網(wǎng)絡(luò)故障排查:非法 DHCP 服務(wù)器惹的禍,咋整?
搞網(wǎng)絡(luò)的朋友肯定遇到過(guò)這樣讓人頭大的情況:部分終端能上網(wǎng),部分卻不行,或者一會(huì)兒能上一會(huì)兒又掉線。今天咱就嘮嘮這類(lèi)問(wèn)題,帶你揪出背后的“元兇”——非法DHCP服務(wù)器,再講講怎么解決它!
一、問(wèn)題現(xiàn)象:網(wǎng)絡(luò)“抽風(fēng)”,原因幾何?
工程師排查網(wǎng)絡(luò)問(wèn)題時(shí),常遇到部分終端上網(wǎng)異常,反復(fù)斷連或設(shè)靜態(tài)IP后正常,這類(lèi)問(wèn)題大概率和DHCP服務(wù)器有關(guān)。
我們先回顧一下DHCP的工作過(guò)程:
每個(gè)終端上網(wǎng)都需獲取IP地址,若組網(wǎng)不規(guī)范,非法DHCP服務(wù)器介入,終端按最先收到的offer分配IP,若來(lái)自非法服務(wù)器,就可能連不上網(wǎng)。
二、常見(jiàn)場(chǎng)景:非法DHCP從哪來(lái)?
- 小餐廳:新AP和舊路由器級(jí)聯(lián),都開(kāi)DHCP,致IP分配混亂。
- 酒店客房:客人接入便攜WIFI設(shè)備,其DHCP功能干擾網(wǎng)絡(luò)。
- 企業(yè)辦公室:?jiǎn)T工私接無(wú)線路由器,設(shè)置不當(dāng)成非法DHCP服務(wù)器。
- 學(xué)生宿舍:多人接入網(wǎng)絡(luò)設(shè)備,DHCP功能沖突。
三、排查方法:揪出非法DHCP的“狐貍尾巴”
1. 查看終端網(wǎng)絡(luò)參數(shù)
確認(rèn)設(shè)備IP地址是否在預(yù)設(shè)段,網(wǎng)關(guān)地址是否合法,不一致則可能有非法DHCP服務(wù)器。
2. arp命令查網(wǎng)關(guān)MAC
Windows系統(tǒng)用arp -a命令查看網(wǎng)關(guān)MAC,
然后和網(wǎng)關(guān)設(shè)備LAN設(shè)置里的MAC對(duì)比,不同則有非法設(shè)備。
3. Wireshark抓包定位
釋放電腦IP后重新獲取,用Wireshark抓包,看有無(wú)多個(gè)offer回應(yīng),并對(duì)比源MAC地址定位非法設(shè)備。
四、解決方案:“對(duì)癥下藥”,解決網(wǎng)絡(luò)難題
1. 除掉非法設(shè)備或設(shè)置
定位后移除非法設(shè)備或關(guān)閉其DHCP功能,整頓網(wǎng)絡(luò)。
2. 設(shè)置網(wǎng)絡(luò)隔離或VLAN
交換機(jī)設(shè)端口隔離或VLAN,只許終端與上聯(lián)設(shè)備通信,降低私接設(shè)備影響。
3. 啟用交換機(jī)DHCP偵聽(tīng)
大中型網(wǎng)絡(luò)在網(wǎng)管交換機(jī)上啟用此功能,交換機(jī)只認(rèn)特定端口的DHCP服務(wù)器,禁止其他端口的DHCP數(shù)據(jù)包。
好啦,關(guān)于非法DHCP服務(wù)器的問(wèn)題就講到這。