无线路由器配置问题引起的网络故障及解决方案

无线网络现在应用越来越广泛了，但是如果无线路由器配置为自动获取DHCP后，会出现网络中一部分VLAN里的电脑不能自动获取IP地址，导致无法正常上网。

在我台网络中，有时私接的无线路由器配置为自动获取DHCP，可能导致员工电脑得到错误的IP地址而不能上网。有些即使可以上网，但是这台无线路由器下连接了很多上网设备。而我台网络中又使用了流控设备，单一IP限速在1M，因此，使用了自动获取DHCP的无线路由器下的电脑是用同一个IP，共享1M带宽上网，这些电脑上网就有可能很慢甚至时断时续。

无线路由器配置为自动获取DHCP，为什么会出现电脑获取错误的IP地址呢？这主要是由于DHCP技术原因引起的。现分析如下：

DHCP采用“客户端/服务器”通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等配置信息，以实现网络资源的动态配置。

DHCP客户端从DHCP服务器动态获取IP地址，主要通过四个阶段进行：

一、发现阶段， 即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。

二、提供阶段，即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端发送的DHCP-DISCOVER报文后，根据IP地址分配的优先次序从地址池中选出一个IP地址，与其他参数一起通过DHCP-OFFER报文发送给客户端。

三、选择阶段，即DHCP客户端选择IP地址的阶段。如果有多台DHCP 服务器向该客户端发来DHCP-OFFER报文，客户端只接受第一个收到的DHCP-OFFER报文，然后以广播方式发送DHCP-REQUEST报文，该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。

四、确认阶段，即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后，只有DHCP客户端选择的服务器会进行如下操作：如果确认地址分配给该客户端，则返回DHCP-ACK报文；否则将返回DHCP-NAK报文，表明地址不能分配给该客户端。

根据上述原理，我们发现这样一个问题：DHCP报文在客户端和服务器的交互过程中并没有认证机制，如果网络中存在多台DHCP服务器时，服务器将无法保证客户端从服务器指定的DHCP服务器获取合法地址，客户机可能从非法DHCP服务器获得IP地址等配置信息，导致网络分配地址混乱而使有些VLAN下的电脑获得错误的IP地址而不能上网。

这个问题主要是由于无线路由器配置为自动获取DHCP后导致的，我们只要把这台无线路由器找到，然后把它的模式改为交换模式就可以解决这个问题了。但是，由于我台网络较大，加之有些无线路由器是员工私接的，当我们发现某一VLAN下的电脑由于获得错误IP而不能上网时，该私接的无线路由器却不知道放置在哪里。即使找到了，也已经更改了无线路由器的管理员密码，使得我们无法登陆无线路由器更改无线路由器配置。我们多次用行政手段要求把无线路由器的配置改为交换模式，但是收效甚微。于是我们想到如何使用技术手段来解决这个问题。我台连接电脑的二层交换机大部分为华三的S3100-SI系列以太网交换机，还有部分为华三的S5120-SI系列以太网交换机。针对这两种交换机，我们通过对交换机功能进行分析发现可以使用技术手段解决这个问题，具体如下：

一、华三的S5120-SI系列以太网交换机解决这个问题的方法是：在网络中如果有私自架设的 DHCP服务器，将可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址，S5120-SI系列以太网交换机的DHCP Snooping安全机制，允许将端口设置为信任端口与不信任端口。这样就可实现对非法的DHCP服务器的屏蔽，保证客户端从合法的服务器获取IP地址。

二、华三的S3100-SI系列以太网交换机解决这个问题的方法是：由于ACL资源有限，S3100-SI系列以太网交换机不支持DHCP Snooping 信任端口功能。但为了防御因私自架设DHCP服务器而导致的网络混乱，或者攻击者恶意冒充DHCP服务器，为客户端分配IP地址等配置参数等情况，S3100-SI系列以太网交换机提供了防DHCP服务器仿冒功能。

三、在具体实践中，我们对全台使用最多的华三的S3100-SI系列交换机进行逐一配置。首先将交换机配置为发送告警信息的同时将相应端口进行管理Down操作，使用一段时间后，查找到这台交换机下面开启了自动获取DHCP的无线路由器，让员工自行更换无线路由器模式为交换模式或我们帮其更改。网络稳定后，再配置下一台华三的S3100-SI系列交换机，使整个网络中的S3100-SI交换机下的无线路由器都改为交换模式。如果S3100-SI系列交换机下再私接新的无线路由器，则一接为路由模式，将收到告警信息不能上网，直到改为交换模式才能上网。

我们对华三的S5120-SI系列以太网交换机采用上述解决方案后，不管无线路由器采用路由模式还是交换模式都能上网，不会影响整个网络。我台在网络中使用了流控设备对员工上网进行流量限制，对台里大部分单一IP限速在1M。如果这台无线路由器连接了过多的上网设备就会使下面的电脑上网很慢甚至时断时续，这台无线路由器下的电脑上网就会有问题而报到我们部门，我们再前去将需要连接多台设备的无线路由器的模式改为交换模式，保证了他们正常上网。

（作者单位：江西广播电视台）

推荐访问： 网络故障 无线路由器 解决方案 配置