内网多个DHCP Server无法获取到地址上网的解决办法

问题：

用户反映，经常有人自带路由器上网，通常内网会存在多个dhcp服务器，内网用户自动获取ip地址，由于dhcp发的是广播包，时常会获取到其他路由器上的地址，造成无法上网。

 

解决方案：

1、路由器（多lan口设备）的高级配置—特殊功能有一个功能是虚拟局域网，在这里可以配置port vlan，方法如下图所示：

路由器（多lan口设备）的高级配置—特殊功能有一个功能是虚拟局域网，在这里可以配置port vlan，方法见下图：

这里可以设置四个lan口的组号，不同组号之间不能互访。

用户可以各lan口分别连接不同的楼层或不同部门，然后做好记录，如果出现内网存在多个dhcp服务器的情况，可以查找同一个接口下的设备，快速排除其他接口连接的设备和主机。

2、内网用户指定IP地址上网，不通过DHCP server来分配地址，这样即可避免获取不到地址导致不能上网。

3、在ReOS 2009版本中，我们设备增加了DHCP server自动检测功能。该功能默认开启，在WEB界面无需做任何配置，CLI下我们可以使用命令sh ip dhcp server dhcpSrvDetec查看该功能是否启用。

那么该功能启用后，我们如何使用该功能呢？

在系统状态——日志管理中我们就会发现有如下提示：

命令行提示如下：

当我们登录设备上设备查看到以上信息，我们即可判定，内网还有其他的DHCP server存在。那么找到内网其他的DHCP server关闭即可。

 

 

 

 

 

 

DHCP-snooping该怎样配置

2011-03-09 15:01 佚名 51CTO整理 字号：T |T

DHCP Snooping（DHCP监听）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。

AD： 2013云计算架构师峰会课程资料下载

DHCP监听被开启后，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文。DHCP-snooping还有一个非常重要的作用就是建立一张DHCP监听绑定表，既然DHCP-snooping这么重要，那么让我们来看看他是怎么样配置的！

案例需求

1．PC可以从指定DHCP Server获取到IP地址；

2．防止其他非法的DHCP Server影响网络中的主机。

参考如下如完成配置：

 
DHCP Snooping配置步骤

1．进入系统视图

<H3C>system-view

2．全局使能dhcp-snooping功能

[H3C]dhcp-snooping

3．进入端口E1/0/2

[H3C] interface Ethernet 1/0/2

3．将端口E1/0/2配置为trust端口，

[H3C-Ethernet1/0/2]dhcp-snooping trust

DHCP Snooping配置关键点

1．当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址；

2．由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文，由E1/0/2端口进入交换机并进行转发，因此需要将端口E1/0/2配置为“trust”端口。如果交换机上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为“trust”端口。