电脑网络已连接却时不时上不了网

接到客户报修，说电脑上不了网了，近期网络老是有时好有时坏。

在一个错综复杂的网络环境里，经常会遇到电脑本身好好的，用着用着就上不了互联网了，或是昨天关机前都是正常的，今天打开就不行了。这种现场多出现在具有多个办公场所，如多个办公室的网络端口都联到同一个局域网络环境中。这个局域网络或是公司内部网络，又或是校园局域网络。

遇到这样的问题，我相信大多数网络维护人员可能会给出以下检修建议：

1、是不是电脑中病毒了，杀杀毒；

2、网线换过试了吗？墙上的网口是不是坏了；

3、电脑系统出问题了吧，要不重装个系统看看；

4、......

一般出现这种上不了网的问题，客户基本是各种能试的方法都试了个遍，除了自己不会的，比如装个系统，调试交换机，实在没办法了，才报修。

经过排查发现电脑在上不了网的时候，自动获取的IP地址信息是不对的。

到这你是不是发现快速的解决方法啦，我猜你也会动这个念头---直接配置固定IP地址信息。

作为一个合格的网络维修员，或说作为一个负责任的人，应该是找到故障源，把问题真正解决了。

经过一番排查，发现故障源是一个家用型的路由器。想了解如何排查，快速找到故障源的，在评论区留言。当家用型路由器开启了DHCP功能，且将LAN口接入到局域网络时，就会出现上述的问题。

问题原因找到了，怎么解决呢？

可以把这个家用型路由器的WAN口接入局域网络，WAN口配置自动获取IP地址，LAN口连接电脑即可解决问题。

但是这种解决方法不能一劳永逸，如果在网络中别的地方再出现类似家用路由器呢，还是会问题重现。

彻底的解决方法是屏蔽掉所有在网络中可能出现的此类现象。

下图是简易的网络环境中网络拓扑示意图：

小型局域网中DHCP服务架构

终端电脑都连到接入交换机上，汇聚交换机提供网关和DHCP服务。正常情况下，电脑都从网关那获取IP地址信息。如果有一天，在这个网络中多了一个提供DHCP服务的设备，那么此设备也会为网络中的某些终端分配IP地址信息。如下图：

网络中私接的路由器提供DHCP服务

在网络中的某个场所加入了一台家用型路由器，或是加入了某台交换机且提供了DHCP，如下图：

接入网络中新增未知DHCP服务

只要加入的设备提供了DHCP服务，不管它是台电脑服务器，还是交换机、路由器，都会对网络中的终端产生一定的影响。即使它给终端分配的是正确且可以联网的地址，也影响现有的网络环境，比如包括但不限于IP地址冲突、网络安全等。

我们把此类非授权（未经网络管理员允许）的DHCP服务器称作伪DHCP，在实际生产环境中是要杜绝的。

针对此类非授权的DHCP服务器可以使用dhcp snooping工具屏蔽掉。

Dhcp Snooping的功能是放行或阻止DHCP服务器向DHCP客户端发出的相关报文，对于已授权的DHCP服务器采用信任放行动作，对于非授权的DHCP服务器采取非信任阻止动作。对于DHCP服务的工作原理，不明白的可以在评论区留言或查阅其他资料，这里不作阐述。

下面来看看如何实施dhcp snooping，以上图的伪DHCP应用为例，在接入交换机上实施以下配置步骤：

1、在全局使能dhcp，如dhcp enable，service dhcp

2、在全局使能dhcp snooping，如dhcp snooping enable，ip dhcp snooping

3、在全局为受保护的vlan使能dhcp snooping，不同品牌交换机有所不同，如华为、华三交换机需要此配置，锐捷、思科交换机不需要此配置。如dhcp snooping enable vlan 40

4、将上行端口配置为信任端口，如dhcp snooping trusted，ip dhcp snooping trust

一般是将与授权 DHCP 服务器直接或间接连接的端口设置为信任端口。如此，没有配置为信任的端口就不能转发DHCP服务报文，比如接入交换机的g0/0/2端口。

至此，网络中的授权DHCP 服务器将受到保护，保障网络稳定和安全。

有人说，要是伪DHCP服务器没有连到接入交换机，而是接到了汇聚交换机上呢？如下图：

汇聚网络中新增未知DHCP服务

正常情况下，汇聚设备是不允许直接连终端的，假如存在的话，那也好办，在汇聚交换机上执行上述的前三步配置即可，不需要配置信任端口。

最后还有一个问题，老铁们思考一下，如果授权的DHCP服务器不是由此汇聚交换机担任，而是由上游路由器或接在三层的电脑服务器担任，Dhcp Snooping配置是否有变化。

以上内容适合初级网管人员和网络爱好者参阅，欢迎拍砖指正。