wifidhcp地址分配老出错怎么办（wifidhcp服务异常怎么解决）

现在有不少人因为无线上网，但所在单位的无线网络覆盖不到，于是就出现了员工私下将无线路由器接入办公室的有线网口，因为不太熟悉将网线插在了无线路由器的LAN口上的情形，而单位的网络又没有做MAC地址绑定等限制，此时如果该办公室所在网段的设备是通过DHCP获取IP的，很可能会出现网络不通的问题。

出现该问题的原因是：DHCP Server和DHCP Client之间没有认证机制，而目前绝大部分无线路由器默认是开启了DHCP服务器功能，当它通过LAN口接入单位网络后，如果此时有客户端请求IP地址，而该无线路由器又最先应答的话，它就会为客户端分配IP地址以及其他网络参数，从而出现网络不通的问题。

此时可以尝试打开网络设备的DHCP Snooping功能（网络设备支持的话），来防止上述问题或者DHCP Server仿冒者攻击。

一、实验目的

配置DHCP Snooping功能，防止随意接入DHCP服务器或者DHCP Server仿冒者攻击。

二、实验内容

模拟某单位的网络场景：单位内部是一个局域网，有多台接入交换机（如S2~S3）用于连接用户设备，接入交换机之间通过汇聚交换机S1相连；内部划分了VLAN，如PC1、共享打印机PriSrv1被划入VLAN 100，PC2、共享打印机PriSrv2被划入VLAN 200，VLAN 2为服务器部署区域；集中部署一台DHCP服务器（用一台在VLAN 2中路由器DHCP_Srv来模拟），为VLAN100、VLAN200的用户IP地址信息自动分配。

本实验模拟员工将无线AP的LAN口（为简单起见用一台路由器代替）接入办公室有限网口的情形——接在S2的Ethernet0/0/2，在如图1所示。

wifidhcp地址分配老出错怎么办,wifidhcp服务异常怎么解决(1)

图1

实验在《》的配置基础上进行，本次主要涉及：

(一) 接入模拟的无线路由器后，以PC1为例观察IP地址分配情况

(二) 配置DHCP Snooping相关功能

(三) 再次观察PC1的IP地址分配情况

三、实验步骤

(一) 接入模拟的无线路由器后，以PC1为例观察IP地址分配情况

重启PC1后，如图2

wifidhcp地址分配老出错怎么办,wifidhcp服务异常怎么解决(2)

图2

可以看到，PC1本来应该分配IP地址在192.168.100网段、默认网关192.168.100.254、DNS119.29.29.29，现在却是IP地址192.168.1.253、默认网关192.168.1.1、DNS192.168.1.1，明显是无线路由器分配的地址。那么，也就会出现PC1网络通信问题。

(二) 配置DHCP Snooping相关功能

下面以S2为例进行配置

1、全局使能DHCP

[S2]dhcp enable

2、全局使能DHCP Snooping

[S2]dhcp snooping enable

3、使能用户侧接口的DHCP Snooping功能

以S2的Ethernet0/0/2为例

[S2]interface Ethernet0/0/2

[S2-Ethernet0/0/2]dhcp snooping enable

[S2-Ethernet0/0/2]quit

4、配置接口的信任状态

[S2]interface GigabitEthernet 0/0/1

[S2-GigabitEthernet0/0/1]dhcp snooping trusted

注：

1、通过dhcp snooping trust将与合法DHCP服务器直接或间接连接的接口设置为信任接口（trusted），其它接口通过dhcp Snooping enable设置为默认的非信任接口（Untrusted）。此后，从“非信任（Untrusted）”接口上收到的DHCP回应报文将被直接丢弃，这样就可以防止随意接入DHCP服务器或者DHCP Server仿冒者攻击。

2、S2的G0/0/1口与单位的DHCP_Srv经由S1相连，即是上面说的“与合法DHCP服务器间接连接的接口”；除G0/0/1口之外的接口则都是“其它接口”或者说是用户侧接口——在各自接口下输入dhcp Snooping enable。

3、S3的配置方法与S2相同。

4、S1如有必要可以将G0/0/1设置为信任接口，其他接口设置为非信任接口。

(三) 再次观察PC1IP地址分配情况

先用ipconfig /release释放IP，然后用ipconfig /renew刷新，结果如图3

wifidhcp地址分配老出错怎么办,wifidhcp服务异常怎么解决(3)