来自 新葡亰服务器 2019-11-06 19:36 的文章
当前位置: 澳门新葡亰app > 新葡亰服务器 > 正文

所以我们不能通过关闭该路由器的DHCP功能来解决

众所周知每台计算机要想正常上网需要有一个地址,这个地址就是我们常说的IP地址。在实际工作中身为网络管理员的我们如何有效的管理这些IP地址呢?为每台计算机设置对应的IP地址,子网掩码,网关地址,DNS地址等网络参数的话固然是可以的,但是非常的烦琐,工作量大不说,在实际应用中很可能经常会出现冲突的现象。

熟悉网络管理的朋友对DHCP服务并不陌生,它给我们的网络管理带来极大的方便,只要在DHCP服务端配置好,可以让终端用户快速方便上网,无须作任何参数设置。

我们如何有效的分配这些网络参数呢?DHCP服务可以帮我们大忙,通过将DHCP服务配置在专业的服务器上,然后为网络中所有普通客户机分配IP等信息是件效率非常高的工作。不过DHCP在为我们网络管理提供便利的同时也带来了一些问题。例如网络带宽受影响,客户机经常无法获得正确的地址信息,甚至是无法获得任何信息。其实这些故障我们都可以按照一定的规律去解决的,今天就由笔者为各位读者全面介绍排查DHCP故障的方法。

但如果配置不当,架设不正确,它会让我们的网络不通,而且查找起来很麻烦了。下面以本人工作所遇到故障为例,相信也是大多网管经常碰到的,从故障现象、故障原因、故障排除几方面加以分析。

一、概念篇:

一、故障现象:

在介绍排查DHCP故障之前首先为大家阐明几个概念性的东西,只有理论上充实了,才能更好的理解下面介绍的故障排除的思路。

网络用户反映:网络连接正常,而且还可以访问到部分办公室计算机了,但就是上不了网。

第一:DHCP服务能够提供什么数据?DHCP服务不是万能的,他只能提供网络层相关的参数,例如IP地址,MASK地址,网关地址,WINS与DNS服务器地址等。对于更低层的地址,诸如MAC地址等信息是无法提供的。MAC地址是烧录在计算机网卡中的。

我们查看了一下故障,发现故障现象也很明显,即上不去网的用户获得了一个以192.168.1打头的IP地址,网关为192.168.1.1(我们单位的路由器IP是的192.168.0.1),这明显是通过一台非法搭建的路由器获得的IP地址,随后我们在该用户计算机的浏览器上登录192.168.1.1这个地址,即打开了一台宽带路由器的管理界面,好在这台路由器的用户名/密码是默认的admin/admin,我们登陆进去,将该路由器的DHCP功能关闭,进行完以上操作后整个办公室的网络又稳定了一段时间,但是前几天又有用户反映说是上不去网了,我们查了一下,故障现象跟上次的一样,但是由于这次路由器被更改了登陆密码,所以我们不能通过关闭该路由器的DHCP功能来解决问题了,这次到了彻底解决问题的时候了,一定要在局域网中揪出这台私自为用户分配IP地址的宽带路由器,才有可能保证局域网的安全稳定运行。

第二:多台DHCP服务器是否可以同时运行?DHCP服务器是通过广播包向客户机发送网络信息的,因此如果同一个网络中确切的说是同一个广播域中存在多台 DHCP服务器的话,就会出现各个服务器提供各自的网络信息,这样就造成网络中广播数据包的冲突。客户机不知道该接受哪台DHCP服务器发来的信息。因此微软公司设置默认情况下同一个广播域网络中只能存在一台DHCP服务器,后设置建立或启用的DHCP将无法工作。

二、故障原因分析:

第三:租约是什么?在配置DHCP服务器过程中会设置租约的天数,那么什么是租约呢?在DHCP服务器将网络信息分配数据包发给客户机后会收到客户机发回的答复数据包,接着DHCP服务器会将已经分配出去的IP地址与从客户机接收到的该计算机MAC地址建立一个对应关系,并把这个对应关系保存在DHCP服务器的租约池中。为什么需要这个租约池呢?一方面为下次分配网络参数信息提高了速度。不过如果该MAC地址对应条目的客户计算机被移到其他地方或者MAC 地址发生了改变的话,如果上面建立的对应关系一直保存在DHCP服务器的租约池中就会造成可用的IP地址数量越来越少,很多有效的地址被无效的MAC占用,因此微软引入了租约这个概念。通过租约我们可以强制每隔一段时间将DHCP服务器的租约池中保存的对应条目全部清空,从而防止了非法MAC地址霸占合法IP的现象。

如下图所示:

第四:我的客户机可以从DHCP服务器获得169.254.*.*形式的IP信息,这句话是错误的。为什么呢?微软公司在windows2000系统中提供了这样的功能,即如果网络中不存在任何DHCP服务器,客户机本地网络信息又被设置为自动获得IP方式的话,那么windows2000及其以上操作系统将自动为自己分配一个诸如169.254.*.*形式的IP信息。因此如果你发现自己的客户机只能获得169.254.*.*这样的IP地址的话,说明你的DHCP服务器没有正常工作。

澳门新葡亰app 1

二、客户端排障:

一般来讲,网络用户通过网络设备(交换机或其它)连接到路由器A,并通过DHCP服务获取上网的相关参数.即可上网.但随着网络用户的增多,尤其是笔记本用户,无了实现无线上网,在很多办公室都架设一个无线路由共享上网。这样就导致网络中其它的用户也就可能从这个无线路由获取IP了。这里有两种情况

DHCP故障主要有两个方面,客户机存在问题以及服务器自身问题。首先我们来介绍下在客户端进行的排除故障方法。

1、无线路由器默认的DHCP服务是打开的,而且网关是192.168.1.1。一般用户只设置了无线网络参数,这样网络用户就从它获取了IP,导致在小范围的局域网是通的,但与外网不通了,不能上网。

第一步:通过任务栏的“开始->运行->输入CMD”进入命令行模式。
第二步:在命令行模式中输入ipconfig后回车,看是否可以自动获得IP地址。

2、情况跟上面一样了,但稍稍有点网络知识的人就知道分别设置一下LAN端口和WAN端口网络参数,这样导致同样IP是192.168.1打头的用户确可以上网了。即便这样,从技术上完全可以的,但从网络管理上来讲是不科学的,因为它没有必要架设一个路由,增加网络运行负担了。

小提示:在进行前两步操作前首先要保证客户机的IP地址分配方式被设置为自动获得IP地址。

三、故障排除

第三步:如果可以获得正确的IP地址说明DHCP正常,如果发现获得错误的地址,其中包括169.254.*.*这样的形式,则执行ipconfig /release命令,该命令是将当前获得的网络参数信息释放。

1、加强网络配置管理规范化。

第四步:释放网络参数后再次执行ipconfig我们会看到当前得到的网络参数已经为空,所有信息变成0.0.0.0。如图1)

(1)、作为一个合格的网络管理员,技术固然是重要的。但规范的管理可以减少很多不必要的麻烦。那就是凡是私自增加网络设备的用户要经网管同意,在他技术指导下完成网络设备的设置。

图1 点击看大图

(2)、使用固定的IP地址

第五步:释放得到的错误信息后执行ipconfig /renew将自动获得新的信息。如图2)

这种方案可以彻底解决非法DHCP服务的危害,因为网络用户都是固定的IP,不会自动获取IP了。缺点是很多笔记本用户由于上网环境不同,要经常更改参数了。

图2 点击看大图

少数网络用户很难记住为自己计算机分配IP地址,而且如果出现IP地址冲突之类的故障,又增加了排查冲突IP故障难度。

小提示:如果我们不执行释放IP信息的命令直接运行ipconfig /renew的话将无法重新获得IP信息。因此第三步必不可少。

不过这个方案只要管理得当,每位网络用户认真遵守自己固定的IP,应该是一种不错的办法。而且不怕任何网络用户自己私自接宽带路由器。

第六步:重新获得IP信息后我们查看当前的地址参数,如果无法获得任何信息的话还是要从本机入手解决问题,如果获得的是错误信息的话则需要找到DHCP服务器,对其进行检查。

(3)、通过PPPOE的形式上网

第七步:将本地网卡禁用然后再次启用,按照上面介绍的步骤重新做一次。

这种形式有很多的好处,由于局域网用户上网时不是通过DHCP的方式(当然也不用设置静态IP地址),而是通过PPPOE拨号获得一个IP地址,这样就不会受到非法的DHCP服务器的干扰了。

第八步:如果我们知道DHCP服务器的IP地址的话,可以在客户机上使用ping命令“ping 服务器ip”查看网络连通情况。

其实PPPOE服务器的好处不仅如此,一来架设一台PPPOE服务器不是一件容易的事(不怕一般用户无意恶意为之了),二来通过PPPOE的方式上网,局域网内也不会发生ARP地址欺骗攻击的问题了。:

第九步:在系统的“事件查看器”中寻找有无关于DHCP服务相关的故障记录。方法是“开始->控制面板->管理工具->事件查看器”。如图3)

澳门新葡亰app,2、通过各种技术手段排除故障

图3 点击看大图

(1)、临时性排除

第十步:通过“开始->控制面板->管理工具->服务”打开服务设置窗口,在服务列表中找到dhcp client service。如图4)在其上双击,然后点停止按钮,接着再点启动按钮将其重新启动。如果发现该服务本身没有启用则更说明了故障的根源所在,直接启动并设置启动方式为“自动”即可。如图5)

通过命令释放再获取IP参数

图4 点击看大图

ipconfig /release 和 ipconfig /renew

图5

澳门新葡亰官网APP,我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据,然后使用ipconfig /renew尝试获得网络参数,如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

第十一步:打开网络的本地连接进行修复,方法是“网上邻居->属性->本地连接->修复”。系统将自动清除ARP缓存与NETBS信息,接着更新DNS与DHCP服务组件与相关信息。如图6)

提醒:这种方法治标不治本,反复尝试的次数没有保证,另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息,故障仍然会出现。

图6 点击看大图

设一个固定的IP

第十二步:如果上面十一步仍然不能解决问题的话,我们只能先使用静态IP地址与DNS等网络信息配置本机来进行检测了。如果配置了静态IP信息后可以正常上网,连接LAN的话,则说明问题的出在客户机与DHCP服务器的连接或者DHCP服务器自身上。我们就要将问题的起因放到DHCP服务器上。

先给网络用户设一个固定的IP及网关、子网掩码、DNS,可能确保暂时上网了。

小提示:有的时候为客户端设置一个其他用户,然后使用该用户登录也可以解决部分DHCP故障,另外用 lspfix.exe或winsockxpfix.exe,修复tcpip的栈区错误,结合“开始->运行->输入sfc /scannow”扫描一遍系统文件也能得到意想不到的结果。

(2)、“揪”出非法的DHCP服务

三、服务器排障:

1、DHCP服务器也充当着网关的作用,如果获得了非法网关地址,也就是知道了非法DHCP服务器的IP地址。通过ping (非法的DHCP服务)IP,通过arp -A查出MAC地址。知道了MAC地址,就可以在路由器中屏蔽这个MAC,或者是屏蔽该MAC的68端口。

DHCP 服务器的排障方法我们已经介绍过很多了,感兴趣的读者可以查阅以前服务器频道相关文章。主要的手段就是查询服务器上的dhcp server的设置是否正常,如果没有启用将其开启。另外还要时不时的将DHCP服务器关闭查看是否网络中还存在其他DHCP服务器从而产生冲突。另外在网络建立域的情况下,要想开启DHCP服务器是需要由域控制对该DHCP服务器授权的,所以授权工作不要遗忘。

2、如果是设置了无线路由的路由功能,那么通过以上方法查找的只能是无线路由器的LAN的MAC,而在中心路由器A中所能控制的只能是它的WAN端口了。这里提供一个小技巧:一般来讲,无线路由器的LAN端口MAC和WAN端口MAC是连着的,即最后二位数是连着的。如下图所示:

还需要提的一点就是租约的问题,如果发现DHCP工作正常,一部分客户机无法获得IP信息,执行ipconfig /renew提示找不到DHCP服务器,而另外一部分可以正常获得的话,百分之九十是因为租约的原因,要嘛租约里保存的信息过多,需要我们手工清除一次;要嘛租约时间设置的过长,以至于大量非法MAC占用了有效IP地址。

澳门新葡亰app 2

小提示:凡是提供DHCP服务的服务器都必须设置固定IP地址,想在动态获得IP信息的计算机上启用DHCP服务是不可以的。而且虽然微软公司在限制 DHCP服务上做了规定,例如同一个网络中不容许两台DHCP存在。但是目前有很多第三方软件可以建立DHCP服务器,甚至是宽带路由器也将DHCP功能集成于自身配置中,因此在这种情况下就无法清楚的查询出网络中到底存在几个DHCP服务器了,我们只能将怀疑对象一一关闭或者在交换机及路由器上将怀疑对象进行访问控制列表过滤。总之网络中存在非法DHCP服务器引起的网络故障是非常难解决的,需要反复调查循序渐进。

其实我们在方法1得到的MAC是LAN的,但要在中心路由器A要封掉的MAC应该是WAN MAC了。这样只要在中心路由器A的ARP缓存表找到与LAN MAC最接近的MAC即是了。

总结:当DHCP 服务出现问题时不要盲目的去服务器上查找结果,大部分时候都是因为客户机故障造成的,另外客户机与服务器之间的媒介也要值得注意,网线是否连接正常,交换机是否工作正常都是需要考虑的,必要时一定要多多替换,换几个网线或几个交换机端口来判断。切记不要想当然去操作,要脚踏实地的去测量才能得到真正的结果。

三、从技术上限制非法DHCP的产生

...

1、通过“域”的方式对非法DHCP服务器进行过滤

将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM查询包, 如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。

提醒:这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法,效果也不错,但不太适合实际情况。

2、在路由交换设备上封端口

DHCP服务主要使用的是UDP的67和68端口,DHCP服务器端应答数据包使用68端口,67端口为客户机发送请求时使用。所以我们可以在路由器上保留服务器的68端口,封闭客户机的68端口,就能达到过滤非法DHCP服务器的目的。

提醒:如果计算机很多的话,操作起来不方便,而且会增加路由器的负担,影响到网络速度。

凡是提供DHCP服务的服务器都必须设置固定IP地址,想在动态获得IP信息的计算机上启用DHCP服务是不可以的。而且虽然微软公司在限制DHCP服务上做了规定,例如同一个网络中不容许两台DHCP存在。

但是目前有很多第三方软件可以建立DHCP服务器,甚至是宽带路由器也将DHCP功能集成于自身配置中,因此在这种情况下就无法清楚的查询出网络中到底存在几个DHCP服务器了,我们只能将怀疑对象一一关闭或者在交换机及路由器上将怀疑对象进行访问控制列表过滤。总之网络中存在非法DHCP服务器引起的网络故障是非常难解决的,需要反复调查循序渐进。

反思:为什么不能让网络用户的设备只能从指定的DHCP服务器获取地址?

这个功能我想是大多数网络管理员都非常向往的,在一次次追查那台“非法”的宽带路由器未果的时候,我们就在想,如果终端设备上能够设置只通过指定的DHCP服务器获取IP地址的话,这样终端设备就不会被那台宽带路由器所干扰,我们也就不用找得这么辛苦了。

本文由澳门新葡亰app发布于新葡亰服务器,转载请注明出处:所以我们不能通过关闭该路由器的DHCP功能来解决

关键词: