客人在我所供職的酒店上網(wǎng)的時候，經(jīng)常會彈出一個對話框，顯示一些提示，如上網(wǎng)的注意事項和消費標(biāo)準(zhǔn)等信息;并且有自己的電影和歌曲服務(wù)器，DHCP-server也是其中的一臺服務(wù)器，賓館、酒店就是用這臺機(jī)器，為客戶分配IP地址提供上網(wǎng)功能，即客戶把自己的計算機(jī)連上網(wǎng)線，網(wǎng)卡配置自動獲取IP地址，就會從動態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器分配到一個IP地址;采用DHCP server可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、Wins 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。

　　那么我們的問題也出現(xiàn)了:常見的，很多用戶抱怨用這種方法上不了網(wǎng)，但不是所有客戶都上不了網(wǎng)。經(jīng)過調(diào)查發(fā)現(xiàn)，住賓館、酒店的人絕大多數(shù)是商務(wù)人員和工程師，他們攜帶的手提電腦一般安裝的是Windows server版本，server版本默認(rèn)啟動了DHCP server功能，當(dāng)一臺這樣的計算機(jī)連入網(wǎng)絡(luò)，在他之后的計算機(jī)就會把他當(dāng)成DHCP服務(wù)器，并被分配了不正確的IP地址，從而上不了網(wǎng)。

　　DHCP服務(wù)器地址分配方式

　　DHCP是一種用于簡化主機(jī)IP配置管理的協(xié)議標(biāo)準(zhǔn)。通過采用DHCP標(biāo)準(zhǔn)，可以使用DHCP服務(wù)器為網(wǎng)絡(luò)上所有啟用了DHCP的客戶端分配、配置、跟蹤和更改(必要時)所有TCP/IP設(shè)置。此外，DHCP還可以確保不使用重復(fù)地址、重新分配未使用的地址，并且可以自動為主機(jī)連接的子網(wǎng)分配適當(dāng)?shù)腎P地址。當(dāng)一個網(wǎng)絡(luò)中，有2個或2個以上的DHCP服務(wù)器時，提醒切勿將DHCP地址池定義的過大，以免多個地址池之間出現(xiàn)“包含于”的關(guān)系，或者是部分客戶端手工指定的IP地址包含于DHCP服務(wù)器的地址池中，從而造成DHCP的一些異常故障。

　　針對不同的需求，DHCP服務(wù)器有三種機(jī)制分配IP地址:

　　自動分配 DHCP服務(wù)器給首次連接到網(wǎng)絡(luò)的某些客戶端分配固定IP地址，該地址由用戶長期使用;

　　動態(tài)分配 DHCP服務(wù)器給客戶端分配有時間限制的IP地址，使用期限到期后，客戶端需要重新申請地址，客戶端也可以主動釋放該地址。絕大多數(shù)客戶端主機(jī)得到的是這種動態(tài)分配的地址;

　　手動分配 由網(wǎng)絡(luò)管理員為客戶端指定固定的IP地址。

　　三種地址分配方式中，只有動態(tài)分配可以重復(fù)使用客戶端不再需要的地址。

　　每項技術(shù)都是有利有弊的，DHCP也不例外，由于DHCP有著配置簡單，管理方便的優(yōu)點，問題也隨之產(chǎn)生，由于DHCP的運作機(jī)制，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器將會給網(wǎng)絡(luò)造成混亂。由于用戶不小心配置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂非常常見，足可見此問題的普遍性。

　　本人在從事網(wǎng)絡(luò)工作的幾年里，遇到過很多問題，其中有關(guān)DHCP-server沖突的不在少數(shù)，在解決問題的同時也總結(jié)了一些經(jīng)驗，在這里簡單介紹一下，與大家分享，希望給在解決此類問題的同行一些幫助，也希望廣大高手指出其中的不足和需要改進(jìn)的地方。

DHCP服務(wù)器沖突的解決方法

　　使用DHCP snooping技術(shù)來解決

　　針對這種DHCP服務(wù)器沖突的解決方法有很多，最直接的方法就是貼告示，讓入住的客戶在上網(wǎng)時關(guān)閉Windows的DHCP網(wǎng)絡(luò)服務(wù)，這個選項在‘控制面板’，‘管理工具’里的‘DHCP網(wǎng)絡(luò)服務(wù)’，進(jìn)入關(guān)閉即可。這里要注意的是，非server版的Windows不用關(guān)閉，并且不要把‘控制面板’，‘管理工具’，‘服務(wù)’中的DHCP client給停止了，這樣是分配不到地址的。

　　當(dāng)然上面的方法比較被動也不合常理，更不便于我們網(wǎng)絡(luò)的管理，所以還是應(yīng)該從我們網(wǎng)絡(luò)本身出發(fā)來解決問題。

　　既然是DHCP的問題，那么我們就用DHCP的技術(shù)來解決問題，比較有代表的就是DHCP snooping技術(shù)。DHCP snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP snooping綁定表包含不信任區(qū)域的用戶mac地址、IP地址、租用期、vlan-id接口等信息。

　　首先定義交換機(jī)上的信任端口和不信任端口，其中信任端口連接DHCP服務(wù)器或其他交換機(jī)的端口;不信任端口連接用戶或網(wǎng)絡(luò)。不信任端口將接收到的DHCP服務(wù)器響應(yīng)的DHCP ack 和DHCP off報文丟棄;而信任端口將此配置中的命令都是以CISCO的設(shè)備為基礎(chǔ)，但不管是哪個公司的設(shè)備，總體設(shè)計思想是一致的，不同的可能在命令格式上略有差異，工作人員應(yīng)該根據(jù)具體的實際情況來解決相應(yīng)的問題。

　　在全局模式下啟動DHCP snooping功能，這個默認(rèn)是關(guān)閉的，而且不是所有設(shè)備都支持這個功能，最好先看使用說明。

　　switch(config)#ip dhcp-snooping

　　如果有vlan就使用下面的命令來監(jiān)測具體的vlan

　　switch(config)#ip dhcp-snooping vlan vlan-id

　　然后定義可信任的端口，默認(rèn)情況交換機(jī)的端口均為不信任端口，通常網(wǎng)絡(luò)設(shè)備接口， TRUNK 接口和連接DHCP服務(wù)器的端口定義為可信任端口。

　　switch(config)#int f0/x

　　switch(config-if)#ip dhcp snooping trust

使用PVLAN技術(shù)來解決

　　有很多二層的技術(shù)可以防止DHCP-server沖突的，PVLAN就是其中一個運用比較廣的技術(shù)。

　　PVLAN私有局域網(wǎng)(private vlan)，在PVLAN的概念里，端口有3種類型:Isolated port，Community port, Promiscuous port;它們分別對應(yīng)不同的vlan類型:Isolated port屬于Isolated PVLAN，Community port屬于Community PVLAN，而代表一個Private vlan整體的是Primary vlan，前面兩類vlan需要和它綁定在一起，同時它還包括Promiscuous port。在Isolated PVLAN中，Isolated port只能和Promiscuous port，彼此之間不能訪問;在Community PVLAN中，vlan與vlan之間都不能訪問，同一Community vlan的接口可以互相訪問，并且所有Community vlan的接口都可以與Promiscuous port進(jìn)行通信。利用這項技術(shù)，我們可以把上連或連接DHCP服務(wù)器的接口定義為Promiscuous port，其他接口分配到Isolated vlan里，這樣所有接口都只能與上連或DHCP服務(wù)器進(jìn)行通信，即使有一臺機(jī)器設(shè)為DHCP服務(wù)器，其他機(jī)器也不會與它產(chǎn)生流量，把它做為服務(wù)器。

　　利用這個技術(shù)解決DHCP-server沖突的方法有很多，也很靈活，下面介紹一種比較簡單的方法，也是用的比較多的:

　　首先把交換機(jī)配置成transparents模式:　　

　　switch(config)#vtp mode transparent

　　順便可以打開端口的保護(hù)功能，它的意思是打開端口保護(hù)的端口之間不能訪問，但打開保護(hù)的端口可以與沒有開啟此項功能的端口通信，可以根據(jù)自己的需求來打開保護(hù)功能:

　　switch(config)#int range f0/124

　　switch(config-if-range)#switchitchport protected

　　建立isolated vlan和primary vlan，把isolated vlan定義為primary lan的附屬vlan，因為要與primary互相訪問:

　　switch(config)#vlan 14

　　switch(config-vlan)private-vlan isolated

　　switch(config)#vlan 44

　　switch(config-vlan)#private-vlan primary

　　switch(config-vlan)#private-vlan association 14