dhcp租约续订后没有互联网

今天，我们有许多机器停止上网。经过大量的故障排除后，共同点是他们今天都续订了dhcp租约（此处为8天租约）。

续约后，您期望的一切看起来都不错：它们具有有效的IP地址，dns服务器和网关。他们可以访问内部资源（文件共享，Intranet，打印机等）。进一步的故障排除表明，他们无法ping或跟踪到我们的网关，但是他们可以到达网关前面的核心三层交换机。为计算机分配静态IP是一种临时解决方案。

最后一个难题是，到目前为止，只有与网关处于同一VLAN的客户端才收到报告。我们的行政人员和教职员工与服务器和打印机位于同一个VLAN，但是电话，密钥卡/相机，学生/ WiFi和实验室都有各自的VLAN，据我所知，其他任何VLAN都没有出了问题。

我与网关供应商有单独的入场券，但我怀疑他们会轻轻松松地告诉我问题出在网络上的其他地方，因此我也在这里提出问题。我已经清除了网关和核心交换机上的arp缓存。任何想法欢迎。

更新：
我尝试从网关ping回一些受影响的主机，但奇怪的是我确实得到了响应：来自一个完全不同的IP地址。我随机尝试了一些，最终得到了这个：

2011年9月2日星期五13:08:51 GMT-0500（中央夏令时）
PING 10.1.1.97（10.1.1.97）56（84）个字节的数据。
从10.1.1.105开始的64个字节：icmp_seq = 1 ttl = 255时间= 1.35 ms
从10.1.1.97开始的64个字节：icmp_seq = 1 ttl = 255时间= 39.9 ms（DUP！）

10.1.1.97是ping的实际预期目标。10.1.1.105应该是另一座建筑物中的打印机。我以前从未在ping响应中看到过DUP。

目前，我最好的猜测是10.1.1.0/24子网中我们宿舍间之一中的流氓wifi路由器，网关错误。

...继续。我现在已经关闭了有问题的打印机的电源，并且从网关ping到受影响的主机只是完全失败了。

更新2：
我在受影响的计算机，网关以及它们之间的每个开关处检查arp表。在每个点上，这些设备的输入都是正确的。我没有验证表中的每个条目，但是每个可能影响主机和网关之间流量的条目都可以。ARP不是问题。

更新3：目前
一切正常，但是我看不到我为解决这些问题所做的任何事情，因此我不知道这是否可能只是暂时的停顿。无论如何，现在我无能为力，无法诊断或排除故障，但是如果再次出现故障，我将进行更多更新。

“目前我最好的猜测是在10.1.1.0/24子网中我们宿舍间之一中的流氓wifi路由器，但网关故障。”

这发生在我的办公室。令人反感的设备原来是恶意的android设备：

http://code.google.com/p/android/issues/detail?id=11236

如果android设备通过DHCP从另一个网络获取网关的IP，则它可能会加入您的网络并开始使用其MAC响应对网关IP的ARP请求。您使用常见的10.1.1.0/24网络会增加这种流氓情况的可能性。

我能够检查网络上受影响的工作站上的ARP缓存。在那儿，我观察到ARP流量问题，其中工作站将在正确的MAC与某些恶意设备的MAC地址之间翻转。当我查找工作站用于网关的可疑MAC时，它以Samsung前缀返回。工作站出现问题的精明用户回答说，他知道谁在我们的网络上安装了三星设备。原来是首席执行官。

正如评论部分已经讨论的那样，获取数据包捕获至关重要。但是，还有一个非常好的工具称为arpwatch：

http://ee.lbl.gov/

（对于Windows，则为http://sid.rstack.org/arp-sk/）

该工具将通过电子邮件向您发送电子邮件，或仅记录网络上看到的所有新MAC地址以及给定子网（触发器）上IP的MAC地址的任何更改。对于这个问题，您可能会通过报告说正在发生IP更改MAC的触发器而检测到了当前的两种理论，或者在流氓DHCP路由器首次开始与主机进行通信时会看到新的MAC。该工具的缺点是，您需要将主机连接到所监视的所有网络，但是对于它提供的有助于诊断这类问题的大量信息来说，这是一个很小的代价。

检测典型恶意DHCP服务器的一种快速方法是ping它所服务的网关，然后在相应的ARP表中检查其MAC。如果交换基础架构是受管基础架构，则还可以跟踪MAC到托管它的端口，并且可以关闭该端口或将其追溯到有问题的设备的位置，以进行进一步纠正。

在支持DHCP Snooping的交换机上使用DHCP Snooping也是保护网络免受恶意DHCP服务器攻击的有效选择。