隨著校園網(wǎng)規(guī)模的逐步擴(kuò)大，網(wǎng)絡(luò)管理難度越來(lái)越復(fù)雜，尤其是IP地址的分配問(wèn)題，難度日漸突出。靜態(tài)IP地址分配方式不僅容易造成IP地址沖突和配置錯(cuò)誤，而且給用戶和網(wǎng)絡(luò)管理帶來(lái)了很多不便。因此動(dòng)態(tài)IP地址分配方式逐漸登上了歷史的舞臺(tái)，很好地解決了IP地址管理難的問(wèn)題，同時(shí)也給用戶提供了很多方便。

使用動(dòng)態(tài)IP地址分配方式，完成DHCP服務(wù)器的安裝與部署并非難事，但是要想真正配置好、維護(hù)好校園網(wǎng)DHCP并非易事。任何一個(gè)DHCP故障都可能導(dǎo)致DHCP服務(wù)崩潰，形形色色的DHCP故障現(xiàn)象和問(wèn)題根源一直困擾這網(wǎng)絡(luò)管理員。因此本文結(jié)合校園網(wǎng)DHCP的維護(hù)經(jīng)驗(yàn)，從一下幾個(gè)方面對(duì)DHCP故障做些探討。

一、部分客戶機(jī)獲取不到IP地址怎么辦?

部分客戶機(jī)獲取不到IP地址，是校園網(wǎng)DHCP故障中最常見(jiàn)的一種。造成此故障的原因大體有以下兩種情況。

1.最容易想到的原因就是與客戶端系統(tǒng)本身和網(wǎng)絡(luò)硬件故障有關(guān)。這類故障首先查看該客戶機(jī)的網(wǎng)卡驅(qū)動(dòng)安裝時(shí)候正確、客戶機(jī)IP地址的分配方式是否設(shè)置成自動(dòng)獲取、網(wǎng)絡(luò)線路連接是否正常等。在上述條件正常的情況下，運(yùn)用命令提示符工具，執(zhí)行ipconfig/release命令，將當(dāng)前獲取的網(wǎng)絡(luò)參數(shù)釋放，然后執(zhí)行ipconfig/renew命令，重新獲取新的網(wǎng)絡(luò)參數(shù)。如果正確獲取正確的IP地址，故障原因應(yīng)該在客戶端系統(tǒng)本身，否則應(yīng)該從其他方面分析故障原因。

2.部分客戶機(jī)獲取不到IP地址的另一個(gè)原因是DHCP服務(wù)器的租約有問(wèn)題。所謂“租約”就是DHCP服務(wù)器分配給客戶機(jī)使用IP配置信息的時(shí)間段。租約期限一到，客戶機(jī)必須向DHCP服務(wù)器重新申請(qǐng)IP配置信息，這就是客戶機(jī)申請(qǐng)的IP地址不斷變化的原因。部分客戶機(jī)獲取不到IP，在很大程度上是由于租約過(guò)長(zhǎng)，部分不在線的客戶機(jī)使用的IP地址不能及時(shí)收回，DHCP服務(wù)器地址池中又沒(méi)有多余的IP地址可下發(fā)，導(dǎo)致了部分客戶機(jī)獲取不到IP地址。針對(duì)這種情況，有兩個(gè)解決辦法:一是增加IP地址，充實(shí)DHCP服務(wù)器的IP地址池;二是縮短租約時(shí)間，使空閑的ip地址即時(shí)收回，及時(shí)下發(fā)。在此筆者需要提醒一點(diǎn)的是DHCP租約時(shí)間不可設(shè)置過(guò)短，這樣會(huì)加重DHCP服務(wù)器的運(yùn)行負(fù)擔(dān)，影響運(yùn)行效果。所以應(yīng)根據(jù)自己的實(shí)際情況，妥善處理租約問(wèn)題。

二、非法DHCP服務(wù)器搞怪怎么辦?

非法DHCP服務(wù)器在校園網(wǎng)DHCP排障中也是屢見(jiàn)不鮮的。這種情況往往造成一個(gè)廣播域內(nèi)某些用戶獲取了錯(cuò)誤的IP配置信息，致使用戶不能訪問(wèn)網(wǎng)絡(luò)，在實(shí)際的DHCP排障過(guò)程中，主要采取以下兩種方式對(duì)其進(jìn)行防范。

1.查封非法DHCP服務(wù)器

查封非法DHCP服務(wù)器首先從獲取錯(cuò)誤IP配置信息的客戶機(jī)上找到它的IP地址，然后在匯聚層交換機(jī)上找到其對(duì)應(yīng)的MAC地址，利用該MAC地址，在接入層交換機(jī)上查看其對(duì)應(yīng)的端口，然后將該端口SHUTDOWN，阻斷非法DHCP服務(wù)器與外界的聯(lián)系。必要的情況下，可以通過(guò)網(wǎng)絡(luò)管理制度來(lái)約束網(wǎng)絡(luò)中非法服務(wù)的產(chǎn)生。

2.通過(guò)配置DHCPSnooping來(lái)防范非法的DHCP服務(wù)器

DHCP Snooping技術(shù)是一種通過(guò)建立DHCP Snooping Binding數(shù)據(jù)庫(kù)，將端口設(shè)置為信任端口(連接合法DHCP服務(wù)器的端口或者連接匯聚交換機(jī)的上行端口)與非信任端口(通常為連接終端設(shè)備的端口，如PC等)，過(guò)濾非信任的DHCP消息，確保客戶機(jī)從合法的DHCP服務(wù)器獲取IP地址的一種安全機(jī)制。其具體的部署過(guò)程如下:

Switch(config)#ip dhcp snooping//開(kāi)啟交換機(jī)的DHCP Snooping功能

Switch(config)#interface Ethernet0/0/26//交換機(jī)的上聯(lián)端口

Switch (Config-Ethernet0/0/26)# ip dhcp snooping trust//將其配置成信任端口

信任端口可以正常轉(zhuǎn)發(fā)dhcp offer報(bào)文，默認(rèn)情況下端口都是非信任端口，對(duì)接收到的dhcp offer報(bào)文做丟棄處理。從而保證了客戶機(jī)只有從交換機(jī)的信任端口來(lái)獲取IP地址配置信息。

三、客戶機(jī)獲取到IP地址時(shí)，提示“IP地址沖突”怎么辦?

在前期網(wǎng)絡(luò)維護(hù)的過(guò)程中，筆者曾經(jīng)受理過(guò)多起客戶機(jī)動(dòng)態(tài)配置地址，獲取地址后系統(tǒng)提示“ip地址沖突”的網(wǎng)絡(luò)故障。造成這種故障的原因有以下兩點(diǎn):

1.個(gè)別網(wǎng)絡(luò)設(shè)備配置了靜態(tài)的ip地址

對(duì)于一些網(wǎng)絡(luò)打印機(jī)、私自假設(shè)的FTP服務(wù)器等終端設(shè)備需要靜態(tài)分配的IP地址，而DHCP服務(wù)器的責(zé)任是確保地址池中的地址一次只能非配給一個(gè)客戶機(jī)，當(dāng)用戶給這些需要靜態(tài)IP的設(shè)備配置IP地址后，其他動(dòng)態(tài)獲取的用戶再獲取到該地址的時(shí)候，就會(huì)提示“IP地址沖突”。解決這類故障的主要辦法是手工管理這類IP地址，必須在DHCP服務(wù)器地址池中把其排除掉。

2.局域網(wǎng)內(nèi)ARP病毒引發(fā)的

由局域網(wǎng)內(nèi)ARP病毒引發(fā)的IP地址沖突問(wèn)題筆者也曾經(jīng)碰到過(guò)。這類故障跟DHCP服務(wù)器沒(méi)有直接聯(lián)系，在處理DHCP故障的時(shí)候，需要提醒的是:并不是所有的“IP地址沖突”現(xiàn)象都與DHCP有關(guān)，要具體問(wèn)題具體分析，處理網(wǎng)絡(luò)故障才能事半功倍。

總之，在網(wǎng)絡(luò)維護(hù)過(guò)程中，除了以上幾種常見(jiàn)故障外，潛在的網(wǎng)絡(luò)故障還會(huì)影響DHCP服務(wù)。在實(shí)際網(wǎng)絡(luò)維護(hù)的過(guò)程中，總是存在形形色色的問(wèn)題和解決辦法，多實(shí)踐、多總結(jié)，才是硬道理。