■ 北京 趙振濤

編者按：筆者單位出現(xiàn)因交換機(jī)DHCP服務(wù)中IP地址綁定超過限值的情況，導(dǎo)致單位很多員工IP地址沖突等問題，本文將討論交換機(jī)的DHCP服務(wù)的上限值問題。

圖1 查看租期內(nèi)的綁定信息

筆者所在單位網(wǎng)絡(luò)環(huán)境用戶數(shù)不足千人，在IP地址使用管理上，少量的有線用戶采用固定IP形式，無線用戶部分采用DHCP自動分配IP地址，使用無線核心交換機(jī)（邁普S8900）做DHCP服務(wù)，二次認(rèn)證采用城市熱點認(rèn)證計費系統(tǒng)，以Portal方式進(jìn)行認(rèn)證，由于未采用無感知認(rèn)證技術(shù)，認(rèn)證以設(shè)備的IP地址作為認(rèn)證對象。

無線項目實施過程中發(fā)現(xiàn)一個問題，一些品牌手機(jī)用戶在行進(jìn)中，經(jīng)過2個AP切換時，會重新申請獲得新的IP地址，這樣就導(dǎo)致上網(wǎng)時因IP地址的改變進(jìn)行再次認(rèn)證，實施方對這種情況也沒有較好的解決方案。

為減少移動用戶的頻繁認(rèn)證，采取了一個臨時的方案，在DHCP為設(shè)備分配IP地址后自動進(jìn)行IP地址和MAC地址的綁定，但需要定期處理。

網(wǎng)絡(luò)在運行一段時間之后，某日上午，某使用部門反映說不少用戶所使用的設(shè)備不能正常的獲取到IP地址，通過提示分析懷疑與DHCP服務(wù)有關(guān)系，登錄到核心交換機(jī)查看交換機(jī)當(dāng)前的運行配置：

wuxianhexin#sh run

（忽略與DHCP無關(guān)部分）

ip dhcp pool yewu

network 10.13.128.0 255.255.128.0

default-router 10.13.128.1

dns-server 221.130.33.52 211.99.129.210

lease 15 0 0

bind automatic

bind 10.13.128.18 708a.0968.f7ef

bind10.13.128.61 64cc. 2e0e.fe72

bind 10.13.128.73a4ca.a09d.36e3

bind 10.13.128.27 acc1.eeca.b8f6

……

DHCP服務(wù)配置信息正確，地址池總IP地址數(shù)為32766，對于不足千人的小單位使用上綽綽有余，租期為15天，分配即自動綁定IP和MAC地址。但發(fā)現(xiàn)自動綁定的數(shù)量非常大不便于統(tǒng)計，于是通過統(tǒng)計命令進(jìn)行查看：

wuxianhexin#sh ip dhcp pool-binding

Bindings: 4096

查看租期內(nèi)的綁定信息，如圖1所示。

通過查詢發(fā)現(xiàn)當(dāng)前已分配681個IP地址，而系統(tǒng)自動綁定數(shù)為4096個，出于對4096這個數(shù)值的敏感，懷疑會不會是自動綁定數(shù)據(jù)達(dá)到上限而不能正常分配了，查詢設(shè)備的命令手冊和咨詢廠家客服也沒有關(guān)于這一數(shù)據(jù)范圍的說明，于是將當(dāng)前配置導(dǎo)出，所有綁定的信息導(dǎo)入到EXCEL文件中，與認(rèn)證系統(tǒng)中的在線用戶和歷史上網(wǎng)用戶IP地址信息進(jìn)行比較，篩選出那些只連接了無線AP卻沒有使用網(wǎng)絡(luò)的IP地址綁定信息。通過刪除綁定命令進(jìn)行刪除：

wuxianhexin# configure terminal

wuxianhexin(config)#ip dhcp pool yewu

no bind X.X.X.X

需要注意的是用以上命令是不能解除租期內(nèi)的IP地址綁定信息，對這部分設(shè)備需要使用以下命令進(jìn)行解除綁定：

wuxianhexin#clear ip dhcp binding X.X.X.X

通過刪除部分IP地址綁定信息后再聯(lián)系該部門，回復(fù)可以上網(wǎng)了，但不能確定一定是這個原因?qū)е铝瞬荒苌暇W(wǎng)。

圖2 批處理內(nèi)容

后經(jīng)邁普設(shè)備廠家研發(fā)人員確認(rèn)，自動綁定的數(shù)目限制就是4K，S8900型號交換機(jī)不適合提供大容量的DHCP服務(wù)。出于綜合的考慮，建議實際使用中綁定終端數(shù)不要超過2K。當(dāng)超過綁定的4K限值后，正常情況下地址池中仍有未分配的地址，DHCP仍可以繼續(xù)分配IP地址。經(jīng)認(rèn)證系統(tǒng)查詢發(fā)現(xiàn)當(dāng)綁定值超過4K，一些手機(jī)又開始了不斷更換IP地址，頻繁認(rèn)證，只不過是用戶沒有反映這種情況。

為及時了解IP地址綁定信息，筆者結(jié)合腳本語言制作了批處理程序，加入啟動程序組，每天開機(jī)自動檢查綁定信息，批處理內(nèi)容如圖2所示。

如何避免DHCP服務(wù)中IP地址綁定超過限值的情況，最理想的方案是采用無感知認(rèn)證，對于未采用無感知技術(shù)，又想減少頻繁認(rèn)證，就只有加強(qiáng)DHCP維護(hù)，比如可以延長租期，定期統(tǒng)計綁定數(shù)量，當(dāng)數(shù)據(jù)接近建議值時，將綁定的IP地址信息與當(dāng)前分配（租期內(nèi)）IP地址進(jìn)行比較，刪除那些不在租期內(nèi)的IP地址。

總而言之，交換機(jī)畢竟不是提供DHCP服務(wù)的專用設(shè)備，IP地址綁定服務(wù)容量有限，適用于網(wǎng)絡(luò)人數(shù)較少的情況，使用時一定要了解其上限值，根據(jù)使用情況定期的檢查和維護(hù)。