100+电脑的宾馆,用的是TP-LINK的傻瓜路由器,接了4个交换机,客房电脑是固定IP,IP段是101-220,路由里绑定IP和MAC!网关是192.168.1.1,自己路由DHCP设置的IP段是50-100,今天客房IP地址段101-199都上不了网,PING通网关,PING我们DNS不通,然后IP访问路由器地址:192.168.1.1出现一个水星的路由登陆界面,常用的路由器账号和路由器密码登陆不上去,应该是修改了密码。怎么解决啊!
全体改IP段?不用192.168.1.1作为网关这样可以保证宾馆的计算机上网,但是好多都是自己拿笔记本自动获取IP的形式,如果网内还有其他DHCP自动获取不到我们的IP,获取到其他的IP那么还得我们去手动设置。白天网管上班可以这样,晚上没网管,别人也不会的情况下,自带笔记本的客人就有可能上不去网,如何才能有效的解决局域网内多个DHCP服务器,让自带的笔记本优先获取到我们宾馆的IP段啊。
解决方案:
1、消极防范:
既然广播包会发向网络中的所有设备,合法还是非授权服务器先应答是没有任何规律的,那么我们可以通过多次尝试广播包的发送来临时解决这个问题,直到客户机可以得到真实的地址为止。
先敲入如下命令:
ipconfig /release (该命令释放非授权网络数据)
然后敲入如下命令:
ipconfig /renew (尝试获得网络参数)
如果还是获得错误信息则再次尝试上面两条命令,直到得到正确信息。不过这种方法治标不治本,反复尝试的次数没有保证,一般都需要十几次甚至是几十次,另外当DHCP租约到期后员工机需要再次寻找DHCP服务器获得信息,故障仍然会出现。
2、官方提供的办法
一般我们使用的操作系统都是Windows,微软为我们提供了一个官方解决办法。在windows系统组建的网络中,如果非授权DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非授权DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非授权DHCP服务器了。
原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCP INFORM查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非授权的就不起任何作用了。
授权合法DHCP的过程如下:
第一步:开始->程序->管理工具->DHCP
第二步:选择DHCP root, 用鼠标右键单击,然后浏览选择需要认证的服务器。
第三步:点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。
这种方法效果虽然不错,但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用,基本上使用工作组就足以应对日常的工作了。所以这个方法是微软推荐的,效果也不错,但不太适合实际情况。另外该方法只适用于非授权DHCP服务器是windows系统,对非Windows的操作系统甚至是NT4这样的系统都会有一定的问题。
3、路由交换设备上封杀
有的路由交换设备自身功能比较强,例如具有extreme功能,他可以自动抑制非授权dhcp的数据包。如果没有extreme功能我们如何提前预防非授权DHCP服务器的接入呢?
首先需要对DHCP数据包使用的端口有所了解,DHCP服务主要使用的是UDP的67和68端口,服务器端应答数据包使用68端口,67端口为客户机发送请求时使用。所以我们可以在路由器和交换机上通过访问控制列表来屏蔽除合法DHCP服务器以外的所有DHCP应答包,也就是说将68端口封闭。