：中級，主要研究方向或從事工作：計算機。