局域网中非法搭建DHCP服务故障探讨.docVIP

局域网中非法搭建DHCP服务故障探讨 熟悉网络管理的朋友对DHCP服务并不陌生，它给我们的网络管理带来极大的方便，只要在DHCP服务端配置好，可以让终端用户快速方便上网，无须作任何参数设置。 熟悉网络管理的朋友对DHCP服务并不陌生，它给我们的网络管理带来极大的方便，只要在DHCP服务端配置好，可以让终端用户快速方便上网，无须作任何参数设置。 但如果配置不当，架设不正确，它会让我们的网络不通，而且查找起来很麻烦了。下面以本人工作所遇到故障为例，相信也是大多网管经常碰到的，从故障现象、故障原因、故障排除几方面加以分析。 一、故障现象： 网络用户反映：网络连接正常，而且还可以访问到部分办公室计算机了，但就是上不了网。 我们查看了一下故障，发现故障现象也很明显，即上不去网的用户获得了一个以192.168.1打头的IP地址，网关为192.168.1.1(我们单位的路由器IP是的192.168.0.1)，这明显是通过一台非法搭建的路由器获得的IP地址，随后我们在该用户计算机的浏览器上登录192.168.1.1这个地址，即打开了一台宽带路由器的管理界面，好在这台路由器的用户名/密码是默认的admin/admin，我们登陆进去，将该路由器的DHCP功能关闭，进行完以上操作后整个办公室的网络又稳定了一段时间，但是前几天又有用户反映说是上不去网了，我们查了一下，故障现象跟上次的一样，但是由于这次路由器被更改了登陆密码，所以我们不能通过关闭该路由器的DHCP功能来解决问题了，这次到了彻底解决问题的时候了，一定要在局域网中揪出这台私自为用户分配IP地址的宽带路由器，才有可能保证局域网的安全稳定运行。 二、故障原因分析： 如下图所示： 一般来讲,网络用户通过网络设备(交换机或其它)连接到路由器A,并通过DHCP服务获取上网的相关参数.即可上网.但随着网络用户的增多,尤其是笔记本用户,无了实现无线上网,在很多办公室都架设一个无线路由共享上网。这样就导致网络中其它的用户也就可能从这个无线路由获取IP了。这里有两种情况 1、无线路由器默认的DHCP服务是打开的，而且网关是192.168.1.1。一般用户只设置了无线网络参数，这样网络用户就从它获取了IP，导致在小范围的局域网是通的，但与外网不通了，不能上网。 2、情况跟上面一样了，但稍稍有点网络知识的人就知道分别设置一下LAN端口和WAN端口网络参数，这样导致同样IP是192.168.1打头的用户确可以上网了。即便这样，从技术上完全可以的，但从网络管理上来讲是不科学的，因为它没有必要架设一个路由，增加网络运行负担了。 三、故障排除 1、加强网络配置管理规范化。 (1)、作为一个合格的网络管理员，技术固然是重要的。但规范的管理可以减少很多不必要的麻烦。那就是凡是私自增加网络设备的用户要经网管同意，在他技术指导下完成网络设备的设置。 (2)、使用固定的IP地址 这种方案可以彻底解决非法DHCP服务的危害，因为网络用户都是固定的IP，不会自动获取IP了。缺点是很多笔记本用户由于上网环境不同，要经常更改参数了。 少数网络用户很难记住为自己计算机分配IP地址，而且如果出现IP地址冲突之类的故障，又增加了排查冲突IP故障难度。 不过这个方案只要管理得当，每位网络用户认真遵守自己固定的IP，应该是一种不错的办法。而且不怕任何网络用户自己私自接宽带路由器。 (3)、通过PPPOE的形式上网 这种形式有很多的好处，由于局域网用户上网时不是通过DHCP的方式(当然也不用设置静态IP地址)，而是通过PPPOE拨号获得一个IP地址，这样就不会受到非法的DHCP服务器的干扰了。 其实PPPOE服务器的好处不仅如此，一来架设一台PPPOE服务器不是一件容易的事(不怕一般用户无意恶意为之了)，二来通过PPPOE的方式上网，局域网内也不会发生ARP地址欺骗攻击的问题了。： 2、通过各种技术手段排除故障 (1)、临时性排除 通过命令释放再获取IP参数 ipconfig /release 和 ipconfig /renew 我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。 提醒：这种方法治标不治本，反复尝试的次数没有保证，另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息，故障仍然会出现。 设一个固定的IP 先给网络用户设一个固定的IP及网关、子网掩码、DNS，可能确保暂时上网了。 (2)、“揪”出非法的DHCP服务 1、DHCP服务器也充当着网关的作用，如果获得了非法网关地址，也就