WIFI连接DHCP无法获取地址或获取地址慢分析

WIFI连接DHCP无法获取地址或获取地址慢

摘要：WIFI上网时，有时会出现无线用户接入后获取地址慢，而且经常无线网卡提示连接受限的现象。该情况将直接影响到用户的使用感受。本文主要分析了该问题发生的主要原因以及解决方案。

关键词：WIFI 连接受限DHCP获取地址慢

正文：

在无锡市区的一些热点区域，经常会有用户反映出现无线接入后获取地址慢，而且有时会出现无线网卡提示受限连接的现象。该情况将直接影响到用户的使用感受。

针对上面的现象，我们进行了现场的分析和定位，确定了最终的原因：该现象的最终原因不是WLAN接入造成，而是DHCP server所引起的。

DHCP Server进行了一定的保护，也就是当DHCP server成功分配出一个地址以后，对于再次来自于客户端设备的DHCP请求将不作处理，只有原来的表项老化以后，才可能继续重新为客户端设备分配地址。

由于无线的特殊性，网卡在信号不稳的时候会出现重新连接，或者最终用户在使用过程中可能直接拔插网卡的情况，这样相当于链路异常断开，最终导致DHCP server不知道用户已经下线。而当用户再次申请地址的时候，DHCP server可能认为报文非法而不进行处理，最终出现了获取地址慢的现象。

通过有线进行测试也验证同样存在该问题。先使用有线网卡连接，保证成功获取地址，之后直接将网卡禁用后在使能，可以发现该网卡同样无法在短时间内获取地址。

下面是用户DHCP申请地址的流程

造成获取地址慢的原因：当DHCP server成功发送DHCP ACK报文之后，DHCP server 将认为它已经成功为Client分配了一个IP地址，在没有接收到Release报文之前，或者自

己的表项没有老化之前，再次收到来自于Client的报文，DHCP server将作为非法报文处理。

获取地址慢的出现情况一：

如果客户端出现异常断开（也就是客户端虽然断开连接，但是没有发送DHCP Release 报文），当该客户端再次连接的时候会出现无法获取地址，只有等待足够的一段时间后，才可以获取地址的问题。

能够造成该种情况的操作：

1、直接将有线网卡禁用；

2、直接将无线网卡禁用；

3、直接拔插无线网卡；

获取地址慢的出现情况二：

由于客户端和服务器经过了大量的有线网络，所以在获取地址的瞬间，有可能出现报文延时的问题，特别当DHCP server回复的DHCP ACK报文延时到达客户端的时候，此时客户端会认为它已经发送的DHCP request报文超时，状态机回到初始位置，重新发送DHCP discovery报文。但是由于DHCP服务器已经发送了ACK，所以认为已经成功给客户端分配了地址，所以会忽略掉客户端的新的DHCP discovery请求。造成客户端获取不到地址或者需要经过一段时间后才可以获取地址。

下面是在AP上行端口抓包，第110条报文，AP将客户端的DHCP request报文成功发送出去，但是等待了10ms之后没有收到服务器的DHCP ACK报文，所以重新发送DHCP discovery报文申请地址；但是此时服务器实际上已经发送了一个DHCP ACK报文（只是该报文在60ms之后到达）。这样就造成了客户端和服务器的状态机不一致，服务器不再处理新的DHCP Discovery请求。

这个现象只能通过DHCP server上面的优化，目前该现象与WLAN网络和有线网络都没有关系，WLAN设备没有问题。由于DHCP服务器管理了很多的接入服务，需要仔细考

虑如何进行优化。

强制性使用DHCP获取ip地址

限制用户使用静态IP，只能通过DHCP获取地址的方法 L3（dhcp server/93 1/0/0）------(0/0/3)L2(33 0/0/1口)-----pc（4487-fc43-2dea） 需求:要求L3作dhcp server，仅为某一些mac分配固定的ip，其他未明示的mac不允许获得ip，同时已经明示的mac只能使用指定的ip，不能私自修改ip. 1、在dhcp server组里做静态的ip和mac绑定，使ip分配正确。 2、在dhcp server全局再单独做ip和mac的静态表，并在接口开启ip check/arp check,使用户私改ip无法上网，同时也不会产生arp冲突。 3、在L2上作静态表，只写mac，然后在接口开启ip检查，或者在vlan开启ip检查. L2配置： !Software Version V100R005C01SPC100 sysnameQuidway # vlan batch 10 # user-bind static mac-address 4487-fc43-2dea--------允许pc mac通过，不能写ip，因为dhcp discover交互的报文没有ip。 user-bind static mac-address 0018-82b3-c6ff--------允许服务器的mac。 # undo http server enable # drop illegal-mac alarm # vlan 10 ip source check user-bind enable-------------------在vlan里开启ip检查。 ip sour # L3配置： [Quidway]dis cu # !Software Version V100R003C00SPC200 sysnameQuidway # vlan batch 1 6 10 20 # dhcp enable

ip dhcp snooping 配置不当 PC不能正常获取IP

ip dhcp snooping 配置不当 PC不能正常获取IP 文章来源：不详作者：“蓝冰天… 更新时间：2009-5-1 10:56:37 【大小】【加入收藏】 客户的网络结构是，思科6509两台做hsrp为核心层，下面的接入层交换机为思科2950，在6509上启用了DHCP服务，为每个VLAN分配IP地址。现问题就出现在其中的几个VLAN，PC接在这VLAN下就是获取不到IP 地址，这几个有问题的VLAN，都接在同一台交换机，看了下6509的配置，没发现什么问题，就是注意到开启了ip dhcp snooping ,问题出现在同一台交换机，那就确定方向了. 来到问题机器，交换机没做什么配置，网络中一部分VLAN不能自动获取IP地址，但注意到也配置了ip dhcp snooping ,dhcp snooping 的主要功能是：能够拦截第二层VLAN域内的所有DHCP报文，查看与6509所接的端口，没有启用dhcp snooping trust ,这就是问题所在了。 DHCP监听将交换机端口划分为两类： ●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等 ●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 根据以上可知，我在级连接口上启用ip dhcp snooping trust 后，把本地接口接上，马上获取到了IP地地址。 下面是我在网上查到的关于ip dhcp snooping 的东西，总结一下： 一、DHCP snooping 技术介绍 DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。 通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR 字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以

启用DHCP后设备无法自动获取到IP地址

1.启用DHCP后，设备无法自动获取到IP地址？ 解决办法：DHCP是Dynamic Host Configuration Protocol的简称，用于给局域网设备自动分配IP 地址。在启用DHCP后，要求有一个正常运行的DHCP服务器存在。一般是用路由器实现DHCP服务器功能，当设备无法自动获取到IP时，需要检查一下路由器有没有启用DHCP功能。 2.用IE登陆IPC网页，页面不出来，怎么开启“兼容性视图”模式？ 解决办法：由于我司网页比IE9先使用，所以某些功能需要在兼容性视图下才能够正常使用。打开IE9，在地址栏后面有个图标，鼠标放上去会显示“兼容性视图”，点击即可。也可以通过点击工具栏的“工具”按钮，在下拉菜单中选择“兼容性视图”。 3.初次使用设备时，怎样配置设备的IP地址？ 解决办法：用一根网线将PC与设备直连后，设备通电。在浏览器地址栏输入192.168.0.123，即可以访问设备的IPC网页。192.168.0.123是我司设备的通用IP，在设备与电脑直连时，可以用这个IP访问任何设备。输入正确的用户名和密码（本公司出厂的设备默认的用户名为admin密码为123456），进入IPC 网页内部。点击【网络设置】-【以太网设置】，即可配置设备的IP地址。 4.新设备用192.168.0.123无法访问，UC2中可以搜索到但是添加后不上线？ 解决办法：可可以搜索得到又成功添加设备,可是设置不在线,说明设备和PC电脑是在一个局域网但不在同一个网段,处理方法如下:点击右下角的“我的电脑”图标，右键单击选择“打开网络连接”，任意选择一个连接，右键单击选择“属性”，弹出连接属性对话框，拖动滚动条到最下面，双击选项“Internet 协议（TCP/IP）”，在弹出的面板中选择“高级”，弹出高级设置面板，在“IP地址”一栏点击“添加”按钮，输入和摄像机同一个网段的IP，不能是摄像机IP。在“子网掩码”点击一下，会自动生成。之后保存设置。之后就可以正常访问设备了。 5.IPC是否支持RTSP访问,RTSP流访问的格式是什么？ 所有的IPC模组都支持RTSP访问,访问地址如下： 取主码流地址:rtsp://192.168.0.123:554/mpeg4 取子码流地址:rtsp://192.168.0.123:554/mpeg4cif 6.IPC支持哪些网络协议？ 支持RTSP/FTP/PPPOE/DHCP/DDNS/NTP/UPnP等网络协议 7.如何设置Internet Explorer 9.0不能访问IPC？ 使用IE9.0进行访问的时候，在设置IE自定义级别的时候，对一些提示为“启用（不安全）”的选项，建议选择为“提示”。同时选择IE“工具”－＞“视图兼容性设置”把“在兼容性视图中显示所有网站”勾选上。 8.如何设置Internet Explorer 7.0和8.0不能访问IPC？ 使用Internet Explorer7.0和8.0进行访问的时候，在设置IE安全性级别的时候，对一些提示为“启用（不安全）”的选项，建议选择为“提示”。因为选择“启用”后，打开IE询问是否需要“修复设置”，选择“修复设置”的话，有可能导致控件无法正常下载。 9.windows 7系统下IE不能使用的问题？ windows 7系统下使用不能正常的主要问题是建立保存的文件目录后，会失败。但如果打开ie的时候右键选择“以管理员身份运行”，则可以解决该问题。

WIFI连接DHCP无法获取地址或获取地址慢分析

WIFI连接DHCP无法获取地址或获取地址慢 摘要：WIFI上网时，有时会出现无线用户接入后获取地址慢，而且经常无线网卡提示连接受限的现象。该情况将直接影响到用户的使用感受。本文主要分析了该问题发生的主要原因以及解决方案。 关键词：WIFI 连接受限DHCP获取地址慢 正文： 在无锡市区的一些热点区域，经常会有用户反映出现无线接入后获取地址慢，而且有时会出现无线网卡提示受限连接的现象。该情况将直接影响到用户的使用感受。 针对上面的现象，我们进行了现场的分析和定位，确定了最终的原因：该现象的最终原因不是WLAN接入造成，而是DHCP server所引起的。 DHCP Server进行了一定的保护，也就是当DHCP server成功分配出一个地址以后，对于再次来自于客户端设备的DHCP请求将不作处理，只有原来的表项老化以后，才可能继续重新为客户端设备分配地址。 由于无线的特殊性，网卡在信号不稳的时候会出现重新连接，或者最终用户在使用过程中可能直接拔插网卡的情况，这样相当于链路异常断开，最终导致DHCP server不知道用户已经下线。而当用户再次申请地址的时候，DHCP server可能认为报文非法而不进行处理，最终出现了获取地址慢的现象。 通过有线进行测试也验证同样存在该问题。先使用有线网卡连接，保证成功获取地址，之后直接将网卡禁用后在使能，可以发现该网卡同样无法在短时间内获取地址。 下面是用户DHCP申请地址的流程 造成获取地址慢的原因：当DHCP server成功发送DHCP ACK报文之后，DHCP server 将认为它已经成功为Client分配了一个IP地址，在没有接收到Release报文之前，或者自

win7无法通过DHCP获得IP地址(手动设置没有问题),但XP可以自动获取

Windows Vista 无法从某些路由器或非Microsoft DHCP 服务器获取 IP 地址 (win7无法通过DHCP获得IP地址(手动设置没有问题),但XP可以自动获取) 问题： 请考虑以下情况： ?您将一台基于 Windows Vista 的计算机连接到网络。 ?然后在网络上对配置为动态主机配置协议 (DHCP) 服务器的路由器或其他设备进行配置。 ?该路由器或其他设备不支持BROADCAST标志。 在此情况下，Windows Vista 将无法获取 IP 地址。 原因： 此问题是由Windows Vista 和Microsoft Windows XP Service Pack 2 (SP2) 之间的设计差异造成的。具体来说，在Windows XP SP2 中，DHCP 探索数据包中的BROADCAST标志设置为0（禁用）。而在Windows Vista 中，并未禁用DHCP 探索数据包中的BROADCAST标志。因此，某些路由器或非Microsoft DHCP 服务器将无法处理DHCP 探索数据包。 若希望我们为您解决此问题，请转到“帮我修复此问题”部分。若您希望自己解决此问题，请转到“我自己修复此问题”部分。 修复： 安装补丁MicrosoftFixit50357.msi 注意：此向导可能只提供英文版本。但是，Windows 的其他语言版本也提供自动修复功能。 注意：如果操作的计算机中并未出现此问题，则可将修复问题解决方案保存至闪存驱动器或 CD 中，然后在出现此问题的计算机中运行该功能。 手动修复： 重要说明：此部分、方法或任务包含有关如何修改注册表的步骤。但是，注册表修改不当可能会出现严重问题。因此，请一定严格按照下列步骤操作。为了获得进一步保护，请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 322756 如何在 Windows XP 中备份和还原注册表 若要自己解决此问题，请在 Windows Vista 中禁用 DHCP BROADCAST标志。为此，请按照下列步骤操作：

使用DHCP获取IP地址

实验原理： DHCP报文格式 下图为DHCP的报文格式： 静态地址分配与动态地址分配 1. 静态地址分配 静态地址分配方法将物理地址与IP地址绑定在一起，DHCP服务器将这个绑定文件存放在静态数据库中。当有主机请求DHCP服务器分配IP时，DHCP服务器首先检查静态数据库。若静态数据库存在所请求的物理地址条目，则将相应的IP地址返回给客户。 2. 动态地址分配 DHCP服务器还有第二个数据库，它拥有可用IP地址池。当一个DHCP客户请求临时的IP地址时，DHCP

服务器就查找可用IP地址池，然后指派在可协商的期间内有效的IP地址。 从DHCP服务器获得的动态IP地址是临时地址。DHCP发出一个租用，指明了租用的时间。当租用时间到了，客户就更新租用或者停止使用这个IP地址。服务器对更新可选择同意或不同意。若服务器不同意，客户就停止使用这个地址。 转换状态 DHCP客户端可以从一个状态转换到另一个状态，这取决于收到的报文和发送的报文，如下图所示： 图10-3 DHCP的转换图

实验环境（画出拓扑结构）

5. 察看DHCP会话分析，填写下表。 表10-1 实验结果 6. 等待时间超过租用时间（上表中的“租借时间”的值）的50%后，察看捕获的数据包。 ●各报文中字段“操作码”、“DHCP消息类型”的值分别是多少？该请求报文的作用是什么？实验数据及结构分析

报文序号操作码的值DHCP消息 类型的值租借时间的 值（若有） 源IP地址目的IP地址 191 1（请求）7（发行）182.168.1.50 192.168.1.1 448 1（请求）1（探测）0.0.0.0 255.255.255.255

路由器DHCP配置自动获取IP

R1>en R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#int f0/0 R1(config-if)#ip add 12.1.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)# *Mar 1 00:01:10.847: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar 1 00:01:11.847: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#exit R1(config)#service dhcp R1(config)#ip dhcp excluded-address 23.1.1.1 23.1.1.100 R1(config)#ip dhcp pool 205 R1(dhcp-config)#network 23.1.1.0 255.255.255.0 R1(dhcp-config)#default-router 23.1.1.1 R1(dhcp-config)#dns-server 8.8.8.8 R1(dhcp-config)#dns-server 202.102.224.68 R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip dhcp excluded-address 24.1.1.1 24.1.1.100 R1(config)#ip dhcp pool 207 R1(dhcp-config)#network 24.1.1.0 255.255.255.0 R1(dhcp-config)#default-router 24.1.1.1 R1(dhcp-config)#dns-server 8.8.8.8 R1(dhcp-config)#dns-server 202.102.224.68 R1(dhcp-config)#

DHCP出现错误1068

DHCP出现错误1068，导致不能启动！ (2011-06-15 22:19:09) 转载▼ 分类：计算机网络 标签： 杂谈 这是从GOOGLE，搜索回来的一种方法。 Symptom DHCP Client Service may not automatically. When you attempt to start the Service manually, the following error may be displayed: Error: Could not start the DHCP Client Service on local computer Error 1068: The dependency service or group failed to start. Resolution The DHCP Client Service in Windows XP, depends on these three components: ?AFD ?NetBios over Tcpip ?TCP/IP Protocol Driver If one of the above drivers fail to start, then the DHCP Client Service may not start. Step I - Make sure that the three driver files are present Open Windows Explorer and navigate to %Windir%\System32\Drivers folder. Make sure that the following files are present in the folder: ?afd.sys ?tcpip.sys ?netbt.sys If one or more of the above driver files are missing, extract them from the Windows XP CD-ROM or from the ServicePackFiles\i386 folder, whichever is the latest version. Step II - Verify the number of Dependencies From other sources in the Web, I've found that installation of Norton Antivirus (NAV) adds an entry to the DHCP Service dependencies, and removing NAV does not remove the corresponding entry from the DHCP Dependencies. To view the dependency services registered for DHCP Client Service, type the following command in Start, Run dialog: CMD /K SC QC DHCP Verify the output. It should be exactly as below: [SC] GetServiceConfig SUCCESS

android DHCP获取IP失败分析解决

android 通过DHCP获取IP初步流程 ==================================================================== 1. java中实现log的方法是 Log.v(TAG, "Static IP configuration succeeded"); D/WifiStateTracker( 860): DhcpHandler: DHCP request started 发生在./frameworks/base/wifi/java/android/net/wifi/WifiStateTracker.java：2285 2. java层运行dhcp的地方有两个 ./frameworks/base/ethernet/java/android/net/ethernet/EthernetStateTracker.java ./frameworks/base/wifi/java/android/net/wifi/WifiStateTracker.java 定义在 ./frameworks/base/core/java/android/net/NetworkUtils.java runDhcp的jni实现./frameworks/base/core/jni/android_net_NetUtils.cpp:231 对应的函数是android_net_utils_runDhcp，此函数会调用dhcp_do_request，dhcp_do_request 定义在./system/core/libnetutils/dhcp_utils.c中 3. rt3070 wifi 驱动适配层在./hardware/libhardware_legacy/wifi/wifi_ralink3070.c Ethernet分析 1.EthernetNative.java的jni在./frameworks/base/core/jni/android_net_ethernet.cpp 故障描述： （android手机）LG P350连接wifi（wlan）时若使用动态ip分配，则总停留在“正在从[SSID名称]获取IP地址”，然后获取失败，自动断开。反复重新连接均如此。 设置静态IP则可以连接。

ipdhcpsnooping配置不当造成pc不能正常获取ip

ip dhcp snooping 配置不当造成PC不能正常获取IP ip dhcp snooping 配置不当造成PC不能正常获取IP 标签：职场休闲 原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。https://www.sodocs.net/doc/64731452.html,/81129/151695 今天去一个客户那里排查一个困扰他们半个月之久的问题，就是网络中一部分VLAN不能自动获取IP地址，上午去到他们那里已经10点多了，天气有点热，客户的网络结构是，思科6509两台做hsrp为核心层，下面的接入层交换机为思科2950，在6509上启用了DHCP服务，为每个VLAN分配IP地址。现问题就出现在其中的几个VLAN，PC接在这VLAN下就是获取不到IP地址，跟客户沟通知道这几个有问题的VLAN，都接在同一台交换机，看了下6509的配置，没发现什么问题，就是注意到开启了ip dhcp snooping ,问题出现在同一台交换机，那里确定方向了，走，到生产线上，查看问题机器。 来到问题机器，进入里面一看，交换机没做什么配置，但注意到也配置了ip dhcp snooping ,这是时想dhcp snooping

的主要功能是：能够拦截第二层VLAN域内的所有DHCP 报文，查看与6509所接的端口，没有启用dhcp snooping trust ，呵呵，这就是问题所在了。 DHCP监听将交换机端口划分为两类： ●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等 ●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 根据以上可知，我在级连接口上启用ip dhcp snooping trust 后，把本地接口接上，马上获取到了IP地地址。 下面是我在网上查到的关于ip dhcp snooping 的东西，总结一下： 一、DHCP snooping 技术介绍 DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。

客户端计算机不能通过DHCP获得正确IP地址的问题

客户端计算机不能通过DHCP获得正确IP地址的问题(2007-06-22 10:49:16) 具体内容： 故障现象：在总公司网络切换完成之后，大部分客户端计算机都设置的是自动获取IP地址，总公司网段（10.1.11.0/24）有些客户端计算机（包括：win98和Windows2000专业版）在设置DHCP之后，找不到DHCP服务器上正常分配的IP 地址，而是找到192.168.0.0这个网段上的IP地址，后来只有手动给这些客户端添加一个固定IP地址。 故障分析：在总公司网段（10.1.11.0/24）有这样的情况发生，而研发中心网段（10.1.20.0/24）没有出现过这样的情况，所以可以判断不是DHCP服务器本身的原因造成的。只有一种可能就是在总公司的网段中有一台有DHCP服务的计算机造成了个别客户端出现不通正确的获取IP的问题。 故障解决：找到安装有DHCP服务的计算机，然后把DHCP服务禁用或删除就可以解决。但我们不清楚是哪一台计算机上安装了DHCP服务。具体用哪个方法来更快的找到那台装有DHCP服务的计算机呢？可以用一个命令：ARP来找到这台装有DHCP服务的计算机的MAC地址，然后再在交换机上看是哪一个口，然后再找到配线架上的口，再找到是哪台计算机。具体要执行以下步骤来找到这台计算机： 第一步：在不能正确获取IP地址的win2000/win98客户端的计算机上执行以下命令：

第二步：这时会显示出DHCP服务器的IP地址，然后我们再用ping命令，ping 这台服务器的IP地址，如下： 第三步：再执行ARP命令： （ARP命令说明：显示和修改“地址解析协议”(ARP)所使用的到以太网的IP和物理地址对应表） 这里要注意的是我们为什么不直接运行这个命令来找到192.168.0.1这台计算机的MAC地址呢？原因是我们的计算机会存放一个近期的地址对应表，这个表是有期限的，所以我们如果不ping那台计算机的IP地址，ARP命令就不会显示：“192.168.0.1 00-10-dc-02-ea-75 dynamic”这条信息，所以我们要提前ping 192.168.0.1这个计算机的地址，这时再运行ARP这个命令就会列出192.168.0.1主机的MAC地址。 第四步：我们登录到交换机上查找这台计算机连接的是哪一个端口， 我们就可以找到这台机器以下为示例：

DHCP-Snooping特性使用不当造成PC机无法获取IP地址

DHCP-Snooping特性使用不当造成PC机无法获取IP地址 DHCP-Snooping特性使用不当造成PC机无法获取IP地址 DHCP(Dynamic Host Configuration Protocol)即动态主机配置协议，该协议采用 Client-Server模型，是基于UDP层的协议，兼容并扩充了BOOTP(BOOTstrap Protocol)协议。DHCP Client采用知名端口号68，DHCP Server采用知名端口号67。当网络中有DHCP Relay 设备时，DHCP的主要过程如下： DHCP协议使用在PC机与DHCP Relay设备之间，当Client收到Relay设备转发的DHCP Ack 报文后，对报文中提供的配置参数进行检查，同时进行配置，完成DHCP过程；如果Client 收到Nak报文，则重新开始整个过程。 需要注意的是DHCP Relay设备回给Client的报文有可能是单播，也有可能是广播，这完全取决于Client是否将发出的 Discover报文里面的Bootp flags字段进行置位。如果该字段数值为1，则DHCP Relay将 Offer或者Ack/Nak报文广播给Client；反之，如果该字段数值为0，则DHCP Relay将 Offer或者Ack/Nak报文单播给Client。 以上，只是简单介绍客户端通过DHCP动态获取地址的过程，主要为了给DHCP-Snoooping 这个交换机新增的特性做铺垫。从字面上看，DHCP-Snooping和IGMP-Snooping完成的功能类似，都是对特定报文进行侦听。 当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer 报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。 下面通过一个故障实例，来介绍该功能的配置以及注意事项。 【故障现象及问题定位】 使用S3026G作为接入设备，接入设备汇聚到S3528P上，S3528P作为网络中的DHCP Relay 设备，而DHCP Server接在S3026G下面。要求各个VLAN的PC机可以自动获取IP地址，同时希望能够屏蔽网络中的假冒DHCP Server。 组网图： 首先，保证各个VLAN的PC机可以通过这台DHCP Server获取IP地址。然后，开启交换机的DHCP-Snooping功能，发现所有PC机均无法获取IP地址，说明DHCP-Snooping功能正常。为了让S3026G可以正常收发DHCP Offer报文，则在连接DHCP Server的端口0/23上配置dhcp-snooping trust，将该端口设置为信任端口，发现PC机还是无法获取IP地址。将PC 机换至其它VLAN，仍然无法获取IP地址。而关闭S3026G的DHCP-Snooping功能后，故障消失。可以肯定是DHCP-Snooping的配置导致该故障。

DHCP服务器无法获取IP地址问题解决实录

经常进行网络访问操作，遇到一些不能上网的现象是常有的事情，而具体的故障现象无非就是不能进行共享传输或打不开网页内容，不过造成不能上网现象的原因却是错综复杂、千变万化，就连一些平时不怎么起眼的操作细节都有可能引起不能上网故障的发生。这不，笔者就曾遭遇到一则非常奇怪的不能上网故障现象，这则故障现象是由于普通工作站无法从局域网的DHCP服务器那里获取IP地址引起的，那么普通工作站为什么不能从DHCP服务器那里申请得到有效的IP地址呢？现在本文就对该故障现象的详细排除过程进行解读，并对普通上网客户端无法从DHCP服务器获取IP地址的谜雾进行解惑！ 客户端无法获取有效IP地址 局域网中有一台保存有单位重要隐私信息的普通工作站，该工作站一直使用的是WindowsXP系统，为了有效保护重要隐私信息被非法窃取，网络管理员特意在该工作站中安装了最新版本的诺顿防病毒软件，并且通过网络定期对该防病毒软件进行在线升级，在诺顿防病毒软件的全力保护下，那台保存有单位重要隐私信息的普通工作站一直可以安全无忧地进行上网冲浪。 最近几天，由于单位买回来了正版的瑞星2008杀毒软件，网络管理员出于统一管理的需要，准备将新买回来的瑞星2008杀毒程序也安装到那台保存有单位重要隐私信息的普通工作站中。 为了避免同一台工作站系统中同时安装多个杀毒软件会引起冲突现象，网络管理员先以系统管理员身份登录进入那台保存有单位重要隐私信息的普通工作站，之后通过添加/卸载应用程序功能将之前安装在WindowsXP系统中的诺顿防病毒软件彻底删除掉，紧接着重新启动了那台工作站系统，再按照正确的方法将正版的瑞星2008杀毒软件安装了一遍，在安装过程中网络管理员发现在线注册操作无法进行，很明显这台安装了WindowsXP的客户端系统不能上网访问了。 网络管理员立即打开对应客户端系统的本地连接属性设置对话框，检查其中的TCP/IP 协议属性设置时，网络管理员发现本地客户端系统的IP地址竟然莫名其妙地变成了0.0.0.0，很显然这样的IP地址是无效的，这也是本地客户端系统不能上网访问的主要原因。对于这种故障现象，笔者感到奇怪异常，因为单位局域网中架设有DHCP服务器，其他普通客户端系统都能从这台DHCP服务器那里获得IP地址，为什么偏偏就是那台保存有单位重要隐私信息的普通客户端系统无法从这台DHCP服务器那里获取有效IP地址呢？ 寻找无法享受DHCP服务原因 对于网络知识比较熟悉的朋友可能都知道，IP为0.0.0.0的地址不能表示任何工作站的地址或任何网络地址；到Internet网络中进一步搜索0.0.0.0地址的相关说明信息时，我们会看到0.0.0.0地址为Windows系统对所有未知IP的地址描述，对于某个网络来说，0.0.0.0地址表示全零网络或默认网络，帮助路由器发送路由表中无法查询的包。如果设置了全零网络的路由，路由表中无法查询的包都将送到全零网络的路由中去。 而对于某台具体的工作站来说，IP地址为0.0.0.0时，那就意味着对应工作站系统的上网连接接口在此时此刻还没有处于打开状态，具体到这里的局域网工作环境中，那就是说这台故障工作站系统还没有从局域网的DHCP服务器那里申请获得有效的IP地址，如此一来故障工作站系统当然不能通过局域网网络完成瑞星2008杀毒软件的在线更新任务了。 由于故障工作站系统先前一直能够上网访问，这说明该工作站之前是能够正常从局域网DHCP服务器那里获得有效IP地址的，在确认其他用户没有随意更改这台工作站系统上网参数的情况下，这台故障工作站系统为什么会突然不能正常访问局域网DHCP服务器呢？ 后来，网络管理员又不放心，特地询问了专门使用这台故障工作站的用户在发生不能上网故障前后，是否对该故障工作站系统进行了网络参数设置操作，或者对这台故障工作站系统进行了其他一些操作；这位用户仔细回忆道，他并没有对这台故障工作站系统的任何上网

轻松限制不明客户端向DHCP服务器获取IP地址

轻松限制不明客户端向DHCP服务器获取IP地址 作为一个网络管理员，站在公司立场其实并不应该开放DHCP 给任何一台计算机自由连上公司网络, 但因为环境需要又不得不架设DHCP 给一些临时的测试机来使用, 所以只好设定在每台计算机名称至少要包含自己的名字足以提供网管辨认这样的制度。 但就是有人很不受教, 计算机名称老是取一些让我无法辨认的字符串, 或者在上班时间直接用手机连接公司网络，每当看到这种情况我就要大费周章的去找出这些计算机或不明设备是哪些同事的, 一而再再而三让我觉得很火, 这么低级的事情却占掉我不少时间来处理, 棍!! 这真的是很气人! 我脑海里就在想既然大家都不照游戏规则来走那我就只好做绝了：直接在DHCP Server 上挡掉这些机器, 不发IP 给你们看你们怎么连网!! 解决方法： 1，下载MacFilterCallout.zip解压并找到对应版本安装，分别有32位和64位版本，安装完在C:\Windows\System32 目录下会有一个MacFilterCallout.dll 的文件。

2，然后找到C:\Windows\System32\dhcp\MACList.txt 文件，打开并编辑内容，这个档案的第一行一定得是MAC_ACTION = {ALLOW} 或是AC_ACTION = {DENY}, 第二行开始就是MAC Address, 每行一个, 英文字请用小写字母；切记，一定要是连续的哦，把中间的分隔符去掉，不然不会成功的。

说明： 如果你的第一行是MAC_ACTION = {ALLOW} 那就代表你采用正面列表, 如: MAC_ACTION = {ALLOW} 109add613f10 000dea19bbca ...... 那就代表只有109add613f10 和000dea19bbca 这两台计算机可以自DHCP Server 取得IP 连网, 其他的任何计算机都无法自DHCP Server 取得IP. 如果你的第一行是MAC_ACTION = {DENY} 那就代表你采用负面列表,如:

DHCP设置不当引发网络连接失败

DHCP设置不当引发网络连接失败故障 2010-05-06 09:26:17| 分类：技术文档| 标签：|字号订阅 近日，朋友所在单位对局域网进行了拓展，同时增加了10多台终端，以便满足更多员工的上网访问要求。原以为这样的拓展工作很简单，可是谁曾想到，将新买回来的终端按照正确设置，接入局域网环境中后，竟然出现了奇怪的故障现象，一部分终端能够正常访问局域网中的资源，可是另外一部分终端无论怎么设置，都不能正常上网。后来经过反复测试实践，发现原来是DHCP设置不当，造成部分终端不能正常从DHCP服务器那里获得有效的上网参数。现在，本文就将这则奇怪网络故障的排查过程写出来，以供各位网友们参考和指正。 故障现象 朋友所在单位的局域网规模不是很大，大约有80台左右的普通计算机，这些计算机全部被设置成特定域成员；为了方便管理，在指定域控制器所在的服务器系统中，安装架设了DHCP服务器，所有计算机全部采用动态地址，从DHCP服务器那里动态获得上网参数。平时每一台普通计算机都能正常登录指定域，来访问局域网中的共享资源；可是最近朋友却遇到了一则奇怪的网络故障，那就是单位新买回来10台普通计算机，在安装好这些计算机的操作系统，并且设置好合适的上网参数后，朋友发现这些新的终端都不能成功登录进入局域网指定域，这是什么原因呢？ 故障追查 考虑到所有的新终端都不能正常登录局域网指定域，朋友下意识认为是连接新计算机的交换机出现了问题；于是，立即赶到连接新计算机的交换机现场，观察该交换机控制面板上的信号灯状态时，发现并没有什么异常，不过朋友担心这台交换机存在软件错误，为了排除这方面的因素，朋友特地重新启动了一下该交换机后台系统，结果发现新添加的10台计算机还是不能正常登录进入局域网指定域；后来，朋友索性用自己的笔记本电脑，来依次测试每一个交换端口的工作状态，发现连接新计算机的那台交换机工作状态完全正常。 既然连接新计算机的那台交换机不存在问题，那么还会有什么因素造成10台新添加的普通计算机都无法接入单位局域网呢？考虑到新计算机全部使用的是动态地址进行上网的，会不会是它们没有从局域网的DHCP服务器那里获得有效的上网地址，从而造成了它们不能正常登录进入局域网指定域控制器？想到这里，朋友决定测试一下新买回来的普通计算机有没有获得正确的上网地址；想到做到，朋友随意登录进入一台新终端，依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，执行字符串命令“cmd”，将系统切换到DOS命令行状态；在该状态的命令行提示符下，输入字符串命令“ipconfig /all”，单击回车键后，朋友惊讶地看到该终端使用的地址竟然是169.254.10.11，子网掩码地址也变成了255.255.0.0，这是怎么回事呢？由于169.254.10.11地址是Windows系统自动分配给客户端的上网地址，而不是局域网中的DHCP 服务器分配的地址，怪不得新终端不能正常登录进入局域网的指定域控制器，原来它获得的上网参数是不正确的，那为什么新的终端不能从DHCP服务器那里获得正确的上网地址呢，难道是新的终端不能访问到DHCP服务器？ 由于局域网中原先的终端都能通过DHCP服务器，正常获得上网地址，来登录进入局域网的指定域控制器，这说明DHCP服务器的工作状态是正常的，难道是普通计算机自身状态有问题，或者是网络连接不通？但转念一想，这些可能性都不大，毕竟所有的新终端都同时不能登录进入局域网的指定域控制器，并且这些计算机的操作系统几乎都是刚刚才安装配置好的，它们的工作状态绝对很正常才对呀。 找出祸首 想来想去，笔者决定采用手工方法，为这些新买的终端分配一个静态地址，看看它们能不能正常接入局域网中。说干就干，朋友立即在其中一台新终端中，依次单击“开始”/“设置”/“网络连接”命令，在弹出的网络连接列表窗口中，用鼠标右键单击本地连接图标，从弹出的快捷菜单中点选“属性”命令，打开目标本地连接的属性设置对话框；在该对话框的常规标签页面中，选中tcp/ip协议选项，同时单击“属性”按钮，进入tcp/ip

解决无法获取IP地址的故障

解决无法获取IP地址的故障 导语： 无线时代的到来，接入有线网络的无线设备越来越多。风靡网络的黑客行为更是让网络管理员风声鹤唳。网络设备的配置，只有根据网络使用者不断变化的情况，做相应的调整，才能保证网络的正常运行。本文介绍了一次有惊无险的单个Vlan无法获取IP 地址故障的处理过程。 网络现状： 三层交换机L3-SW开启DHCP服务，为各vlan提供IP地址分配服务。各接入交换机采用基于端口的vlan，通过Trunk口接入三层交换机L3-SW。拓扑结构如图 1 故障现象： 客户反映所在网络属于vlanX的客户端，近期经常出现无法通过DHCP服务获得IP地址的故障。虽然执行clear ip dhcp binding * 命令（客户使用的是思科设备）可以暂时缓解，但是过一段时间故障依旧。其他vlan的客户端可以正常获得IP地址。 故障分析： 由于仅仅是vlanX的客户端无法获得地址，基本排除DHCP服务的故障。排查重点放在出现问题的vlanX，可能有三种情况造成无法分配IP地址。 第一种情况：针对DHCP Server的拒绝服务攻击。 vlanX中某主机，对DHCP服务器实施DHCP耗竭攻击，使真实的用户获得不到地址。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过在vlanX启用DHCP 监听，交换机能够拦截第二层VLAN域内的所有非正常DHCP报文，从而杜绝DHCP 耗竭攻击。 第二种情况：IP 地址冲突太多。 DHCP服务器会将冲突的IP地址，从DHCP地址池移动到DHCP冲突地址表中，造成无IP地址可分配。如果是这种情况只要执行 clear ip dhcp conflict * 命令，就会将冲突的IP地址归还给地址池。