【数据通信技术】校园DHCP排错问题.pdf

校园校园 DHCPDHCP 排错问题排错问题 案例背景：案例背景： 学校的客户反映，在局域网中配置了 DHCP Server 自动获取 IP 地址以后一段时间内出 现了以下情况： 1 部分客户机有时候能够上网有时候不能上网； 2 部分客户机突然一直无法上网； 3 有时候客户机一切正常 问题描述：问题描述： 图 1校园网络拓扑 维护人员到现场后发现，客户反映的情况只在一台汇聚层（Distribution）三层交换机 下面的用户群中发生，如图 1 所示 图 1 中的汇聚层（Distribution）交换机作为多个 Vlan 的网关和 DHCP 服务器在多个 Vlan 中均有用户反映上述的三个问题存在 目前用户上网必须通过基于 WEB 的认证之后才能正常进行，且按时间计费 分析与对策：分析与对策： 1 检查计费认证服务器，没有发现故障存在，而且由于其他大部分用户上网认证、计 费正常，所以排除是认证计费服务器的故障所引起的 2 进一步分析， 由于其他若干汇聚交换机下的用户应用一直正常， 所以初步定位故障 发生在本汇聚交换机及其以下的拓扑构成中 3 在登陆到汇聚交换机上后发现,其配置和其他汇聚交换机内容一致。

通过查看 ARP 表发现了许多非法的 IP 地址正常网段应该是 10.10.1.X/24而发现交换机上学到了一些 192.168.0.X/24 网段的地址，这些地址是不合法的，就是拥有这些非法地址的人无法上网 由于 DHCP Server 是汇聚交换机本身，通过查看 DHCP 已分配的地址列表发现其下的用户都 是获得了 10.10.1.X/24 的合法地址，所以确定 DHCP 机制本身的工作是正常的 4 到达出现问题的办公室， 在不能上网的机子上用 ipconfig 命令查看其获得的地址， 发现他们全部都是获得了 192.168.0.X/24 网段的非法地址 在手动改成静态合法 IP 之后上 网恢复正常 5 释放地址后重新自动获得，反复几次发现仍然获得的是 192.168.0.X/24 的非法地 址，还有一次获得了 172.16 网段的地址 现在情况已经非常清楚了，原因就在于同一个网段中还存在另外一个或几个非法的 DHCP Server，它们同汇聚交换机一起向本网段的用户提供 DHCP 服务因此用户获得的地址 有的是合法的，有的是非法的，所以产生了本文开头客户描述的三种网络故障 处理结果：处理结果： 1 首 先 需 要 确 定 非 法 DHCP Server 在 网 络 中 的 位 置 。

在 某 台 PC 上 获 得 了 192.168.0.X/24 网段的非法地址之后，发现网关是 192.168.0.1，直接 ping 网关发现是通 的所以初步认定配置了 192.168.0.1 地址的机器是非法 DHCP Server 的一个 由于办公室机器不多， 很轻松地就找到了这台机器 登录后发现上面竟然正在运行一款 网络代理软件，在这款软件中果然镶嵌了 DHCP 功能，机器绑定了两个 IP 地址通过进一步 了解得知由于学校上网是按时间收费的， 为了逃避学校的收费， 这位同学用自己的机子做了 个代理服务器，通过 DHCP 分配了一些地址给他人这样，其他人就可以用这台代理服务器 绕开认证计费服务器免费上网了（当时的认证计费服务器还没有防代理的功能） 我们立刻 关闭了代理软件，办公室其他机器重新获得地址正确，上网恢复正常 由于证据确凿， 网管立即上报领导 此次事件属于学生有意逃避缴费， 影响了正常办公， 后来受到了处分 2 正当我们以为排错结束之时，发现有用户反映他仍然获得了非法的 172.16 网段地 址在汇聚交换机上通过使用 show arp 命令我们很容易就找了 IP 以 172.16 开头的二层接 入物理口。

在另一个办公室内，发现连接的是一台 HUB，看来这里还有另一个非法的 DHCP Server办公室只有四台电脑和一台打印机，都开着可是我们没有发现使用代理软件的情 况这里的机器有时候能获得合法地址，有时候获得的是非法地址我们将 HUB 上的网线全 部拔除，发现同网段其它机器没有获得非法地址看来问题就在这个办公室 3 先将 1 号机器连上 HUB，反复测试，正常；分别将 2、3、4 好机器接上后反复测试， 正常；将打印机接上 HUB 后，部分机器获得了非法地址 结论：是打印机充当了 DHCP Server 的功能 4 我们找到了这款打印机的说明书，仔细阅读后发现，这款打印机的确默认开启了 172.16 网段的 DHCP Server 功能，是为网络打印服务的使用打印机自带的客户端管理软 件，我们将它的 DHCP 功能关闭后反复测试，发现其它 PC 自动获得的 IP 地址正确，网络已 经恢复正常 至此我们发现并解决了两个关于 DHCP 的问题一个是人为的恶意软件造成的；一个是 机器本身的属性误操作引起的事实上，这两个原因正是现在应用 DHCP 的网络出现故障的 主要原因 基于以上的分析，我们决定在学校已使用 DHCP 服务的网络中启用 DHCP Snooping 功能。

此功能可以防止网络中设置的非法 DHCP 服务器对正常 DHCP 服务器的影响 如图 2 所示，DHCP 服务器 1 是管理员设置的，是合法的，它连接交换机的 fei_1/1服 务器2连接交换机的fei_1/2,是用户私自设立的， 属于非法DHCP服务器 fei_1/1和fei_1/2 都属于 vlan100在交换机上启用 DHCP Snooping 功能，防止网络中设置的非法 DHCP 服务 器干扰正常 DHCP 的工作 图 2DHCP snooping 防止非法 DHCP 服务器示意图 这时候我们需要在 Vlan100 中开启 DHCP Snooping 功能，并把 fei_1/1 口配置为信任端 口 这样从信任口上来的 DHCP 包是合法的， 而若交换机从非信任口上检测到有 DHCP 应答包 则认为其是非法的，全部丢弃 ZXR10 交换机上的配置： ZXR10(config)#interface fei_1/1 ZXR10(config-if)#sw access vlan 100 ZXR10(config)#interface fei_1/2 ZXR10(config-if)#sw access vlan 100 ZXR10(config)#ip dhcp snooping enable ZXR10(config)#ip dhcp snooping vlan 100 ZXR10(config)#ip dhcp snooping trust fei_1/1 /将 fei_1/1 口设置为信任口 故障小结：故障小结： 事实上，由人为的、恶意软件造成的 DHCP 故障，以及设备属性误操作引起的 DHCP 故障 正是现在应用 DHCP 的网络中故障的主要原因。

由恶意软件造成的私设 DHCP 服务器的问题我们一般采用 DHCP Snooping 技术加以解决 总之， 一个健全的 DHCP 网络服务体系是一个健康 DHCP 网络的前提 作为一个优秀的网 络管理员， 一方面要完善网络架构设计和技术配置； 另一方面在网络出现故障的时候要冷静 地有层次地分析，尽快找出故障点加以排除。