首页 > 代码库 > DHCP冲突的解决方法
DHCP冲突的解决方法
DHCP作为可以自动分配网络配置信息给客户端的网络协议,这样可以大大减少网络工程师的工作量。但是不正当的网络规划就会造成DHCP的混乱,进而造成网络的故障。以下就是我们公司之前工程师搭建网络时,给后来人(也就是我)挖的一个大坑:
网络架构的拓扑图:
网络拓扑的描述:这个使我们公司做的一个无线项目,在甲方的有线网络下,加上无线网络。
原有的有线网络拓扑是核心交换机是华为switch,三个交换板 每个交换板24个Ethernet口,下联计算机客户端(这搭建有线网络的网络工程师肯定有病),上联深信服的防火墙设备,计算机客户端是通过自动获取得到ip地址及相应的网络配置信息的。核心交换机上什么配置也没有 纯粹的傻瓜交换机(我也是够够的了)。然后我们工程师搭建无线网络时,无线网络的具体的搭建及配置就不赘述了,我就直接说有限和无线网络的边界了。
AC作为中继设备上联核心交换机,在AC端的与核心switch相连的端口起三层功能,配上IP地址,是192.192.130.0的网络,跟深信服防火墙的端口在同一个网段。并且AC里同样有DHCP地址池,是为AP分配的地址。但是有限线客户端在拿网络信息配置的时候会找到AC拿错误的地址。这样就造成的部分计算机不能上网。
解决方案:在AC的三层端口处做一个对DHCP报文的ACL,阻止DHCP报文通过该端口,这样就可以实现有线计算机客户端只从防火墙处寻地址的目的了。
解决方案的理论基础:1、计算机通过在广播域内广播DHCP报文获取相应的网络配置信息的
2、DHCP作为应用层协议,是以udp作为传输层的封装协议,端口号为67(server侦听端口号)、68(客户端端口号)。
3、ACL可以通过控制tcp、udp的端口号进而控制应用层协议报文
解决方案的具体配置:
cisco:在全局配置模式下,创建相应扩展ACL:access-list 100 permit udp any any eq 67
access-list 100 permit udp any any eq 68
access-list 100 permit ip any any
在AC的端口(即你要控制的端口处)处应用该ACL:access-list group 100 in
本文出自 “12092785” 博客,请务必保留此出处http://12102785.blog.51cto.com/12092785/1875612
DHCP冲突的解决方法