熟悉網(wǎng)絡管理的朋友對DHCP服務并不陌生，它給我們的網(wǎng)絡管理帶來極大的方便，只要在DHCP服務端配置好，可以讓終端用戶快速方便上網(wǎng)，無須作任何參數(shù)設置。

　　但如果配置不當，架設不正確，它會讓我們的網(wǎng)絡不通，而且查找起來很麻煩了。下面以本人工作所遇到故障為例，相信也是大多網(wǎng)管經(jīng)常碰到的，從故障現(xiàn)象、故障原因、故障排除幾方面加以分析。

　　一、故障現(xiàn)象：

　　網(wǎng)絡用戶反映：網(wǎng)絡連接正常，而且還可以訪問到部分辦公室計算機了，但就是上不了網(wǎng)。

　　我們查看了一下故障，發(fā)現(xiàn)故障現(xiàn)象也很明顯，即上不去網(wǎng)的用戶獲得了一個以192.168.1打頭的IP地址，網(wǎng)關為192.168.1.1(我們單位的路由器IP是的192.168.0.1)，這明顯是通過一臺非法搭建的路由器獲得的IP地址，隨后我們在該用戶計算機的瀏覽器上登錄192.168.1.1這個地址，即打開了一臺寬帶路由器的管理界面，好在這臺路由器的用戶名/密碼是默認的admin/admin，我們登陸進去，將該路由器的DHCP功能關閉，進行完以上操作后整個辦公室的網(wǎng)絡又穩(wěn)定了一段時間，但是前幾天又有用戶反映說是上不去網(wǎng)了，我們查了一下，故障現(xiàn)象跟上次的一樣，但是由于這次路由器被更改了登陸密碼，所以我們不能通過關閉該路由器的DHCP功能來解決問題了，這次到了徹底解決問題的時候了，一定要在局域網(wǎng)中揪出這臺私自為用戶分配IP地址的寬帶路由器，才有可能保證局域網(wǎng)的安全穩(wěn)定運行。

　　二、故障原因分析：

　　如下圖所示：

　　一般來講,網(wǎng)絡用戶通過網(wǎng)絡設備(交換機或其它)連接到路由器A,并通過DHCP服務獲取上網(wǎng)的相關參數(shù).即可上網(wǎng).但隨著網(wǎng)絡用戶的增多,尤其是筆記本用戶,無了實現(xiàn)無線上網(wǎng),在很多辦公室都架設一個無線路由共享上網(wǎng)。這樣就導致網(wǎng)絡中其它的用戶也就可能從這個無線路由獲取IP了。這里有兩種情況

　　1、無線路由器默認的DHCP服務是打開的，而且網(wǎng)關是192.168.1.1。一般用戶只設置了無線網(wǎng)絡參數(shù)，這樣網(wǎng)絡用戶就從它獲取了IP，導致在小范圍的局域網(wǎng)是通的，但與外網(wǎng)不通了，不能上網(wǎng)。

　　2、情況跟上面一樣了，但稍稍有點網(wǎng)絡知識的人就知道分別設置一下LAN端口和WAN端口網(wǎng)絡參數(shù)，這樣導致同樣IP是192.168.1打頭的用戶確可以上網(wǎng)了。即便這樣，從技術上完全可以的，但從網(wǎng)絡管理上來講是不科學的，因為它沒有必要架設一個路由，增加網(wǎng)絡運行負擔了。

　　三、故障排除

　　1、加強網(wǎng)絡配置管理規(guī)范化。

　　(1)、作為一個合格的網(wǎng)絡管理員，技術固然是重要的。但規(guī)范的管理可以減少很多不必要的麻煩。那就是凡是私自增加網(wǎng)絡設備的用戶要經(jīng)網(wǎng)管同意，在他技術指導下完成網(wǎng)絡設備的設置。

　　(2)、使用固定的IP地址

　　這種方案可以徹底解決非法DHCP服務的危害，因為網(wǎng)絡用戶都是固定的IP，不會自動獲取IP了。缺點是很多筆記本用戶由于上網(wǎng)環(huán)境不同，要經(jīng)常更改參數(shù)了。

　　少數(shù)網(wǎng)絡用戶很難記住為自己計算機分配IP地址，而且如果出現(xiàn)IP地址沖突之類的故障，又增加了排查沖突IP故障難度。

　　不過這個方案只要管理得當，每位網(wǎng)絡用戶認真遵守自己固定的IP，應該是一種不錯的辦法。而且不怕任何網(wǎng)絡用戶自己私自接寬帶路由器。

　　(3)、通過PPPOE的形式上網(wǎng)

　　這種形式有很多的好處，由于局域網(wǎng)用戶上網(wǎng)時不是通過DHCP的方式(當然也不用設置靜態(tài)IP地址)，而是通過PPPOE撥號獲得一個IP地址，這樣就不會受到非法的DHCP服務器的干擾了。

　　其實PPPOE服務器的好處不僅如此，一來架設一臺PPPOE服務器不是一件容易的事(不怕一般用戶無意惡意為之了)，二來通過PPPOE的方式上網(wǎng)，局域網(wǎng)內也不會發(fā)生ARP地址欺騙攻擊的問題了。：

　　2、通過各種技術手段排除故障

　　(1)、臨時性排除

　　1、通過命令釋放再獲取IP參數(shù)

　　ipconfig /release 和 ipconfig /renew

　　我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題，直到客戶機可以得到真實的地址為止。即先使用ipconfig /release釋放非法網(wǎng)絡數(shù)據(jù)，然后使用ipconfig /renew嘗試獲得網(wǎng)絡參數(shù)，如果還是獲得錯誤信息則再次嘗試/release與/renew直到得到正確信息。

　　提醒：這種方法治標不治本，反復嘗試的次數(shù)沒有保證，另外當DHCP租約到期后客戶端計算機需要再次尋找DHCP服務器獲得信息，故障仍然會出現(xiàn)。

　　2、設一個固定的IP

　　先給網(wǎng)絡用戶設一個固定的IP及網(wǎng)關、子網(wǎng)掩碼、DNS，可能確保暫時上網(wǎng)了。

　　(2)、“揪”出非法的DHCP服務

　　1、DHCP服務器也充當著網(wǎng)關的作用，如果獲得了非法網(wǎng)關地址，也就是知道了非法DHCP服務器的IP地址。通過ping (非法的DHCP服務)IP，通過arp -A查出MAC地址。知道了MAC地址，就可以在路由器中屏蔽這個MAC，或者是屏蔽該MAC的68端口。

　　2、如果是設置了無線路由的路由功能，那么通過以上方法查找的只能是無線路由器的LAN的MAC，而在中心路由器A中所能控制的只能是它的WAN端口了。這里提供一個小技巧:一般來講，無線路由器的LAN端口MAC和WAN端口MAC是連著的，即最后二位數(shù)是連著的。如下圖所示

　　其實我們在方法1得到的MAC是LAN的，但要在中心路由器A要封掉的MAC應該是WAN MAC了。這樣只要在中心路由器A的ARP緩存表找到與LAN MAC最接近的MAC即是了。

　　三、從技術上限制非法DHCP的產(chǎn)生

　　1、通過“域”的方式對非法DHCP服務器進行過濾

　　將合法的DHCP服務器添加到活動目錄(Active Directory)中，通過這種認證方式就可以有效的制止非法DHCP服務器了。原理就是沒有加入域中的DHCP Server在相應請求前，會向網(wǎng)絡中的其他DHCP Server發(fā)送DHCPINFORM查詢包， 如果其他DHCP Server有響應，那么這個DHCP Server就不能對客戶的要求作相應，也就是說網(wǎng)絡中加入域的DHCP服務器的優(yōu)先級比沒有加入域的DHCP服務器要高。這樣當合法DHCP存在時非法的就不起任何作用了。

　　提醒：這種方法效果雖然不錯，但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用，基本上使用工作組就足以應對日常的工作了。所以這個方法，效果也不錯，但不太適合實際情況。

　　2、在路由交換設備上封端口

　　DHCP服務主要使用的是UDP的67和68端口，DHCP服務器端應答數(shù)據(jù)包使用68端口，67端口為客戶機發(fā)送請求時使用。所以我們可以在路由器上保留服務器的68端口，封閉客戶機的68端口，就能達到過濾非法DHCP服務器的目的。

　　提醒：如果計算機很多的話，操作起來不方便，而且會增加路由器的負擔，影響到網(wǎng)絡速度。

　　凡是提供DHCP服務的服務器都必須設置固定IP地址，想在動態(tài)獲得IP信息的計算機上啟用DHCP服務是不可以的。而且雖然微軟公司在限制DHCP服務上做了規(guī)定，例如同一個網(wǎng)絡中不容許兩臺DHCP存在。

　　但是目前有很多第三方軟件可以建立DHCP服務器，甚至是寬帶路由器也將DHCP功能集成于自身配置中，因此在這種情況下就無法清楚的查詢出網(wǎng)絡中到底存在幾個DHCP服務器了，我們只能將懷疑對象一一關閉或者在交換機及路由器上將懷疑對象進行訪問控制列表過濾。總之網(wǎng)絡中存在非法DHCP服務器引起的網(wǎng)絡故障是非常難解決的，需要反復調查循序漸進。

　　反思：為什么不能讓網(wǎng)絡用戶的設備只能從指定的DHCP服務器獲取地址？

　　這個功能我想是大多數(shù)網(wǎng)絡管理員都非常向往的，在一次次追查那臺“非法”的寬帶路由器未果的時候，我們就在想，如果終端設備上能夠設置只通過指定的DHCP服務器獲取IP地址的話，這樣終端設備就不會被那臺寬帶路由器所干擾，我們也就不用找得這么辛苦了。