電腦網(wǎng)絡(luò)已連接卻時不時上不了網(wǎng)

接到客戶報修，說電腦上不了網(wǎng)了，近期網(wǎng)絡(luò)老是有時好有時壞。

在一個錯綜復雜的網(wǎng)絡(luò)環(huán)境里，經(jīng)常會遇到電腦本身好好的，用著用著就上不了互聯(lián)網(wǎng)了，或是昨天關(guān)機前都是正常的，今天打開就不行了。這種現(xiàn)場多出現(xiàn)在具有多個辦公場所，如多個辦公室的網(wǎng)絡(luò)端口都聯(lián)到同一個局域網(wǎng)絡(luò)環(huán)境中。這個局域網(wǎng)絡(luò)或是公司內(nèi)部網(wǎng)絡(luò)，又或是校園局域網(wǎng)絡(luò)。

遇到這樣的問題，我相信大多數(shù)網(wǎng)絡(luò)維護人員可能會給出以下檢修建議：

1、是不是電腦中病毒了，殺殺毒；

2、網(wǎng)線換過試了嗎？墻上的網(wǎng)口是不是壞了；

3、電腦系統(tǒng)出問題了吧，要不重裝個系統(tǒng)看看；

4、......

一般出現(xiàn)這種上不了網(wǎng)的問題，客戶基本是各種能試的方法都試了個遍，除了自己不會的，比如裝個系統(tǒng)，調(diào)試交換機，實在沒辦法了，才報修。

經(jīng)過排查發(fā)現(xiàn)電腦在上不了網(wǎng)的時候，自動獲取的IP地址信息是不對的。

到這你是不是發(fā)現(xiàn)快速的解決方法啦，我猜你也會動這個念頭---直接配置固定IP地址信息。

作為一個合格的網(wǎng)絡(luò)維修員，或說作為一個負責任的人，應(yīng)該是找到故障源，把問題真正解決了。

經(jīng)過一番排查，發(fā)現(xiàn)故障源是一個家用型的路由器。想了解如何排查，快速找到故障源的，在評論區(qū)留言。當家用型路由器開啟了DHCP功能，且將LAN口接入到局域網(wǎng)絡(luò)時，就會出現(xiàn)上述的問題。

問題原因找到了，怎么解決呢？

可以把這個家用型路由器的WAN口接入局域網(wǎng)絡(luò)，WAN口配置自動獲取IP地址，LAN口連接電腦即可解決問題。

但是這種解決方法不能一勞永逸，如果在網(wǎng)絡(luò)中別的地方再出現(xiàn)類似家用路由器呢，還是會問題重現(xiàn)。

徹底的解決方法是屏蔽掉所有在網(wǎng)絡(luò)中可能出現(xiàn)的此類現(xiàn)象。

下圖是簡易的網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)拓撲示意圖：

小型局域網(wǎng)中DHCP服務(wù)架構(gòu)

終端電腦都連到接入交換機上，匯聚交換機提供網(wǎng)關(guān)和DHCP服務(wù)。正常情況下，電腦都從網(wǎng)關(guān)那獲取IP地址信息。如果有一天，在這個網(wǎng)絡(luò)中多了一個提供DHCP服務(wù)的設(shè)備，那么此設(shè)備也會為網(wǎng)絡(luò)中的某些終端分配IP地址信息。如下圖：

網(wǎng)絡(luò)中私接的路由器提供DHCP服務(wù)

在網(wǎng)絡(luò)中的某個場所加入了一臺家用型路由器，或是加入了某臺交換機且提供了DHCP，如下圖：

接入網(wǎng)絡(luò)中新增未知DHCP服務(wù)

只要加入的設(shè)備提供了DHCP服務(wù)，不管它是臺電腦服務(wù)器，還是交換機、路由器，都會對網(wǎng)絡(luò)中的終端產(chǎn)生一定的影響。即使它給終端分配的是正確且可以聯(lián)網(wǎng)的地址，也影響現(xiàn)有的網(wǎng)絡(luò)環(huán)境，比如包括但不限于IP地址沖突、網(wǎng)絡(luò)安全等。

我們把此類非授權(quán)（未經(jīng)網(wǎng)絡(luò)管理員允許）的DHCP服務(wù)器稱作偽DHCP，在實際生產(chǎn)環(huán)境中是要杜絕的。

針對此類非授權(quán)的DHCP服務(wù)器可以使用dhcp snooping工具屏蔽掉。

Dhcp Snooping的功能是放行或阻止DHCP服務(wù)器向DHCP客戶端發(fā)出的相關(guān)報文，對于已授權(quán)的DHCP服務(wù)器采用信任放行動作，對于非授權(quán)的DHCP服務(wù)器采取非信任阻止動作。對于DHCP服務(wù)的工作原理，不明白的可以在評論區(qū)留言或查閱其他資料，這里不作闡述。

下面來看看如何實施dhcp snooping，以上圖的偽DHCP應(yīng)用為例，在接入交換機上實施以下配置步驟：

1、在全局使能dhcp，如dhcp enable，service dhcp

2、在全局使能dhcp snooping，如dhcp snooping enable，ip dhcp snooping

3、在全局為受保護的vlan使能dhcp snooping，不同品牌交換機有所不同，如華為、華三交換機需要此配置，銳捷、思科交換機不需要此配置。如dhcp snooping enable vlan 40

4、將上行端口配置為信任端口，如dhcp snooping trusted，ip dhcp snooping trust

一般是將與授權(quán) DHCP 服務(wù)器直接或間接連接的端口設(shè)置為信任端口。如此，沒有配置為信任的端口就不能轉(zhuǎn)發(fā)DHCP服務(wù)報文，比如接入交換機的g0/0/2端口。

至此，網(wǎng)絡(luò)中的授權(quán)DHCP 服務(wù)器將受到保護，保障網(wǎng)絡(luò)穩(wěn)定和安全。

有人說，要是偽DHCP服務(wù)器沒有連到接入交換機，而是接到了匯聚交換機上呢？如下圖：

匯聚網(wǎng)絡(luò)中新增未知DHCP服務(wù)

正常情況下，匯聚設(shè)備是不允許直接連終端的，假如存在的話，那也好辦，在匯聚交換機上執(zhí)行上述的前三步配置即可，不需要配置信任端口。

最后還有一個問題，老鐵們思考一下，如果授權(quán)的DHCP服務(wù)器不是由此匯聚交換機擔任，而是由上游路由器或接在三層的電腦服務(wù)器擔任，Dhcp Snooping配置是否有變化。