電腦之家

1愛的鼓勵 0訂閱站台

　　客人在我所供職的酒店上網的時候，經常會彈出一個對話框，顯示一些提示，如上網的注意事項和消費標準等信息;并且有自己的電影和歌曲服務器，DHCP-server也是其中的一臺服務器，賓館、酒店就是用這臺機器，為客戶分配IP地址提供上網功能，即客戶把自己的計算機連上網線，網卡配置自動獲取IP地址，就會從動態主機配置協議(DHCP)服務器分配到一個IP地址;采用DHCP server可以自動為用戶設置網絡IP地址、掩碼、網關、DNS、Wins 等網絡參數，簡化了用戶網絡設置，提高了管理效率。
　　那么我們的問題也出現了:常見的，很多用戶抱怨用這種方法上不了網，但不是所有客戶都上不了網。經過調查發現，住賓館、酒店的人絕大多數是商務人員和工程師，他們攜帶的手提電腦一般安裝的是Windows server版本，server版本默認啟動了DHCP server功能，當一臺這樣的計算機連入網絡，在他之后的計算機就會把他當成DHCP服務器，并被分配了不正確的IP地址，從而上不了網。
　　DHCP服務器地址分配方式
　　DHCP是一種用于簡化主機IP配置管理的協議標準。通過采用DHCP標準，可以使用DHCP服務器為網絡上所有啟用了DHCP的客戶端分配、配置、跟蹤和更改(必要時)所有TCP/IP設置。此外，DHCP還可以確保不使用重復地址、重新分配未使用的地址，并且可以自動為主機連接的子網分配適當的IP地址。當一個網絡中，有2個或2個以上的DHCP服務器時，提醒切勿將DHCP地址池定義的過大，以免多個地址池之間出現“包含于”的關系，或者是部分客戶端手工指定的IP地址包含于DHCP服務器的地址池中，從而造成DHCP的一些異常故障。
　　針對不同的需求，DHCP服務器有三種機制分配IP地址:
　　自動分配 DHCP服務器給首次連接到網絡的某些客戶端分配固定IP地址，該地址由用戶長期使用;
　　動態分配 DHCP服務器給客戶端分配有時間限制的IP地址，使用期限到期后，客戶端需要重新申請地址，客戶端也可以主動釋放該地址。絕大多數客戶端主機得到的是這種動態分配的地址;
　　手動分配 由網絡管理員為客戶端指定固定的IP地址。
　　三種地址分配方式中，只有動態分配可以重復使用客戶端不再需要的地址。
　　每項技術都是有利有弊的，DHCP也不例外，由于DHCP有著配置簡單，管理方便的優點，問題也隨之產生，由于DHCP的運作機制，通常服務器和客戶端沒有認證機制，如果網絡上存在多臺DHCP服務器將會給網絡造成混亂。由于用戶不小心配置了DHCP服務器引起的網絡混亂非常常見，足可見此問題的普遍性。
　　本人在從事網絡工作的幾年里，遇到過很多問題，其中有關DHCP-server沖突的不在少數，在解決問題的同時也總結了一些經驗，在這里簡單介紹一下，與大家分享，希望給在解決此類問題的同行一些幫助，也希望廣大高手指出其中的不足和需要改進的地方。
　　DHCP服務器沖突的解決方法
　　使用DHCP snooping技術來解決
　　針對這種DHCP服務器沖突的解決方法有很多，最直接的方法就是貼告示，讓入住的客戶在上網時關閉Windows的DHCP網絡服務，這個選項在‘控制面板’，‘管理工具’里的‘DHCP網絡服務’，進入關閉即可。這里要注意的是，非server版的Windows不用關閉，并且不要把‘控制面板’，‘管理工具’，‘服務’中的DHCP client給停止了，這樣是分配不到地址的。
　　當然上面的方法比較被動也不合常理，更不便于我們網絡的管理，所以還是應該從我們網絡本身出發來解決問題。
　　既然是DHCP的問題，那么我們就用DHCP的技術來解決問題，比較有代表的就是DHCP snooping技術。DHCP snooping技術是DHCP安全特性，通過建立和維護DHCP snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。DHCP snooping綁定表包含不信任區域的用戶mac地址、IP地址、租用期、vlan-id接口等信息。
　　首先定義交換機上的信任端口和不信任端口，其中信任端口連接DHCP服務器或其他交換機的端口;不信任端口連接用戶或網絡。不信任端口將接收到的DHCP服務器響應的DHCP ack 和DHCP off報文丟棄;而信任端口將此配置中的命令都是以CISCO的設備為基礎，但不管是哪個公司的設備，總體設計思想是一致的，不同的可能在命令格式上略有差異，工作人員應該根據具體的實際情況來解決相應的問題。
　　在全局模式下啟動DHCP snooping功能，這個默認是關閉的，而且不是所有設備都支持這個功能，最好先看使用說明。
　　switch(config)#ip dhcp-snooping
　　如果有vlan就使用下面的命令來監測具體的vlan
　　switch(config)#ip dhcp-snooping vlan vlan-id
　　然后定義可信任的端口，默認情況交換機的端口均為不信任端口，通常網絡設備接口， TRUNK 接口和連接DHCP服務器的端口定義為可信任端口。
　　switch(config)#int f0/x
　　switch(config-if)#ip dhcp snooping trust
　　使用PVLAN技術來解決
　　有很多二層的技術可以防止DHCP-server沖突的，PVLAN就是其中一個運用比較廣的技術。
　　PVLAN私有局域網(private vlan)，在PVLAN的概念里，端口有3種類型:Isolated port，Community port, Promiscuous port;它們分別對應不同的vlan類型:Isolated port屬于Isolated PVLAN，Community port屬于Community PVLAN，而代表一個Private vlan整體的是Primary vlan，前面兩類vlan需要和它綁定在一起，同時它還包括Promiscuous port。在Isolated PVLAN中，Isolated port只能和Promiscuous port，彼此之間不能訪問;在Community PVLAN中，vlan與vlan之間都不能訪問，同一Community vlan的接口可以互相訪問，并且所有Community vlan的接口都可以與Promiscuous port進行通信。利用這項技術，我們可以把上連或連接DHCP服務器的接口定義為Promiscuous port，其他接口分配到Isolated vlan里，這樣所有接口都只能與上連或DHCP服務器進行通信，即使有一臺機器設為DHCP服務器，其他機器也不會與它產生流量，把它做為服務器。
　　利用這個技術解決DHCP-server沖突的方法有很多，也很靈活，下面介紹一種比較簡單的方法，也是用的比較多的:
　　首先把交換機配置成transparents模式:
　　switch(config)#vtp mode transparent
　　順便可以打開端口的保護功能，它的意思是打開端口保護的端口之間不能訪問， 廚具但打開保護的端口可以與沒有開啟此項功能的端口通信，可以根據自己的需求來打開保護功能:
　　switch(config)#int range f0/124
　　switch(config-if-range)#switchitchport protected
　　建立isolated vlan和primary vlan，把isolated vlan定義為primary lan的附屬vlan，因為要與primary互相訪問:
　　switch(config)#vlan 14
　　switch(config-vlan)private-vlan isolated
　　switch(config)#vlan 44
　　switch(config-vlan)#private-vlan primary
　　switch(config-vlan)#private-vlan association 14