□閔志君

無線網(wǎng)絡現(xiàn)在應用越來越廣泛了，但是如果無線路由器配置為自動獲取DHCP后，會出現(xiàn)網(wǎng)絡中一部分VLAN里的電腦不能自動獲取IP 地址，導致無法正常上網(wǎng)。

在我臺網(wǎng)絡中，有時私接的無線路由器配置為自動獲取DHCP，可能導致員工電腦得到錯誤的IP 地址而不能上網(wǎng)。有些即使可以上網(wǎng)，但是這臺無線路由器下連接了很多上網(wǎng)設備。而我臺網(wǎng)絡中又使用了流控設備，單一IP 限速在1M，因此，使用了自動獲取DHCP的無線路由器下的電腦是用同一個IP，共享1M 帶寬上網(wǎng)，這些電腦上網(wǎng)就有可能很慢甚至時斷時續(xù)。

無線路由器配置為自動獲取DHCP，為什么會出現(xiàn)電腦獲取錯誤的IP 地址呢？這主要是由于DHCP技術(shù)原因引起的?，F(xiàn)分析如下：

DHCP 采用“客戶端/服務器”通信模式，由客戶端向服務器提出配置申請，服務器返回為客戶端分配的IP 地址等配置信息，以實現(xiàn)網(wǎng)絡資源的動態(tài)配置。

DHCP 客戶端從DHCP 服務器動態(tài)獲取IP 地址，主要通過四個階段進行：

一、發(fā)現(xiàn)階段，即DHCP 客戶端尋找DHCP 服務器的階段?？蛻舳艘詮V播方式發(fā)送DHCP-DISCOVER 報文。

二、提供階段，即DHCP 服務器提供IP 地址的階段。DHCP 服務器接收到客戶端發(fā)送的DHCP-DISCOVER 報文后，根據(jù)IP 地址分配的優(yōu)先次序從地址池中選出一個IP 地址，與其他參數(shù)一起通過DHCP-OFFER報文發(fā)送給客戶端。

三、選擇階段，即DHCP 客戶端選擇IP 地址的階段。如果有多臺DHCP 服務器向該客戶端發(fā)來DHCP-OFFER 報文，客戶端只接受第一個收到的DHCP-OFFER 報文，然后以廣播方式發(fā)送DHCP-REQUEST 報文，該報文中包含DHCP 服務器在DHCP-OFFER 報文中分配的IP 地址。

四、確認階段，即DHCP 服務器確認IP 地址的階段。DHCP 服務器收到DHCP 客戶端發(fā)來的DHCP-REQUEST報文后，只有DHCP 客戶端選擇的服務器會進行如下操作：如果確認地址分配給該客戶端，則返回DHCP-ACK報文；否則將返回DHCP-NAK 報文，表明地址不能分配給該客戶端。

根據(jù)上述原理，我們發(fā)現(xiàn)這樣一個問題：DHCP 報文在客戶端和服務器的交互過程中并沒有認證機制，如果網(wǎng)絡中存在多臺DHCP 服務器時，服務器將無法保證客戶端從服務器指定的DHCP 服務器獲取合法地址，客戶機可能從非法DHCP 服務器獲得IP 地址等配置信息，導致網(wǎng)絡分配地址混亂而使有些VLAN 下的電腦獲得錯誤的IP 地址而不能上網(wǎng)。

這個問題主要是由于無線路由器配置為自動獲取DHCP后導致的，我們只要把這臺無線路由器找到，然后把它的模式改為交換模式就可以解決這個問題了。但是，由于我臺網(wǎng)絡較大，加之有些無線路由器是員工私接的，當我們發(fā)現(xiàn)某一VLAN 下的電腦由于獲得錯誤IP 而不能上網(wǎng)時，該私接的無線路由器卻不知道放置在哪里。即使找到了，也已經(jīng)更改了無線路由器的管理員密碼，使得我們無法登陸無線路由器更改無線路由器配置。我們多次用行政手段要求把無線路由器的配置改為交換模式，但是收效甚微。于是我們想到如何使用技術(shù)手段來解決這個問題。我臺連接電腦的二層交換機大部分為華三的S3100-SI 系列以太網(wǎng)交換機，還有部分為華三的S5120-SI 系列以太網(wǎng)交換機。針對這兩種交換機，我們通過對交換機功能進行分析發(fā)現(xiàn)可以使用技術(shù)手段解決這個問題，具體如下：

一、華三的S5120-SI 系列以太網(wǎng)交換機解決這個問題的方法是：在網(wǎng)絡中如果有私自架設的DHCP 服務器，將可能導致用戶得到錯誤的IP 地址。為了使用戶能通過合法的DHCP 服務器獲取IP 地址，S5120-SI 系列以太網(wǎng)交換機的DHCP Snooping 安全機制，允許將端口設置為信任端口與不信任端口。這樣就可實現(xiàn)對非法的DHCP 服務器的屏蔽,保證客戶端從合法的服務器獲取IP 地址。

二、華三的S3100-SI 系列以太網(wǎng)交換機解決這個問題的方法是：由于ACL 資源有限，S3100-SI 系列以太網(wǎng)交換機不支持DHCP Snooping 信任端口功能。但為了防御因私自架設DHCP服務器而導致的網(wǎng)絡混亂,或者攻擊者惡意冒充DHCP 服務器，為客戶端分配IP 地址等配置參數(shù)等情況，S3100-SI 系列以太網(wǎng)交換機提供了防DHCP服務器仿冒功能。

三、在具體實踐中，我們對全臺使用最多的華三的S3100-SI 系列交換機進行逐一配置。首先將交換機配置為發(fā)送告警信息的同時將相應端口進行管理Down 操作，使用一段時間后，查找到這臺交換機下面開啟了自動獲取DHCP的無線路由器，讓員工自行更換無線路由器模式為交換模式或我們幫其更改。網(wǎng)絡穩(wěn)定后，再配置下一臺華三的S3100-SI 系列交換機，使整個網(wǎng)絡中的S3100-SI 交換機下的無線路由器都改為交換模式。如果S3100-SI 系列交換機下再私接新的無線路由器，則一接為路由模式，將收到告警信息不能上網(wǎng)，直到改為交換模式才能上網(wǎng)。

我們對華三的S5120-SI 系列以太網(wǎng)交換機采用上述解決方案后，不管無線路由器采用路由模式還是交換模式都能上網(wǎng)，不會影響整個網(wǎng)絡。我臺在網(wǎng)絡中使用了流控設備對員工上網(wǎng)進行流量限制，對臺里大部分單一IP限速在1M。如果這臺無線路由器連接了過多的上網(wǎng)設備就會使下面的電腦上網(wǎng)很慢甚至時斷時續(xù)，這臺無線路由器下的電腦上網(wǎng)就會有問題而報到我們部門，我們再前去將需要連接多臺設備的無線路由器的模式改為交換模式，保證了他們正常上網(wǎng)。