◆雷保全

（金鉬集團(tuán)信息化管理部 陜西 714000）

近年來企業(yè)網(wǎng)絡(luò)已不是簡單的計(jì)算機(jī)網(wǎng)絡(luò)，信息技術(shù)的快速發(fā)展，使原有的信息網(wǎng)絡(luò)逐步面向萬物互聯(lián)的方向發(fā)展，進(jìn)入萬物互聯(lián)大門的鑰匙就是IP地址，IP地址是所有萬物互聯(lián)的基礎(chǔ)，如果出現(xiàn)IP地址錯(cuò)亂，靜態(tài)IP地址沖突、DHCP欺騙等，最終就會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。IP地址的管理比較煩瑣，只有通過一體化IP解決方案才能保證網(wǎng)絡(luò)的正常穩(wěn)定有序的運(yùn)行，本文通過DHCP snooping、接口模式下地址池IP靜態(tài)綁定、MAC地址黑洞等技術(shù)手段方式進(jìn)行IP地址運(yùn)維管理。

1 IP地址分配面臨的挑戰(zhàn)

1.1 分配靜態(tài)綁定IP地址的挑戰(zhàn)

企業(yè)網(wǎng)中的IP地址通過信息技術(shù)部門來發(fā)放IP地址，防止基層隨便填寫IP地址導(dǎo)致IP沖突，一般通過MAC地址和IP地址進(jìn)行綁定，經(jīng)常遇到許多人計(jì)算機(jī)因?yàn)橄到y(tǒng)重新安裝、軟件修復(fù)網(wǎng)絡(luò)等情況導(dǎo)致IP地址丟失等問題，就重新向IP地址管理部門查詢或者申請(qǐng)，但是一般MAC地址是十六進(jìn)制的數(shù)字加字母，在語音通話中很難描述，且錄入時(shí)經(jīng)常出錯(cuò)，加之一般用戶對(duì)計(jì)算機(jī)IP、MAC是什么、在哪找都不知道，經(jīng)常只說網(wǎng)上不去，具體原因只有到現(xiàn)場(chǎng)才了解情況，因?yàn)榫W(wǎng)絡(luò) IP問題浪費(fèi)大量時(shí)間和人力，并且一般企業(yè)信息技術(shù)部門事情繁雜，人員精簡， IT運(yùn)維的響應(yīng)時(shí)間隨著客戶端數(shù)量逐年幾何數(shù)增長變得越來越慢。

1.2 DHCP網(wǎng)絡(luò)IP分配方式面臨的挑戰(zhàn)

企業(yè)中基層單位網(wǎng)絡(luò)管理能力薄弱，經(jīng)常出現(xiàn)路由器亂接、線路亂接亂掛等情況，導(dǎo)致網(wǎng)絡(luò)中存在大量的虛假DHCP服務(wù)，最終導(dǎo)致網(wǎng)絡(luò)癱瘓；隨著信息技術(shù)的發(fā)展，萬物互聯(lián)是以后的發(fā)展趨勢(shì)，有的設(shè)備在通信中充當(dāng)服務(wù)器角色，在網(wǎng)絡(luò)中就必須使用固定的IP地址，那么DHCP分配的網(wǎng)絡(luò)就必須分配固定的IP地址。

2 具體解決辦法

2.1 三層交換機(jī)建立DHCP服務(wù)

交換機(jī)的建立DHCP服務(wù)有兩種模式，一種為全局模式、一種為接口模式，如果要固定設(shè)備的 IP地址，那么只能采用接口模式。

2.1.1 命令行模式

#interface Vlanif17

#ip address 172.13.17.254 255.255.255.0

#dhcp select interface

#dhcp server static-bind ip-address 172.13.17.152 mac-address 0080-91b1-d9a5

#dhcp server lease day 365 hour 0 minute 0

#dhcp server dns-list 61.134.1.4 61.134.1.5

2.12 網(wǎng)頁模式進(jìn)行操作

IP地址固定時(shí)可通過交換機(jī)網(wǎng)頁模式進(jìn)行綁定，省去MAC地址查找及輸入，操作簡單，但三層交換機(jī)必須從命令行中啟用http服務(wù)，命令如下：

local-user admin service-type telnet http。

進(jìn)入網(wǎng)頁模式如圖1：點(diǎn)擊IP地址，點(diǎn)擊固化IP。

圖1 命令行中啟用http服務(wù)

2.2 二層交換機(jī)的配置

對(duì)二層交換機(jī)，dhcp服務(wù)配置如下：

不信任VLAN XX段配置

#dhcp enable

#dhcp snooping enable

#dhcp snooping enable vlan XX

信任接口配置如下

#interface GigabitEthernet0/0/25

#dhcp snooping trusted

3 后期運(yùn)維及排查

dhcp分配網(wǎng)絡(luò)整體運(yùn)行后，后期可能會(huì)遇到獲取到錯(cuò)的 IP地址，綜合判斷一般原因有兩種可能；

第一種：交換機(jī)配置策略丟失或者忘記配置。

第二種：交換機(jī)線路插錯(cuò)，普通線路接入交換機(jī)信任口。

以上兩種問題，緊急情況可利用MAC地址黑洞模式，在獲取錯(cuò)誤ip地址的計(jì)算機(jī)上利用arp -a命令，查看獲取ip地址的網(wǎng)關(guān)，對(duì)網(wǎng)關(guān)MAC地址進(jìn)行MAC地址黑洞進(jìn)行控制，隨后查看所屬網(wǎng)段交換機(jī)配置策略是否完整，如出現(xiàn)遺漏進(jìn)行補(bǔ)全策略；如無遺漏，查看信任口線路是否接錯(cuò)。

MAC地址黑洞策略配置如下：

# mac-address blackhole XXXX-XXXX-XXXX

4 結(jié)束語

DHCP網(wǎng)絡(luò)部署，是一個(gè)長期策略補(bǔ)全的過程，信任口接線排錯(cuò)的過程，網(wǎng)絡(luò)運(yùn)行半年后，就會(huì)越發(fā)完善，最終網(wǎng)絡(luò)問題就會(huì)越來越少，越來越穩(wěn)定，為后續(xù)的萬物互聯(lián)打好基礎(chǔ)，保證網(wǎng)絡(luò)的互聯(lián)互通。