客人在我所供職的酒店上網(wǎng)的時候，經(jīng)常會彈出一個對話框，顯示一些提示，如上網(wǎng)的注意事項和消費標準等信息;并且有自己的電影和歌曲服務器，DHCP-server也是其中的一臺服務器，賓館、酒店就是用這臺機器，為客戶分配IP地址提供上網(wǎng)功能，即客戶把自己的計算機連上網(wǎng)線，網(wǎng)卡配置自動獲取IP地址，就會從動態(tài)主機配置協(xié)議(DHCP)服務器分配到一個IP地址;采用DHCP server可以自動為用戶設置網(wǎng)絡IP地址、掩碼、網(wǎng)關、DNS、Wins 等網(wǎng)絡參數(shù)，簡化了用戶網(wǎng)絡設置，提高了管理效率。

　　那么我們的問題也出現(xiàn)了:常見的，很多用戶抱怨用這種方法上不了網(wǎng)，但不是所有客戶都上不了網(wǎng)。經(jīng)過調(diào)查發(fā)現(xiàn)，住賓館、酒店的人絕大多數(shù)是商務人員和工程師，他們攜帶的手提電腦一般安裝的是Windows server版本，server版本默認啟動了DHCP server功能，當一臺這樣的計算機連入網(wǎng)絡，在他之后的計算機就會把他當成DHCP服務器，并被分配了不正確的IP地址，從而上不了網(wǎng)。

　　DHCP服務器地址分配方式

　　DHCP是一種用于簡化主機IP配置管理的協(xié)議標準。通過采用DHCP標準，可以使用DHCP服務器為網(wǎng)絡上所有啟用了DHCP的客戶端分配、配置、跟蹤和更改(必要時)所有TCP/IP設置。此外，DHCP還可以確保不使用重復地址、重新分配未使用的地址，并且可以自動為主機連接的子網(wǎng)分配適當?shù)腎P地址。當一個網(wǎng)絡中，有2個或2個以上的DHCP服務器時，提醒切勿將DHCP地址池定義的過大，以免多個地址池之間出現(xiàn)“包含于”的關系，或者是部分客戶端手工指定的IP地址包含于DHCP服務器的地址池中，從而造成DHCP的一些異常故障。

　　針對不同的需求，DHCP服務器有三種機制分配IP地址:

　　自動分配 DHCP服務器給首次連接到網(wǎng)絡的某些客戶端分配固定IP地址，該地址由用戶長期使用;

　　動態(tài)分配 DHCP服務器給客戶端分配有時間限制的IP地址，使用期限到期后，客戶端需要重新申請地址，客戶端也可以主動釋放該地址。絕大多數(shù)客戶端主機得到的是這種動態(tài)分配的地址;

　　手動分配 由網(wǎng)絡管理員為客戶端指定固定的IP地址。

　　三種地址分配方式中，只有動態(tài)分配可以重復使用客戶端不再需要的地址。

　　每項技術(shù)都是有利有弊的，DHCP也不例外，由于DHCP有著配置簡單，管理方便的優(yōu)點，問題也隨之產(chǎn)生，由于DHCP的運作機制，通常服務器和客戶端沒有認證機制，如果網(wǎng)絡上存在多臺DHCP服務器將會給網(wǎng)絡造成混亂。由于用戶不小心配置了DHCP服務器引起的網(wǎng)絡混亂非常常見，足可見此問題的普遍性。

　　本人在從事網(wǎng)絡工作的幾年里，遇到過很多問題，其中有關DHCP-server沖突的不在少數(shù)，在解決問題的同時也總結(jié)了一些經(jīng)驗，在這里簡單介紹一下，與大家分享，希望給在解決此類問題的同行一些幫助，也希望廣大高手指出其中的不足和需要改進的地方。

DHCP服務器沖突的解決方法

　　使用DHCP snooping技術(shù)來解決

　　針對這種DHCP服務器沖突的解決方法有很多，最直接的方法就是貼告示，讓入住的客戶在上網(wǎng)時關閉Windows的DHCP網(wǎng)絡服務，這個選項在‘控制面板’，‘管理工具’里的‘DHCP網(wǎng)絡服務’，進入關閉即可。這里要注意的是，非server版的Windows不用關閉，并且不要把‘控制面板’，‘管理工具’，‘服務’中的DHCP client給停止了，這樣是分配不到地址的。

　　當然上面的方法比較被動也不合常理，更不便于我們網(wǎng)絡的管理，所以還是應該從我們網(wǎng)絡本身出發(fā)來解決問題。

　　既然是DHCP的問題，那么我們就用DHCP的技術(shù)來解決問題，比較有代表的就是DHCP snooping技術(shù)。DHCP snooping技術(shù)是DHCP安全特性，通過建立和維護DHCP snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP snooping綁定表包含不信任區(qū)域的用戶mac地址、IP地址、租用期、vlan-id接口等信息。

　　首先定義交換機上的信任端口和不信任端口，其中信任端口連接DHCP服務器或其他交換機的端口;不信任端口連接用戶或網(wǎng)絡。不信任端口將接收到的DHCP服務器響應的DHCP ack 和DHCP off報文丟棄;而信任端口將此配置中的命令都是以CISCO的設備為基礎，但不管是哪個公司的設備，總體設計思想是一致的，不同的可能在命令格式上略有差異，工作人員應該根據(jù)具體的實際情況來解決相應的問題。

　　在全局模式下啟動DHCP snooping功能，這個默認是關閉的，而且不是所有設備都支持這個功能，最好先看使用說明。

　　switch(config)#ip dhcp-snooping

　　如果有vlan就使用下面的命令來監(jiān)測具體的vlan

　　switch(config)#ip dhcp-snooping vlan vlan-id

　　然后定義可信任的端口，默認情況交換機的端口均為不信任端口，通常網(wǎng)絡設備接口， TRUNK 接口和連接DHCP服務器的端口定義為可信任端口。

　　switch(config)#int f0/x

　　switch(config-if)#ip dhcp snooping trust

使用PVLAN技術(shù)來解決

　　有很多二層的技術(shù)可以防止DHCP-server沖突的，PVLAN就是其中一個運用比較廣的技術(shù)。

　　PVLAN私有局域網(wǎng)(private vlan)，在PVLAN的概念里，端口有3種類型:Isolated port，Community port, Promiscuous port;它們分別對應不同的vlan類型:Isolated port屬于Isolated PVLAN，Community port屬于Community PVLAN，而代表一個Private vlan整體的是Primary vlan，前面兩類vlan需要和它綁定在一起，同時它還包括Promiscuous port。在Isolated PVLAN中，Isolated port只能和Promiscuous port，彼此之間不能訪問;在Community PVLAN中，vlan與vlan之間都不能訪問，同一Community vlan的接口可以互相訪問，并且所有Community vlan的接口都可以與Promiscuous port進行通信。利用這項技術(shù)，我們可以把上連或連接DHCP服務器的接口定義為Promiscuous port，其他接口分配到Isolated vlan里，這樣所有接口都只能與上連或DHCP服務器進行通信，即使有一臺機器設為DHCP服務器，其他機器也不會與它產(chǎn)生流量，把它做為服務器。

　　利用這個技術(shù)解決DHCP-server沖突的方法有很多，也很靈活，下面介紹一種比較簡單的方法，也是用的比較多的:

　　首先把交換機配置成transparents模式:　　

　　switch(config)#vtp mode transparent

　　順便可以打開端口的保護功能，它的意思是打開端口保護的端口之間不能訪問，但打開保護的端口可以與沒有開啟此項功能的端口通信，可以根據(jù)自己的需求來打開保護功能:

　　switch(config)#int range f0/124

　　switch(config-if-range)#switchitchport protected

　　建立isolated vlan和primary vlan，把isolated vlan定義為primary lan的附屬vlan，因為要與primary互相訪問:

　　switch(config)#vlan 14

　　switch(config-vlan)private-vlan isolated

　　switch(config)#vlan 44

　　switch(config-vlan)#private-vlan primary

　　switch(config-vlan)#private-vlan association 14