不管是什么問題，只要有網(wǎng)絡(luò)的地方，就肯定會出現(xiàn)一些或大或小的問題。這里我們就將為大家講解一下處理DHCP服務(wù)器故障的四個方法。最近公司里部分計(jì)算機(jī)頻繁出現(xiàn)不能上網(wǎng)的問題，這些計(jì)算機(jī)都是自動獲得ip的，但經(jīng)過檢查我發(fā)現(xiàn)他們獲得的網(wǎng)關(guān)地址是錯誤的，按照常理dhcp不會把錯誤的網(wǎng)關(guān)發(fā)送給客戶端計(jì)算機(jī)的。后來我使用ipconfig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后，用ipconfig /renew可以獲得真實(shí)的網(wǎng)關(guān)地址，而大部分獲得的仍然是錯誤的數(shù)據(jù)。所以我斷言局域網(wǎng)中肯定存在其他的DHCP服務(wù)器，也叫做非法DHCP服務(wù)器。為什么真正的DHCP服務(wù)器分配的網(wǎng)絡(luò)參數(shù)無法正確傳輸?shù)娇蛻魴C(jī)上呢？

首先來了解下dhcp的服務(wù)機(jī)制：

一般公司內(nèi)部都會有一個DHCP服務(wù)器來給客戶端計(jì)算機(jī)提供必要的網(wǎng)絡(luò)參數(shù)信息的，例如ip地址，子網(wǎng)掩碼，網(wǎng)關(guān)，dns等地址，很多情況路由器就可以擔(dān)當(dāng)此重任。每次客戶端計(jì)算機(jī)啟動后都會向網(wǎng)絡(luò)中發(fā)送廣播包尋找DHCP服務(wù)器（前提是該計(jì)算機(jī)被設(shè)置為自動獲得ip地址），廣播包隨機(jī)發(fā)送到網(wǎng)絡(luò)中，當(dāng)有一臺DHCP服務(wù)器收到這個廣播包后就會向該包源mac地址的計(jì)算機(jī)發(fā)送一個應(yīng)答信息，同時從自己的地址池中抽取一個ip地址分配給該計(jì)算機(jī)。

為什么非法dhcp會被客戶端計(jì)算機(jī)認(rèn)為是合法的？

根據(jù)dhcp的服務(wù)機(jī)制，客戶端計(jì)算機(jī)啟動后發(fā)送的廣播包會發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，究竟是合法DHCP服務(wù)器還是非法DHCP服務(wù)器先應(yīng)答是沒有任何規(guī)律的，客戶端計(jì)算機(jī)也沒有區(qū)分合法和非法的能力。這樣網(wǎng)絡(luò)就被徹底擾亂了，原本可以正常上網(wǎng)的機(jī)器再也不能連接到intelnet。

解決方法：

1、ipconfig /release 和 ipconfig /renew

我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題，直到客戶機(jī)可以得到真實(shí)的地址為止。即先使用ipconfig /release釋放非法網(wǎng)絡(luò)數(shù)據(jù)，然后使用ipconfig /renew嘗試獲得網(wǎng)絡(luò)參數(shù)，如果還是獲得錯誤信息則再次嘗試/release與/renew直到得到正確信息。

提醒：這種方法治標(biāo)不治本，反復(fù)嘗試的次數(shù)沒有保證，另外當(dāng)dhcp租約到期后客戶端計(jì)算機(jī)需要再次尋找DHCP服務(wù)器獲得信息，故障仍然會出現(xiàn)。

2、通過“域”的方式對非法DHCP服務(wù)器進(jìn)行過濾

將合法的DHCP服務(wù)器添加到活動目錄（active directory）中，通過這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的dhcp server在相應(yīng)請求前，會向網(wǎng)絡(luò)中的其他dhcp server發(fā)送dhcpinform查詢包， 如果其他dhcp server有響應(yīng)，那么這個dhcp server就不能對客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法dhcp存在時非法的就不起任何作用了。

提醒：這種方法效果雖然不錯，但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用，基本上使用工作組就足以應(yīng)對日常的工作了。所以這個方法，效果也不錯，但不太適合實(shí)際情況。

3、在路由交換設(shè)備上封端口

dhcp服務(wù)主要使用的是udp的67和68端口，DHCP服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口，67端口為客戶機(jī)發(fā)送請求時使用。所以我們可以在路由器上保留服務(wù)器的68端口，封閉客戶機(jī)的68端口，就能達(dá)到過濾非法DHCP服務(wù)器的目的。

提醒：如果計(jì)算機(jī)很多的話，操作起來不方便，而且會增加路由器的負(fù)擔(dān)，影響到網(wǎng)絡(luò)速度。

4、查出非法DHCP服務(wù)器幕后黑手，進(jìn)行屏蔽

DHCP服務(wù)器也充當(dāng)著網(wǎng)關(guān)的作用，如果獲得了非法網(wǎng)關(guān)地址，也就是知道了非法DHCP服務(wù)器的ip地址。通過ping ip 查到主機(jī)名，通過arp 主機(jī)名 查出mac地址。知道了mac地址，就可以在路由器中屏蔽這個mac，或者是屏蔽該mac的68端口?；蛘咂渌姆椒ǘ夹校缓蠛谑侄颊业搅?，怎么處置就隨你了。我用的就是這第4種方法

原文：http://hi.aeeboo.com/momol/blog/article/9267481/