■ 北京 趙振濤

編者按：筆者單位出現(xiàn)因交換機(jī)DHCP服務(wù)中IP地址綁定超過(guò)限值的情況，導(dǎo)致單位很多員工IP地址沖突等問(wèn)題，本文將討論交換機(jī)的DHCP服務(wù)的上限值問(wèn)題。

圖1 查看租期內(nèi)的綁定信息

筆者所在單位網(wǎng)絡(luò)環(huán)境用戶數(shù)不足千人，在IP地址使用管理上，少量的有線用戶采用固定IP形式，無(wú)線用戶部分采用DHCP自動(dòng)分配IP地址，使用無(wú)線核心交換機(jī)（邁普S8900）做DHCP服務(wù)，二次認(rèn)證采用城市熱點(diǎn)認(rèn)證計(jì)費(fèi)系統(tǒng)，以Portal方式進(jìn)行認(rèn)證，由于未采用無(wú)感知認(rèn)證技術(shù)，認(rèn)證以設(shè)備的IP地址作為認(rèn)證對(duì)象。

無(wú)線項(xiàng)目實(shí)施過(guò)程中發(fā)現(xiàn)一個(gè)問(wèn)題，一些品牌手機(jī)用戶在行進(jìn)中，經(jīng)過(guò)2個(gè)AP切換時(shí)，會(huì)重新申請(qǐng)獲得新的IP地址，這樣就導(dǎo)致上網(wǎng)時(shí)因IP地址的改變進(jìn)行再次認(rèn)證，實(shí)施方對(duì)這種情況也沒(méi)有較好的解決方案。

為減少移動(dòng)用戶的頻繁認(rèn)證，采取了一個(gè)臨時(shí)的方案，在DHCP為設(shè)備分配IP地址后自動(dòng)進(jìn)行IP地址和MAC地址的綁定，但需要定期處理。

網(wǎng)絡(luò)在運(yùn)行一段時(shí)間之后，某日上午，某使用部門反映說(shuō)不少用戶所使用的設(shè)備不能正常的獲取到IP地址，通過(guò)提示分析懷疑與DHCP服務(wù)有關(guān)系，登錄到核心交換機(jī)查看交換機(jī)當(dāng)前的運(yùn)行配置：

wuxianhexin#sh run

（忽略與DHCP無(wú)關(guān)部分）

ip dhcp pool yewu

network 10.13.128.0 255.255.128.0

default-router 10.13.128.1

dns-server 221.130.33.52 211.99.129.210

lease 15 0 0

bind automatic

bind 10.13.128.18 708a.0968.f7ef

bind10.13.128.61 64cc. 2e0e.fe72

bind 10.13.128.73a4ca.a09d.36e3

bind 10.13.128.27 acc1.eeca.b8f6

……

DHCP服務(wù)配置信息正確，地址池總IP地址數(shù)為32766，對(duì)于不足千人的小單位使用上綽綽有余，租期為15天，分配即自動(dòng)綁定IP和MAC地址。但發(fā)現(xiàn)自動(dòng)綁定的數(shù)量非常大不便于統(tǒng)計(jì)，于是通過(guò)統(tǒng)計(jì)命令進(jìn)行查看：

wuxianhexin#sh ip dhcp pool-binding

Bindings: 4096

查看租期內(nèi)的綁定信息，如圖1所示。

通過(guò)查詢發(fā)現(xiàn)當(dāng)前已分配681個(gè)IP地址，而系統(tǒng)自動(dòng)綁定數(shù)為4096個(gè)，出于對(duì)4096這個(gè)數(shù)值的敏感，懷疑會(huì)不會(huì)是自動(dòng)綁定數(shù)據(jù)達(dá)到上限而不能正常分配了，查詢?cè)O(shè)備的命令手冊(cè)和咨詢廠家客服也沒(méi)有關(guān)于這一數(shù)據(jù)范圍的說(shuō)明，于是將當(dāng)前配置導(dǎo)出，所有綁定的信息導(dǎo)入到EXCEL文件中，與認(rèn)證系統(tǒng)中的在線用戶和歷史上網(wǎng)用戶IP地址信息進(jìn)行比較，篩選出那些只連接了無(wú)線AP卻沒(méi)有使用網(wǎng)絡(luò)的IP地址綁定信息。通過(guò)刪除綁定命令進(jìn)行刪除：

wuxianhexin# configure terminal

wuxianhexin(config)#ip dhcp pool yewu

no bind X.X.X.X

需要注意的是用以上命令是不能解除租期內(nèi)的IP地址綁定信息，對(duì)這部分設(shè)備需要使用以下命令進(jìn)行解除綁定：

wuxianhexin#clear ip dhcp binding X.X.X.X

通過(guò)刪除部分IP地址綁定信息后再聯(lián)系該部門，回復(fù)可以上網(wǎng)了，但不能確定一定是這個(gè)原因?qū)е铝瞬荒苌暇W(wǎng)。

圖2 批處理內(nèi)容

后經(jīng)邁普設(shè)備廠家研發(fā)人員確認(rèn)，自動(dòng)綁定的數(shù)目限制就是4K，S8900型號(hào)交換機(jī)不適合提供大容量的DHCP服務(wù)。出于綜合的考慮，建議實(shí)際使用中綁定終端數(shù)不要超過(guò)2K。當(dāng)超過(guò)綁定的4K限值后，正常情況下地址池中仍有未分配的地址，DHCP仍可以繼續(xù)分配IP地址。經(jīng)認(rèn)證系統(tǒng)查詢發(fā)現(xiàn)當(dāng)綁定值超過(guò)4K，一些手機(jī)又開(kāi)始了不斷更換IP地址，頻繁認(rèn)證，只不過(guò)是用戶沒(méi)有反映這種情況。

為及時(shí)了解IP地址綁定信息，筆者結(jié)合腳本語(yǔ)言制作了批處理程序，加入啟動(dòng)程序組，每天開(kāi)機(jī)自動(dòng)檢查綁定信息，批處理內(nèi)容如圖2所示。

如何避免DHCP服務(wù)中IP地址綁定超過(guò)限值的情況，最理想的方案是采用無(wú)感知認(rèn)證，對(duì)于未采用無(wú)感知技術(shù)，又想減少頻繁認(rèn)證，就只有加強(qiáng)DHCP維護(hù)，比如可以延長(zhǎng)租期，定期統(tǒng)計(jì)綁定數(shù)量，當(dāng)數(shù)據(jù)接近建議值時(shí)，將綁定的IP地址信息與當(dāng)前分配（租期內(nèi)）IP地址進(jìn)行比較，刪除那些不在租期內(nèi)的IP地址。

總而言之，交換機(jī)畢竟不是提供DHCP服務(wù)的專用設(shè)備，IP地址綁定服務(wù)容量有限，適用于網(wǎng)絡(luò)人數(shù)較少的情況，使用時(shí)一定要了解其上限值，根據(jù)使用情況定期的檢查和維護(hù)。