解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

DHCP服务器怎么设置
DHCP服务器怎么设置
在路由器设置中，用户可以对DHCP服务器进行相关设置，那么DHCP服务器怎么设置呢，一起来了解一下！
1、首先在连接路由器网络的`电脑或手机设备上，打开浏览器，然后登陆路由器的登陆网址，并输入密码登录，一般是192.168.1.1，不同路由器登录网址有所不同，请以路由器底部铭牌上的标注为准。

2、进入路由器设置界面后，在设置中，就可以找到DHCP服务器设置，用户可以对“DHCP服务器”启用或关闭进行配置，也可以是自动，一般普通用户，默认设置为“开”即可，地址池开始地址和结束地址也可以进行设置，如下图所示。

对于普通用户来说，一般都无需去单独设置这个，默认是开启的，如果需要关闭，那么需要对电脑的本地IP地址进行单独设置，相对来说比较折腾，非专业局域网管理用户，建议还是不要去修改相关设置。

科学技术创新2020.30如何解决无线局域网内伪造DHCP 服务器攻击How to solve the attack of forging DHCP server in WLAN唐磊（重庆三峡职业学院信息化建设办公室，重庆404155）1概述我校某办公楼内出现计算机使用拨号客户端连接上网提示“当前网络不可达，请稍后认证”，无法认证上网。

使用ping 命令检查网络连通性，发现该办公楼的网关地址正常连通，但获取的DNS 地址为192.168.1.1，导致无法通过认证。

手动配置计算机的IP 地址为192.168.1.250，网关地址为192.168.1.1，在浏览器中输入http://192.168.1.1，可以访问无线路由器的管理界面（如图1所示）。

将计算机的DNS 地址配置为61.128.128.68，能正常认证上网，因此断定网络故障是由局域网内接入无线路由器引发的伪造DHCP 服务器攻击所致。

图1路由器管理界面2问题原因分析产生上述问题的原因是：客户机通过广播方式发送DHCP 请求寻找DHCP 服务器，DHCP 服务器接收到客户机的IP 租约请求时，同时提供IP 租约给客户机。

客户机收到IP 租约时，同时发送DHCPREQUEST 消息。

当DHCP 服务器收到消息后，同时完成DHCP 分配。

由于局域网中同时存在多个DHCP 服务器，所有DHCP 服务器都收到计算机发送的DHCP 请求，互相争夺DHCP 提供权，导致计算机获取到伪装DHCP 服务器的IP 地址，从而无法上网。

3解决方法对于伪造DHCP 服务器，本文采用的解决方法步骤如下：第一步：在故障电脑上命令提示符中输入arp -a 命令，在出现的IP 地址与物理地址列表信息中，查找到IP 地址192.168.1.1的物理地址为be-5f-f6-01-a8-12，此物理地址为路由器所对应的硬件MAC 地址。

如图2所示。

第二步：使用telnet 命令登录AC ，通过display wlan client |in be5f-f601-a812命令查看该无线路由器接入的AP ，命令执行如下：be5f-f601-a812N/A e-4f-410-sh...2192.168.1.12001再次使用命令display wlan ap all address |in e-4f-410-sh ，可知该无线路由器通过名称为e-4f-410-shiwai 的摘要：随着科技的飞速发展，传统的有线局域网（LAN ）已无法跟上科技发展的步伐，而无线局域网（WLAN ）给人们生活带来便利。

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员:现在用户真是不省心，自己改个IP地址;私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。

单靠交换机能管吗, 测试工程师:能～很多交换机上的小功能都可帮大忙。

测试实况:IP与MAC绑定思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。

思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。

Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。

思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。

另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。

华硕虽然不能调整速率，但是也会限制DHCP请求的数量。

DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。

该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

在基于TCP,IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。

在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。

如何解决局域网非法DHCP服务器问题?最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。

后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。

所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。

为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。

每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。

为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。

这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。

解决方法：1、ipconfig /release 和ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。

如何应对伪造DHCP服务器攻击作者：吴浩来源：《价值工程》2017年第32期摘要：作为一个大中型园区网络的管理员，对非法DHCP路由干扰和ARP欺骗攻击肯定深恶痛绝。

本文对市场上主流几款品牌交换机进行了实验，总结出一套方法应对伪造DHCP服务器攻击。

Abstract： Large and medium-sized campus network administrators must hate the illegal DHCP routing interference and ARP deception attack. In this article， several mainstream brands of switches in the market are experimented， and a s et of methods are summed up to deal with forged DHCP server attacks.关键词： DHCP；交换机；路由干扰；ARPKey words： DHCP；switch；routing interference；ARP中图分类号：TP368.5 文献标识码：A 文章编号：1006-4311（2017）32-0144-02DHCP使服务器能够动态地为网络中的其他终端提供IP地址，通过使用DHCP，就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。

使用DHCP可以大大简化配置客户机的TCP/IP的工作，尤其是当某些TCP/IP参数改变时，如网络的大规模重建而引起的IP地址和子网掩码的更改。

DHCP 由于实施简单，特别适合人群数量大且流动性强的环境，例如跨国企业、高等院校等。

通过DHCP服务，不用给来访者的终端做任何配置即可连入局域网。

同时，由于局域网划分了大量Vlan，客户从一个 Vlan移动到另外一个Vlan也不需要改动终端的任何设置，非常方便。

设置DHCP服务器以自动分配IP地址DHCP（动态主机配置协议）是一种网络协议，用于自动分配IP地址给网络中的设备。

通过使用DHCP服务器，管理员可以轻松管理网络中的IP地址分配，确保网络上的每个设备都能够获得一个唯一的IP 地址。

本文将介绍如何设置DHCP服务器以实现自动分配IP地址。

一、什么是DHCP服务器？DHCP服务器是一台运行着DHCP服务的计算机或网络设备。

它负责管理分配给设备的IP地址、子网掩码、网关、DNS服务器等网络配置信息。

当设备加入网络时，DHCP服务器将为设备自动分配一个可用的IP地址，避免了手动配置IP地址的繁琐工作。

二、配置DHCP服务器的步骤1. 确认网络拓扑在配置DHCP服务器之前，需要弄清楚网络的拓扑结构。

了解网络中的子网数量、路由器和交换机等设备的位置，以便正确配置DHCP 服务器。

2. 安装DHCP服务器软件根据使用的操作系统，选择并安装合适的DHCP服务器软件。

常见的DHCP服务器软件有Windows Server自带的DHCP服务器、ISC DHCP服务器等。

安装完成后，启动DHCP服务器软件。

3. 配置DHCP服务器打开DHCP服务器软件的管理界面，在配置选项中进行如下设置：3.1 IP地址范围确定要分配给设备的IP地址范围。

根据网络需求，设置起始IP地址和结束IP地址，确保范围内有足够的可用IP地址。

例如，起始IP 地址为192.168.0.100，结束IP地址为192.168.0.200。

3.2 子网掩码设置子网掩码，与IP地址范围对应。

常见的子网掩码为255.255.255.0，但根据实际网络需求可能会有所变化。

3.3 网关设置默认网关的IP地址。

网关是连接局域网和外部网络（如Internet）的设备，通常是路由器的IP地址。

例如，设置网关为192.168.0.1。

3.4 DNS服务器设置域名解析服务器的IP地址。

DNS服务器用于将域名转换为对应的IP地址，以实现网络通信。

DHCP实用管理技巧通过搭建DHCP服务器，大大减少了网管的工作量，降低了客户端应用的难度，使企业网络发挥出更大的作用。

但是在实际的应用过程中，并不就此万事皆休了，经常会碰到一些问题。

为了让DHCP服务更好的提供服务，我们向大家介绍其使用技巧。

一、DHCP服务器授权一般情况下，我们网络中只有管理员才需要进行DHCP服务器的搭建，但是如果有一些用户自己也搭建了DHCP服务器，要知道这是一件非常容易的事情。

而通过前面的学习，我们知道客户端获得IP地址的第一步就是向网络发出广播，寻找DHCP服务器。

当有多台服务器存在时，客户端就会选择找到的第一个对象。

要知道这样麻烦了，因为客户机很有可能是从非法DHCP服务器那获得网络配置，这样就会生成错误的配置信息。

这样网络中就会出现混乱。

解决这个问题的唯一办法就是将当前的网络升级到Active Directory，然后将DHCP服务器在AD中授权方可。

在我们将当前网络升级到活动目录后打开DHCP控制台，右击左侧最上方的“DHCP”在弹出的菜单中选择“管理授权的服务器”，在打开的窗口中我们可以看到这里还没有授权的服务器(如图1)，此时我们只需要单击“授权”按钮，然后在打开的窗口中输入DHCP服务器的名称或IP地址，然后单击“确定” 按钮完成添加即可(如图2)。

图1图2二、DHCP服务器迁移当网络中因为某种原因需要将原来的DHCP服务器停用，然后使用一台新的服务器将其替代。

这个时候我们就需要将原来的DHCP服务迁移到新的服务器上。

1.备份原来DHCP服务器数据在DHCP控制台中右击DHCP服务器的名称，在弹出的菜单中选择“备份”命令，这样会打开一个“浏览文件夹”窗口，默认情况下即保存在 backup文件夹中，当然我们也可以指定其它文件夹进行保存，选择好备份位置后单击“确定”按钮完成备份。

将Backup文件夹文件夹做好备份;然后在“运行”窗口中输入“Regedit”并回车打开注册表编辑器，依次展开“HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\DHCPS erver”，再打开“注册表”菜单，选择“导出注册表文件”命令(如图3)，将当前分支导出。

IPSec与DHCP安全：保护动态分配的IP地址引言：在今天的数字时代，网络安全成为了世界各地组织和个人的重要问题。

随着计算机和网络的普及，IPSec（Internet Protocol Security）和DHCP（Dynamic Host Configuration Protocol）这两个技术变得越来越重要。

本文将探讨IPSec和DHCP的安全问题，并提供保护动态分配的IP地址的解决方案。

IPSec的概述：IPSec是一种用于保护IP数据包的安全协议，它提供了数据加密、认证和完整性保护的功能。

通过使用IPSec，可以确保数据在传输过程中不被窃听、篡改或伪造。

IPSec可以在网络层实现对数据的保护，因此可以保护整个网络交互过程中的数据。

DHCP的概述：DHCP是一种用于自动分配IP地址的协议。

在以前的网络中，IP地址需要手动配置，但这种方法不仅繁琐，而且难以管理。

DHCP通过自动分配IP地址、子网掩码、默认网关和DNS服务器等网络配置信息，使网络管理员的工作更加简化。

DHCP的安全性是保护动态分配的IP地址的重要方面。

IPSec的安全问题：虽然IPSec具有强大的安全功能，但在实际应用中存在一些安全问题。

其中之一是密钥管理的问题。

IPSec使用一对密钥来进行加密和解密，但如何安全地管理这些密钥是一个挑战。

此外，攻击者可能会尝试通过分析IPSec数据包来获取有关网络的信息。

解决IPSec安全问题的方法：为了解决密钥管理问题，可以使用密钥管理协议（Key Management Protocol，简称KMP）来安全地管理IPSec中使用的密钥。

KMP使用公钥密码学技术来提供密钥协商和分发的安全性。

此外，使用VPN（Virtual Private Network）可以将传输的数据进一步加密，确保数据的安全性。

DHCP的安全问题：DHCP在自动分配IP地址时存在一些安全问题。

攻击者可以利用DHCP服务器的漏洞，伪造IP地址或篡改网络配置信息。

（售后服务）C解决在DHCP 环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员：当下用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，仍有的下个小黑客程序，就想于你内网里试试。

单靠交换机能管吗？测试工程师：能！很多交换机上的小功能均可帮大忙。

测试实况：IP和MAC绑定思科的Catalyst3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成壹个IP和MAC地址对应表。

思科的交换机更进壹步的支持IPsourceguard和DynamicARPInspection功能，这俩个功能任启壹个均能够自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。

DynamicARPInspection功能仍有壹个好处是能够防范于2层网络的中间人攻击（见图4）。

思科于DHCPSnooping上仍做了壹些非常有益的扩展功能，比如Catalyst3560交换机能够限制端口通过的DHCP数据包的速率，粒度是pps，这样能够防止对DHCP服务器的进行地址请求的DoS攻击。

另外Catalyst3560交换机仍支持DHCPTracker，于DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。

华硕虽然不能调整速率，可是也会限制DHCP请求的数量。

DHCP（动态主机配置协议）是壹种简化主机IP地址配置管理的TCP/IP标准。

该标准为DHCP服务器的使用提供了壹种有效的方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它关联配置信息。

于基于TCP／IP协议的网络中，每台计算机均必须有唯壹的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，且且通过IP地址和子网掩码来标识主计算机及其所连接的子网。

于局域网中如果计算机的数量比较少，当然能够手动设置其IP地址，可是如果于计算机的数量较多且且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如于实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。

2014/6/20 配置笔记《防范私自设置DHCP 服务器》
编写人：高骞
校验人：
背景知识：设备基本配置方法如配置级别，如console 线缆、console 口、终端软件如securecrt 。

参考资料：幻灯片 《02架设DHCP 服务器》
附加阅读：《可网管设备调试基础.pdf 》
示意拓扑：
所需命令注解：
ip dhcp snooping
//全局开启dhcp snooping 功能，防范私设DHCP 服务器，注意：默认情况下，所有口都将会是untrust （非信任）。

show running-config
//查看一下你设备端口的叫法
interface f0/24
ip dhcp snooping trust
//在端口配置模式下，设置此端口为trust （信任口）。

如果要改变端口为untrust ：
no ip dhcp snooping trust
笔记和实验过程以及截图，自己完成。

校园网 DHCP 服务器
汇聚交换机
接入交换机
PC
非法DHCP 服务器
DHCP Snooping
Trust 接口
DHCP Snooping
Untrust 接口
DHCP Offer/ACK
F0/24。

探讨DHCP环境下防范非法DHCP服务器的措施作者：徐坚来源：《电脑知识与技术》2011年第09期摘要：在使用DHCP服务的网络中，非法DHCP服务器的存在将干扰合法DHCP服务器的正常工作，从而影响网络的正常运行。

该文给出了DHCP服务的工作过程，分析了非法DHCP服务器可能带来的危害，并提出了一些如何防范非法DHCP 服务器的措施。

关键词：DHCP服务器；防范措施；非法DHCP服务器中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)09-2006-02Some Precaution Measures Against Illegal DHCP Servers in DHCP NetworkXU Jian(School of Computer Science and Engineering, Qujing Normal University, Qujing 655011, China)Abstract: In a network providing DHCP service, illegal DHCP servers will interfere with the legal DHCP servers and affect the normal work of network. This paper presents the working processof DHCP service and analyzes the harm caused by illegal DHCP servers. To avoid the harm, the author proposes some precautionary measures on how to disable illegal DHCP servers from DHCP Service.Key words: DHDP server; precautionary measures; Illegal DHCP Servers在使用TCP/IP协议的网络中，每一台主机都必须有一个IP地址，并通过此IP地址与网络上的其他计算机通信。

丰硕，林美蓉（武警海南省总队，海南海口570203）摘要：为了有效的管理维护终端设备，通过分析DHC P(Dynamic Host Configuration Protocol)的工作原理，提出了解决的方案和需注意的四点问题。

关键词：动态主机配置协议，IP地址中图分类号：TP393文献标识码：A文章编号：1009-3044(2010)11-2589-02在日常维护中随着主机数量的增多，采用DHCP 动态分配IP 地址的做法越来越多。

DHCP 在运用中的优势是很明显的，可以有效的避免IP 地址的冲突问题，可以省去手工配置相关网络参数的麻烦。

1 发生的原因这主要是根据DHCP 服务器的工作原理相关的。

DHCP 服务器是根据租约来实现对IP 地址的管理的。

客户端主机第一次登陆网络之后，会从DHCP 服务器那边获取一个IP 地址。

除非其租约已经失效，否则的话，下次登陆网络的时候客户端不会再向DHCP 服务器发送请求信息，而是直接发送CHCP REQUEST 信息。

DHCP 会尽量让客户段使用原来的IP 地址。

如果没有特殊情况的话，只需要直接相应DHCP PACK 来确认即可。

但是，如果这个地址已经被其它主机使用了，则服务器就不会再把这个IP 地址让其使用，而是会让客户端发送一个DHCP DISCOVER，重新从服务器那边获取一个最新的IP 地址。

可见，当租约期限满之后，客户端没有继续续租的话，则这个IP 地址就有可能改变。

而由于有些人员要出差，有时会往往不能在租约到期后，及时向服务器续租，从而造成前后两次登陆网络的IP 地址发生改变。

2 解决方案下面以微软的DHCP 服务器为例，谈谈如何把这个IP 地址固定下来。

1) 打开微软的DCHP 服务器管理窗口，右键单击DCHP 服务器，然后会谈出一个菜单，选择“新建作用域”选项。

然后系统会弹出一个对话窗口，根据向导一步步的填好相关的内容。

如可以采用的IP 地址、不能采用的IP 地址等等。

网络排错案例
非法dhcp服务器解决方法
电脑自动获取到非10.*网段的IP地址，如192.168.*.*的地址、172.16.*.*的地址strong，造成无法正常上网，可能原因如下：
1、有人在网络端口接入路由设备，开启了DHCP功能，导致部分用户的DHCP 请求被该路由劫持，分配错误的IP地址。

2、有人在PC端做软AP，与局域网做网桥。

软AP开启DHCP功能等同于无线路由。

解决办法如下：
1、首先在获取非法地址的电脑上调出命令提示符，输入ipconfig -all，查看默认
网关的IP地址。

2、然后用arp -a命令，查看IP地址为192.168.1.1的MAC地址。

这里以
aaaa.aaaa.aaaa为例。

3、登入核心交换机。

H3C交换机输入dis mac-address aaaa.aaaa.aaaa命令，中
兴、思科交换机输入show mac aaaa.aaaa.aaaa，查看该MAC地址指向哪个端口，通过该端口找到接入层交换机。

4、登入接入层交换机，同样使用上述命令，找到对应端口。

5、通过端口映射表可以直接查到连接了非法设备的工位端口号，由此找到该设
备和责任人，消除DHCP功能或移除设备即可。

瑞飞办公运维项目组
2012年5月10日。

DHCP服务器设置DHCP（Dynamic Host Configuration Protocol）是一种网络协议，通过为网络上的设备自动分配IP地址、子网掩码、网关地址等参数，简化了网络管理和设备配置的过程。

下面将详细介绍如何设置DHCP服务器。

首先，要设置DHCP服务器，我们需要一台运行着DHCP服务器软件的计算机或网络设备。

常见的DHCP服务器软件包括Windows Server中的“DHCP服务器”角色、Linux操作系统中的ISC DHCP服务器、Cisco网络设备中的DHCP服务等。

设置DHCP服务器的步骤如下：1.确定网络拓扑：在设置DHCP服务器之前，需要了解网络中的设备数量和子网划分情况。

根据网络拓扑图，确定哪些设备需要自动获取IP地址，以及它们所在的子网。

2.配置DHCP服务器软件：根据所选用的DHCP服务器软件，进行相应的配置。

一般情况下，需要配置DHCP服务器的IP地址范围、子网掩码、默认网关、DNS服务器地址等。

还可以配置一些可选的参数，如租赁时间、域名、NTP服务器等。

这些参数将由DHCP服务器分配给每个连接到网络的设备。

3.为DHCP服务器指定一个可用的IP地址：DHCP服务器本身也需要一个有效的IP地址，以便与其他网络设备进行通信。

可以通过手动配置或使用动态分配的方式为DHCP服务器分配一个IP地址。

这个IP地址应该与网络中的其他设备在同一个子网中。

4.配置DHCP范围：根据网络拓扑和设备的数量，确定DHCP服务器分配IP地址的范围。

确保该范围内的IP地址不会与其他设备发生冲突。

5.配置DHCP选项：除了基本的IP地址、子网掩码、网关地址等参数外，DHCP服务器还可以提供一些额外的配置选项，如DNS服务器地址、NTP服务器地址等。

根据网络需要，对这些选项进行适当配置。

6.配置DHCP服务器租约时间：DHCP服务器可以为设备分配一个IP 地址的使用时间。

可以设置租约时间的长短，一般单位为小时。

熟悉网络管理的朋友对DHCP服务并不陌生，它给我们的网络管理带来极大的方便，只要在DHCP服务端配置好，可以让终端用户快速方便上网，无须作任何参数设置。

熟悉网络管理的朋友对DHCP服务并不陌生，它给我们的网络管理带来极大的方便，只要在DHCP服务端配置好，可以让终端用户快速方便上网，无须作任何参数设置。

但如果配置不当，架设不正确，它会让我们的网络不通，而且查找起来很麻烦了。

下面以本人工作所遇到故障为例，相信也是大多网管经常碰到的，从故障现象、故障原因、故障排除几方面加以分析。

一、故障现象：网络用户反映：网络连接正常，而且还可以访问到部分办公室计算机了，但就是上不了网。

我们查看了一下故障，发现故障现象也很明显，即上不去网的用户获得了一个以192.168.1打头的IP地址，网关为192.168.1.1(我们单位的路由器IP是的192.168.0.1)，这明显是通过一台非法搭建的路由器获得的IP地址，随后我们在该用户计算机的浏览器上登录192.168.1.1这个地址，即打开了一台宽带路由器的管理界面，好在这台路由器的用户名/密码是默认的admin/admin，我们登陆进去，将该路由器的DHCP功能关闭，进行完以上操作后整个办公室的网络又稳定了一段时间，但是前几天又有用户反映说是上不去网了，我们查了一下，故障现象跟上次的一样，但是由于这次路由器被更改了登陆密码，所以我们不能通过关闭该路由器的DHCP功能来解决问题了，这次到了彻底解决问题的时候了，一定要在局域网中揪出这台私自为用户分配IP地址的宽带路由器，才有可能保证局域网的安全稳定运行。

二、故障原因分析：如下图所示：一般来讲,网络用户通过网络设备(交换机或其它)连接到路由器A,并通过DHCP服务获取上网的相关参数.即可上网.但随着网络用户的增多,尤其是笔记本用户,无了实现无线上网,在很多办公室都架设一个无线路由共享上网。

这样就导致网络中其它的用户也就可能从这个无线路由获取IP了。

局域网中的宽带路由器私自为 DHCP 分配 IP 导致无法上网故障文章导读：我们单位的住宅小区是通过雷 科通的易线宽产品进行的双向网改造：组 网方式是利用雷科通设备+有线电视分支 分配网络将互联网信号送至楼幢内，再通 过楼幢内交换机+五类线入户，这样就可 以有效的保护已有的投资，终端 PC 用户 设置为自动获取 IP 地址模式，通过前端 机房的 DHCP 服务器获取 IP 地址、子网掩 码、网关、DNS 服务器等信息，总体来说， 这套设备运行是稳定的，DHCP 服务器我 们是通过 LINUX 平台实现的，也没什么问 题，但是最近一段时间老是用户反映上不 去网。

我们单位的住宅小区是通过雷科通的易 线宽产品进行的双向网改造：组网方式是利用雷科通设备+有线电视分 支分配网络将互联网信号送至楼幢内，再通 过楼幢内交换机+五类线入户，这样就可以 有效的保护已有的投资，终端 PC 用户设置 为自动获取 IP 地址模式，通过前端机房的 DHCP 服务器获取 IP 地址、子网掩码、网关、 DNS 服务器等信息，总体来说，这套设备运 行是稳定的，DHCP 服务器我们是通过 LINUX 平台实现的，也没什么问题，但是最近一段 时间老是用户反映上不去网。

我们跟踪了一下故障，发现故障现象也很 明显，即上不去网的用户家里微机获得了一 个以 192.168.1 打头的 IP 地址，网关为 192.168.1.1，这明显是通过一台宽带路由 器获得的 IP 地址，随后我们在该用户微机 的浏览器上登录 192.168.1.1 这个地址，即 打开了一台宽带路由器的管理界面，好在这 台路由器的用户名/密码是默认的 admin/admin，我们登陆进去，将该路由器 的 DHCP 功能关闭，进行完以上操作后小区 的网络又稳定了一段时间，但是前几天又有用户反映说是上不去网了，我们查了一下， 故障现象跟上次的一样，但是由于这次路由 器被更改了登陆密码，所以我们不能通过关 闭该路由器的 DHCP 功能来解决问题了，这 次到了彻底解决问题的时候了，一定要在局 域网中揪出这台私自为用户分配 IP 地址的 宽带路由器，才有可能保证局域网的安全稳 定运行，下面是我们的操作步骤。

非法DHCPServer引发的网络冲突及解决方法作者：华新来源：《新教育时代》2015年第21期摘要：DHCP被广泛应用于广域网和局域网，为网络用户动态提供IP地址、子网掩码和网关等信息。

越来越多的网络设备能够提供DHCP Server，当这些设备被错误的接入到原有网络时，会影响用户从合法的DHCP Server中获取地址信息，有时候还会造成冲突，影响网络的正常使用。

本文给出了屏蔽非法DHCP Server的方法，保障正常的网络应用。

关键词：非法DHCP DHCP Server DHCP snooping 网络冲突1.非法DHCP Server产生背景在传统的网络中，DHCP Server使用固定IP地址，对于其他包括笔记本和台式机在内的众多客户端，可使用DHCP协议进行地址分配，其模型如图1所示。

过去网络的综台布线系统以双绞线和光纤等有线介质为主，当网络中需要延伸距离、增加信息点时重新布线会存在种种困难。

此时，使用无线设备进行网络的扩展成了首选。

同时，智能手机、平板电脑的普及也使得人们对无线网络有了更迫切的需求。

因此，大量的Soho无线路由被应用在了办公室、会议室等场所。

这些Soho无线路由器自带的DHCP Server功能经常造成主机无法从合法的DHCP Server处获得IP地址。

在本例所示的拓扑中，核心交换机开启DHCP 服务作为DHCP Server，核心交换机下连接接入交换机再连接至PC。

未配置IP信息的PC机启动后将发送DHCP Discover报文，DHCP Server收到后将为客户端分配相应的IP配置信息。

扩展的网络模型如图2所示。

在这个拓扑结构中，每个无线路由使用WAN接口上联至交换机，通过DHCP为WAN接口配置地址。

同时每个无线路由器又是个DHCP Server，通过LAN和WLAN接口为下联的台式机（使用有线连接）和笔记本、平板电脑及手机（使用无线连接）分配地址并提供网络接入服务。

如何阻止某网段用户电脑获取非法普通路由器DHCP地址-【H3C】华三技术论坛—H3...由于ACL资源有限，S3100-SI系列以太网交换机不支持DHCP Snooping信任端口功能。

但为了防御因私自架设DHCP服务器，而导致的网络混乱；或者攻击者恶意冒充DHCP服务器，为客户端分配IP地址等配置参数等情况，S3100-SI系列以太网交换机提供了防DHCP服务器仿冒功能。

在开启DHCP Snooping功能的交换机的下游端口（与DHCP客户端直接或间接相连的端口）上配置防DHCP服务器仿冒功能后，交换机会从该端口向外发送DHCP-DISCOVER报文，用于探测连接到该端口的DHCP服务器，如果接收到回应报文（DHCP-OFFER报文），则认为该端口连接了仿冒的DHCP服务器，交换机会根据配置的处理策略进行处理，例如仅发送告警信息，或发送告警信息的同时将相应端口进行管理Down操作。

[3100]display verH3C Comware Platform SoftwareComware Software, Version 3.10, Release 2211P04Copyright (c) 2004-2010 Hangzhou H3C Technologies Co., Ltd. All rights reserved.H3C S3100-16TP-SI uptime is 0 week, 0 day, 0 hour, 31 minutesH3C S3100-16TP-SI with 1 Processor64M bytes SDRAM8M bytes Flash MemoryConfig Register points to FLASHHardware Version is REV.DBootrom Version is 555[Subslot 0] 16FE Hardware Version is REV.D[Subslot 1] 1GE Hardware Version is REV.D[Subslot 2] 1GE Hardware Version is REV.D[3100]int vlan 1[3100-Vlan-interface1]ip address dhcp-alloc[3100-Vlan-interface1]un shutdown[3100]display ip int b*down: administratively down(l): loopback(s): spoofingInterface IP Address Physical Protocol DescriptionVlan-interface1 192.168.1.189 up up Vlan-inte...DHCP client statistic information:Vlan-interface1:Current machine state: BOUNDAllocated IP: 192.168.1.189 255.255.255.0Allocated lease: 72000 seconds, T1: 36000 seconds, T2: 63000 secondsServer IP: 192.168.1.188[3100-Ethernet1/0/1]dhcp-snooping server-guard enable[3100-Ethernet1/0/1]dhcp-snooping server-guard method shutdown#Apr 2 00:29:07:389 2000 3100 DHCP-SNP/2/DHCPSNOOPING SERVER GUARD:- 1 -Trap1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227626 detect DHCP server in VLAN 1 MAC is f0.4d.a2.21.2f.b6 IP is 192.168.1.188%Apr 2 00:29:07:690 2000 3100 DHCP-SNP/5/dhcp-snooping server guard:- 1 -Port 1 detect DHCP server in VLAN 1 MAC is f04d-a221-2fb6 IP is 192.168.1.188#Apr 2 00:29:08:147 2000 3100 L2INF/2/PORT LINK STATUS CHANGE:- 1 -Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227626, ifAdminStatus is 2, ifOperStatus is 2%Apr 2 00:29:08:358 2000 3100 L2INF/5/PORT LINK STATUS CHANGE:- 1 -Ethernet1/0/1 is DOWN%Apr 2 00:29:08:479 2000 3100 L2INF/5/VLANIF LINK STATUS CHANGE:- 1 -Vlan-interface1 is DOWN%Apr 2 00:29:08:599 2000 3100 IFNET/5/UPDOWN:- 1 -Line protocol on the interface Vlan-interface1 is DOWN[3100-Ethernet1/0/1]display dhcp-snooping server-guard DHCP-Snooping is enabled.DHCP-Snooping server guard become effective.Interface Status Find Time====================================== ==========================Ethernet1/0/1 Server detected and shutdown 2047。