家用路由器自帶DHCP帶來的辦公網絡故障分析與探討

任 澎 高占江

（青島科技大學 山東 261500）

0 引言

網絡的普及，無疑給網絡管理帶來了很大困難，動態主機配置協議（Dynamic Host Con-figuration Protoco1,DHCP）服務已成為各企事業單位簡化網絡管理的有效手段。同時，隨著移動終端的大量增加，在一些無線網絡不完善的地方，因家用路由器（SOHO路由器）自帶的無線功能，使其受到眾多普通用戶的青睞，私自使用家用路由器成為了較為普遍的現象，而家用路由器帶有的DHCP服務功能有時會對網絡中動態分配IP地址造成很大干擾，勢必影響網絡運行的穩定性。

1 典型網絡結構與問題分析

不同單位的網絡結構雖然存在差異，但一般與以下結構近似。

圖1 使用家用路由器的典型辦公網絡結構

說明：

（1）單位內由S0作為DHCP服務器統一分配管理IP地址；

（2）很多單位所采用的接入交換機為非網管交換機，即S2、S3均為非網管交換機；

（3）家用路由器默認是開啟DHCP服務的。

直接與接入交換機相連的終端（如 PC_C）以廣播方式發送DHCP DISCOVER消息，在網絡中接收到該消息的 DHCP服務器都會做出響應，向DHCP客戶機發送一個包含出租的IP地址和其他設置的 DHCP offer提供信息。主機 PC_C發出的DHCP DISCOVER消息，三層交換機S0與家用路由器均會收到，而二者又都開啟了DHCP服務，均會向PC_C提供一個IP地址，因此，PC_C獲取到的IP地址很有可能來自家用路由器。

2 故障防范與解決

針對這種私自使用帶有DHCP服務功能的家用路由器引起的網絡故障，現有的防范與解決措施主要有以下幾種：

2.1 客戶端嘗試法

通過反復發送DHCP 請求廣播報文的方法，直到用戶主機能夠從合法的 DHCP 服務器那里得到有效的上網參數為止。當然，也可以先給用戶計算機設一個固定的IP及網關、子網掩碼、DNS，也可確保暫時上網。

2.2 更改啟用了非法DHCP服務的路由器設置

找到帶有DHCP服務功能的家用無線路由器后，最簡單的方法是直接將其換為交換機，但該方法喪失了無線接入的功能。更理想的方法是將該無線路由器通過設置當成無線交換機來使用，具體更改步驟如下：

（1）將進入該辦公室的線連接在無線路由器的LAN口；

（2）更改無線路由器管理IP（即LAN口IP），使之與合法DHCP服務器所分IP處于同一網段；

（3）關閉該無線路由器的DHCP功能。

2.3 封殺端口法

對于具有防火墻功能的家用路由器來說，由于DHCP服務器端應答數據包使用68端口，客戶機發送請求時使用67端口，因此，我們可以在該路由器上封閉除了合法DHCP服務器之外的所有68端口，就能達到過濾非法DHCP服務器的目的。但家用路由器不一定具有防火墻功能，因此此方法的應用受到很大限制。

封殺端口法更適合于接入交換機為可配交換機時，在接入交換機上設置訪問控制列表來實現對非法DHCP服務的過濾。

除了以上三種方法之外，還有其他一些方法可以實現解決非法DHCP引起的網絡故障，但都不適用于本文所述場合。如，“域保護法” 是將合法的DHCP服務器添加到活動目錄中，通過認證的方式可以有效的制止非法DHCP服務器，但這種方法需要域的支持，一般辦公環境下并沒有與服務器，不太適合實際情況；“DHCP- Snooping法”是通過建立和維護 DHCP Snooping綁定表，過濾不可信任的DHCP 信息，此方法也需要接入交換機是可配交換機，在可配交換機上進行相應設置。

3 更優化的解決思路設想

上述幾種方法中，最簡單、快速解決上網問題的是給客戶機設置靜態IP地址，但此舉又有可能引發IP地址沖突等問題，更長遠的做法是將無線路由器通過設置當成無線交換機來使用。

但不管哪種方法，都需要用戶對網絡知識有一定了解。然而，現實生活中能夠發現網絡故障原因所在，并能夠對客戶機或家用路由器進行設置的用戶少之又少；并且，家用路由器迅速發展，很大原因就是使用便捷，最好是能夠連接、供電便能使用。那么，有沒有方法讓家用路由器連接、供電便能使用，還不會出現文中所述故障呢？

事實上，解決思路很簡單，只需要在家用路由器WAN端口上禁止DHCP Offer信息的發出即可。這樣，既不影響連接在該家用路由器上的下級終端從LAN口自動獲取IP地址，也杜絕了其向外部終端（如，本文結構中的PC_C）提供非法IP地址的可能性。

4 結束語

網絡的正常運行，一方面需要網絡管理人員本身技術的提高，另一方面也需要網絡設備、工具的設計更合理。隨著網絡地迅速普及，很多網絡設備的使用者都是無網絡專業知識的普通用戶，這就需要生產廠商不斷從用戶使用體驗入手優化產品的功能，保證家庭用和普通辦公用網絡設備的使用更便捷、網絡更穩定。

[1]魏辰.園區網防范非法DHCP服務策略[J].網絡與信息.2011.

[2]劉小華.DHC P在校網應用中的安全問題及對策研究[J].計算機安全.2013.

[3]段煜暉.非法 DHCP服務器攻擊解決方案[J].計算機與網絡.2012.

[4]徐堅.探討DHCP環境下防范非法DHCP服務器的措施[J].電腦知識與技術.2011.