电脑网络已连接却时不时上不了网
接到客户报修,说电脑上不了网了,近期网络老是有时好有时坏。
在一个错综复杂的网络环境里,经常会遇到电脑本身好好的,用着用着就上不了互联网了,或是昨天关机前都是正常的,今天打开就不行了。这种现场多出现在具有多个办公场所,如多个办公室的网络端口都联到同一个局域网络环境中。这个局域网络或是公司内部网络,又或是校园局域网络。
遇到这样的问题,我相信大多数网络维护人员可能会给出以下检修建议:
1、是不是电脑中病毒了,杀杀毒;
2、网线换过试了吗?墙上的网口是不是坏了;
3、电脑系统出问题了吧,要不重装个系统看看;
4、......
一般出现这种上不了网的问题,客户基本是各种能试的方法都试了个遍,除了自己不会的,比如装个系统,调试交换机,实在没办法了,才报修。
经过排查发现电脑在上不了网的时候,自动获取的IP地址信息是不对的。
到这你是不是发现快速的解决方法啦,我猜你也会动这个念头---直接配置固定IP地址信息。
作为一个合格的网络维修员,或说作为一个负责任的人,应该是找到故障源,把问题真正解决了。
经过一番排查,发现故障源是一个家用型的路由器。想了解如何排查,快速找到故障源的,在评论区留言。当家用型路由器开启了DHCP功能,且将LAN口接入到局域网络时,就会出现上述的问题。
问题原因找到了,怎么解决呢?
可以把这个家用型路由器的WAN口接入局域网络,WAN口配置自动获取IP地址,LAN口连接电脑即可解决问题。
但是这种解决方法不能一劳永逸,如果在网络中别的地方再出现类似家用路由器呢,还是会问题重现。
彻底的解决方法是屏蔽掉所有在网络中可能出现的此类现象。
下图是简易的网络环境中网络拓扑示意图:
小型局域网中DHCP服务架构
终端电脑都连到接入交换机上,汇聚交换机提供网关和DHCP服务。正常情况下,电脑都从网关那获取IP地址信息。如果有一天,在这个网络中多了一个提供DHCP服务的设备,那么此设备也会为网络中的某些终端分配IP地址信息。如下图:
网络中私接的路由器提供DHCP服务
在网络中的某个场所加入了一台家用型路由器,或是加入了某台交换机且提供了DHCP,如下图:
接入网络中新增未知DHCP服务
只要加入的设备提供了DHCP服务,不管它是台电脑服务器,还是交换机、路由器,都会对网络中的终端产生一定的影响。即使它给终端分配的是正确且可以联网的地址,也影响现有的网络环境,比如包括但不限于IP地址冲突、网络安全等。
我们把此类非授权(未经网络管理员允许)的DHCP服务器称作伪DHCP,在实际生产环境中是要杜绝的。
针对此类非授权的DHCP服务器可以使用dhcp snooping工具屏蔽掉。
Dhcp Snooping的功能是放行或阻止DHCP服务器向DHCP客户端发出的相关报文,对于已授权的DHCP服务器采用信任放行动作,对于非授权的DHCP服务器采取非信任阻止动作。对于DHCP服务的工作原理,不明白的可以在评论区留言或查阅其他资料,这里不作阐述。
下面来看看如何实施dhcp snooping,以上图的伪DHCP应用为例,在接入交换机上实施以下配置步骤:
1、在全局使能dhcp,如dhcp enable,service dhcp
2、在全局使能dhcp snooping,如dhcp snooping enable,ip dhcp snooping
3、在全局为受保护的vlan使能dhcp snooping,不同品牌交换机有所不同,如华为、华三交换机需要此配置,锐捷、思科交换机不需要此配置。如dhcp snooping enable vlan 40
4、将上行端口配置为信任端口,如dhcp snooping trusted,ip dhcp snooping trust
一般是将与授权 DHCP 服务器直接或间接连接的端口设置为信任端口。如此,没有配置为信任的端口就不能转发DHCP服务报文,比如接入交换机的g0/0/2端口。
至此,网络中的授权DHCP 服务器将受到保护,保障网络稳定和安全。
有人说,要是伪DHCP服务器没有连到接入交换机,而是接到了汇聚交换机上呢?如下图:
汇聚网络中新增未知DHCP服务
正常情况下,汇聚设备是不允许直接连终端的,假如存在的话,那也好办,在汇聚交换机上执行上述的前三步配置即可,不需要配置信任端口。
最后还有一个问题,老铁们思考一下,如果授权的DHCP服务器不是由此汇聚交换机担任,而是由上游路由器或接在三层的电脑服务器担任,Dhcp Snooping配置是否有变化。
以上内容适合初级网管人员和网络爱好者参阅,欢迎拍砖指正。