【企业组网】背景：拜托各位大虾一件事。最近我单位的局域网出现ip地址冲突，之后变无法上网，路由器是华为R2621，核心交换机是S3526，在win2000/xp下使用命令ipconfig /renew 出现An error occurred whilere newing interface unable to contact you dhcp server request has time out  的情况，或 98下用WINIPCFG命令，更新出现DHCP 无法更新的错误或长时间无响应。各位大虾能告诉我是什么情况，和解决方案吗？（该论坛话题网址）

    【IT168网友解答】简要分析：ipconfig 命令用在服务器版操作系统下，用这个ipconfig /renew（更新）是为全部适配器重新分配IP地址，而之前应先用ipconfig /release（释放）命令释放DHCP分配的IP。从这行出错的英文信息，显然主机没法与DHCP服务器通信。出现上述问题，小酷初步的分析有两种可能：

1． 局域网内是否还有其他的DHCP服务器，由于多个DHCP Server存在而产生的IP地址冲突，如果有，应关掉它。

2．由于DHCP服务器是向客户机提供网络访问的关键资源，它们可能成为DoS攻击的主要目标。如果一台DHCP服务器遭受攻击并且不能再处理DHCP请求，DHCP客户机将无法获得租约，这些客户机将丢失它们现有的IP租约并且将无法访问网络资源。

    DoS攻击不仅会耗尽可用的IP地址池，还可能导致恶意用户在其管理的计算机网络适配器上配置所有的DHCP IP地址，致使DHCP服务器在其提供的地址范围检测到IP地址冲突，因此而拒绝继续分配DHCP租约。这是来自微软网站披露的一种新的DoS攻击方法。

    DHCP的优点是客户端网络配置简单，没有管理员干预。但是，因为IP地址是动态分配的，网管员无法对IP进行管理，无法有效控制客户端。使用DHCP虽然能得到一时的方便，但是网管可能会有无尽的烦恼在后头，而认为使用了DHCP就能解决IP冲突是非常错误的。针对DHCP服务的DoS攻击常有发生，使客户机陷入无休止的等待。作为网管应对企业局域网的IP作出规划，有效控制网络。

    采用静态IP地址分配，网管就可以对各部门进行合理的IP地址规划。我们如果进一步建立起IP地址和MAC地址的信息档案，就可以始终对局域网用户执行严格管理。如：把每个用户的IP地址、MAC地址、上联交换机的端口、物理位置和用户身份等信息记录下来，当发现IP冲突时就可以按数据库进行追寻。

    我们从网友提到的网络设备可以看出，该企业对网络的投入比较到位。有路由器，三层交换机，还应有二层快速以态网交换机。所以说网友的网络硬件基础非常好，应做出完善的网络规划。如：静态分配IP，VLAN划分，三层交换。本文将将以华为产品为方案，围绕IP规划、三层交换、VLAN展开。

产品：

•Quidway R2620系列模块化路由器

    Quidway R2621（见图1）是华为3Com公司面向企业级网络的接入产品，，支持广泛的互连协议、网络协议、应用协议、网络安全、语音、服务质量。支持哑终端，支持SNA/DLSw、VoIP特性等，提供备份方案及QoS特性；硬件模块化结构，集成的快速以太网接口和同步串口，丰富的可选模块，既适合于在中小型企业网中担当核心路由器，也可以在大企业分支机构中担当接入路由器。

    R2621的硬件配置如下：
处理器：MPC8240  200MHz
闪存：8MB
内存：32MB
固定接口：1个配置口；1个AUX口；2个10/100M以太网口；2个同步串口
插槽：2（最多可配2个模块。包括：LAN接口模块；WAN接口模块；语音模块；POS接入模块；数据加密模块）

#$[*189148.jpg*#图一（点击看大图）*#0*#0*#center*]$#

华为 Quidway R2621

 •Quidway S3526快速智能三层交换机

    Quidway S3526E（见图2）三层交换机有12.8Gbps的总线带宽，包转发能力为6.55Mpps，能在所有端口提供三层线速交换能力，最大提供32个子网路由接口，能处理四到七层的业务流，所有端口都具有单独的数据包过滤。支持802.1x和Web Portal认证，可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。 

    该产品支持多种ACL访问控制策略，保证网络的受控访问，支持基于二、三、四层和端口信息的复杂流分类；根据服务质量设置传输优先级标记，满足视频、语音等重要应用的需求。支持带宽控制功能，确保关键业务流在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。Quidway S3526提供了完善的路由协议、VLAN控制、流量交换、QoS保证的机制，可作为局域网的汇聚三层交换机。

    S3526E的端口配置如下：
    24个10/100BASE-T 端口；2个后扩展模块插槽：支持5种类型GE扩展模块、1种堆叠模块、2种百兆光口模块；前面板1个console口。

#$[*189228.jpg*#图2（点击看大图）*#0*#0*#center*]$#

华为 Quidway S3526E

 •Quidway S2026边缘接入交换机

    S2026（见图3）是高性能、易安装、可网管的交换机。使用专用的ASIC芯片，实现L2层的线速交换，提供丰富管理手段，为企业网络提供桌面或工作组级的交换服务。交换容量12.8G，所有端口均可达线速；4K MAC地址；支持802.1Q VLAN；支持基于端口和MAC地址的802.1x认证，支持二层组播，可控组播；支持MAC+PORT的捆绑，支持防止双网卡代理上网，有效地防止非法用户的产生；支持MAC地址表锁定及静态设置，实现对MAC的控制过滤。

    S2026的端口配置如下：
    24个10M/100M自适应以太网固定接口；1个10M/100M自适应以太网固定上行接口；1个扩展接口 ；1个控制口。

#$[*189251.jpg*#图3（点击看大图）*#0*#0*#center*]$#

华为 LS-2026

方案示例：

    VLAN技术允许将一个网络的物理的LAN逻辑划分成不同的广播域。一个VLAN内部的广播和单播流量被限制在本VLAN之内，不会转发到其他VLAN中，这有助于控制流量、简化网络管理、提高网络的安全性。

    VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访。虚拟局域网的好处是可以限制广播范围，是一种比较成熟企业组网规范，在本案例中我们可以利用它划小网络特点，我们可以进一步监控网络，就算IP冲突产生，也轻易知道它发生在哪个部门（若VLAN划分以部门为依据）。

    VLAN的划分应与IP规划结合起来，使得一个VLAN 接口IP就是一个子网关。并且VLAN应以部门划分，相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围，同属于一个VLAN。这样不仅在安全上有益，而且更方便网络管理员的管理和监控。

    图4是本案的网络拓朴图：（见图4）

#$[*189268.jpg*#图4（点击看大图）*#0*#0*#center*]$#

    企业局域网的IP规划应有规律、易记忆，并能反映自己内部网的特点。本案我们采用惯用的C类保留私有IP地址段（192.168.*.*/24）来进行IP规划，并关联VLAN号。下表为汇聚层三层交换机S3526上的VLAN划分。

    配置华为S3526交换机。将24口划分为3个vlan，并给每个vlan配一个ip地址，三个vlan ip不在同一网段（如上表）。配了vlan，然后进vlan的接口模式: int vlan X，然后设地址：ip add 地址，把各个vlan中的pc机的网关设为这个地址（vlan 接口地址），vlan间的pc机就可以互访了。华为的三层交换机默认不同VLAN互通，这三个vlan可以直接通信。

    3526配置参考命令行：

1.配置VLAN：

<Quidway_3526>system     ——进入系统视图，只有在这里才能配置，相当于cisco的特权模式
[Quidway]vlan enable
[Quidway_3526]vlan 2      ——增加一个vlan 2
[Quidway_3526-vlan2]port e0/2 to e0/8
[Quidway_3526-vlan2]int vlan 2      －－进入配置虚拟端口vlan2模式
[Quidway_3526-vlan-interface2]ip addess 192.168.2.1 255.255.255.0 －－配置vlan2 的ip
[Quidway-vlan-interface2]vlan 3   －－增加一个vlan3
[Quidway_3526-vlan3]port e0/9 to e0/16
[Quidway_3526-vlan3]int vlan 3   －－进入配置虚拟端口vlan3模式
[Quidway_3526-vlan-interface3]ip add 192.168.3.1 255.255.255.0   －－配置vlan3的ip
[Quidway_3526-vlan-interface3]vlan 4
[Quidway_3526-vlan4]port e0/17 to 0/24
[Quidway_3526-vlan4]int vlan4
[Quidway_3526-vlan4-interface4]ip add 192.168.4.1 255.255.255.0
[Quidway_3526-vlan4-interface4]quit

2．配置外出接口

[Quidway_3526]int e0/1   －－配置以太网端口0/1假设该端口连接连接出口设备（路由器）
[Quidway_3526-Ethernet0/1]ip address 192.168.1.2 255.255.0.0  －－为该端口配置ip，该ip与你出口设备的ip（192.168.0.1）在同一个网段
[Quidway_3526-Ethernet0/1]quit  －－退出端口配置模式
[Quidway_3526]ip route 0.0.0.0 0.0.0.0 192.168.1.1 －－配置默认路由
[Quidway_3526]save  －－保存

    2026配置参考命令行：

    下面以网络中某部门的二层交换机S2026为例说明二层交换的VLAN配置。此部门所有的计算机配置在一个VLAN 内。

(1) 配置VLAN。
[Quidway_2026] vlan 2
[Quidway_2026-vlan2] port ethernet 0/1 to Ethernet 0/24
[Quidway_2026-vlan2] quit
(2）配置IP接口IP地址。
[Quidway_2026] vlan 2
[Quidway_2026] interface vlan 2
[Quidway_2026-Vlan-interface2] ip address 192.168.2.2 255.255.255.0
[Quidway_2026-Vlan-interface2]quit
[Quidway_2026]save  

小结：

    作为一个企业的局域网，做IP规划应是最基本的管理手段，不能省。并且应将IP规划与VLAN划分结合起来，以部门为单位进行划分，不仅能提高数据的安全，还能方便知道网络故障的发生确切位置。而IP冲突的发生只有可能在同一个部门之内，部门内的用户也可以自己相互监督解决，这样就极大的缩小IP冲突产生的机会。