电脑连上了,但时不时连不上。
收到客户报修,说电脑上不了网。最近网络总是时好时坏。
在复杂的网络环境中,我们经常会遇到电脑本身状态良好,使用时无法上网,或者昨天关机前正常,今天却无法开机的情况。这种场景经常出现在有多个办公室的环境中,比如多个办公室的网络端口都连接到同一个局域网。这个局域网要么是内部网,要么是校园网。
遇到此类问题,相信大部分网络维护人员可能会给出以下修复建议:
1.电脑里有病毒吗?杀死病毒;
2.你试过换网线吗?墙上的网口是否坏了;
3.电脑系统有问题吗?要不要重装个系统看看?
4、 ......
一般都会出现这种无法上网的问题。基本上各种能试的方法客户都试了,除了不能试的,比如装系统,调试交换机。实在没办法了,就报了修。
经调查发现,电脑无法上网时,自动获取的IP地址信息有误。
到目前为止,你找到快速解决方案了吗?我估计你也会有这个想法——直接配置固定IP地址信息。
作为一个合格的网络维护人员,或者说作为一个负责人,应该找到故障的源头,真正解决问题。
经过一番调查,发现故障源是一台家用路由器。如果想了解如何故障排除,快速找到故障源,可以在评论区留言。当家用路由器开启DHCP功能,将LAN口连接到局域网时,就会出现上述问题。
原因找到了,怎么解决?
你可以把这个家用路由器的WAN口连接到局域网,配置WAN口自动获取IP地址,把LAN口连接到电脑就可以解决问题了。
但是,这种解决方法并不能一劳永逸。如果网络中其他地方也有类似的家用路由器,问题还是会再次出现。
完整的解决方案是屏蔽掉所有可能出现在网络中的此类现象。
下图是网络环境中的简单网络拓扑图:
小型局域网中的DHCP服务体系结构
终端连接到接入交换机,聚合交换机提供网关和DHCP服务。正常情况下,计算机从网关获取IP地址信息。如果有一天,这个网络中多了一个提供DHCP服务的设备,那么这个设备也会给网络中的一些终端分配IP地址信息。如下图:
网络中的私有路由器提供DHCP服务。
在网络的某个地方添加了一个家庭路由器,或者添加了一个交换机并提供了DHCP,如下图所示:
在接入网络中添加未知的DHCP服务。
只要加入的设备提供DHCP服务,无论是计算机服务器、交换机还是路由器,都会对网络中的终端产生一定的影响。即使它给可联网的终端分配了正确的地址,也会对现有的网络环境产生影响,包括但不限于IP地址冲突、网络安全等。
我们把这种未经授权的DHCP服务器(没有经过网络管理员的许可)称为伪DHCP,在实际的生产环境中应该被淘汰。
使用dhcp snooping工具可以屏蔽这种未经授权的DHCP服务器。
DHCP Snooping的功能是释放或阻止Dhcp服务器发送给Dhcp客户端的相关消息。对授权的DHCP服务器采取信任释放动作,对未授权的DHCP服务器采取不信任阻断动作。对于DHCP服务的工作原理,不了解的可以在评论区留言或者查阅其他资料,这里不做解释。
让我们来看看如何实现dhcp侦听。以上图中的伪DHCP应用程序为例,在接入交换机上实施以下配置步骤:
1.全局启用dhcp,例如dhcp enable和service dhcp。
2.全局启用dhcp侦听,例如dhcp侦听启用和ip dhcp侦听。
3.全局启用受保护vlan的dhcp侦听。不同品牌的开关不一样。例如,华为和华三交换机需要这种配置,而锐捷和思科交换机不需要。例如启用dhcp监听的vlan 40
4.将上行端口配置为可信端口,如dhcp侦听可信端口和ip dhcp侦听可信端口。
通常,直接或间接连接到授权的DHCP服务器的端口被设置为可信端口。这样,没有配置为可信的端口就不能转发DHCP服务报文,比如接入交换机的g0/0/2端口。
此时,网络中授权的DHCP服务器将受到保护,以保证网络的稳定性和安全性。
有人说,如果伪DHCP服务器连接的是汇聚交换机而不是接入交换机呢?如下图:
在聚合网络中添加未知的DHCP服务
正常情况下,汇聚设备不允许直接连接到终端。如果存在,那就好办了。只需在汇聚交换机上执行上述前三步配置,无需配置信任端口。
最后一个问题。让我们考虑一下。如果授权的DHCP服务器不是由这个汇聚交换机提供服务,而是由连接到第三层的上游路由器或计算机服务器提供服务,那么Dhcp Snooping配置会有什么变化吗?
以上内容适合初级网管和网络爱好者参考,欢迎建言献策。
鄂公网安备 42010302002470号
