路由器上禁用dhcp-server可防止客户端获取地址。

Question

我的本地网络上有一个奇怪的问题，它阻止了一些客户端，有时从真正的dhcp服务器(x.3)获取ip地址。dhcp-服务器是运行用于ipv4的isc-dhcp-服务器的ipv4 VM。我的ISP的路由器Sagemcom禁用了dhcp服务器(x.1)。

但是，当客户端直接连接到Sagemcom路由器时，我有时会看到这样的响应：

The server offers address x.x.x.181 from x.x.x.3
NACK: Requested address not available from x.x.x.1

(不是那样的.)那么，为什么路由器给了一个黑，而它应该被关闭？在这里，来自dhcpd.conf的指令“权威”究竟扮演了什么角色？

所以，我最重要的问题是，如何解决这个问题？

如果在自己的dhcp服务器不活动时运行nmap --script broadcast-dhcp-discover，则不会收到答复。

Answer 1

在这里，来自dhcpd.conf的指令“权威”究竟扮演了什么角色？

来自dhcpd手册：

DHCP服务器通常会假定有关给定网段的配置信息不正确，也不具有权威性。这样，如果天真的用户安装DHCP服务器不完全了解如何配置DHCP服务器，则不会向从网络上的合法DHCP服务器获得地址的客户端发送虚假的DHCPNAK消息。

因此，这意味着如果dhcp服务器收到它不知道的地址的请求，它将发送NACK。在您的示例中，发送NACK的是另一个dhcp服务器，因此服务器上的“authoritive”在本例中并不重要，但如果客户端请求属于另一个dhcp服务器的地址，则会发生问题。

您可以使用-e选项运行tcpdump，查看哪个以太网主机发送NACK。它可以是路由器，也可以是配置为转发到路由器的代理。根据潜在代理的配置，如果它没有从dhcp服务器接收到答案，它可能会使用NACK进行应答。

Answer 2

您可能在网络中的某个位置配置了dhcp中继/ dhcp助手，它指向“禁用”dhcp服务器。请求将包含中继设备的ip地址，当此地址与dhcp子网不匹配时，NACK将是issued.The详细信息，您可以通过进行一些数据包跟踪来查找。

见此处：https://documentation.meraki.com/zGeneral_行政/工具_和_故障排除/DHCP_纳克

DHCP是来自DHCP服务器的否定确认。服务器将在下列情况下发送DHCP：

• 从可能相同的子网请求地址，但不在服务器地址池中。这可能是中的故障转移场景，其中2台DHCP服务器服务于同一子网，因此当one下降时，另一台不应向获得IP from的客户端提供第一台服务器。
• 请求的地址位于不同的子网上。
• 请求的地址已被另一个客户端使用。

关于你的其他问题：

那么，为什么路由器给了一个黑，而它应该被关闭？在这里，来自dhcpd.conf的指令“权威”究竟扮演了什么角色？

看起来dhcp服务器并没有真正关闭。

引用https://linux.die.net/man/5/dhcpd.conf的话：

权威声明是权威的；不是权威的；DHCP服务器通常会假定有关给定网段的配置信息不正确，也不权威。这样，如果天真的用户安装DHCP服务器不完全了解如何配置DHCP服务器，则不会向从网络上的合法DHCP服务器获得地址的客户端发送虚假的DHCPNAK消息。为其网络设置权威DHCP服务器的网络管理员应始终写入权威文件；在其配置文件的顶部，指示DHCP服务器应向配置错误的客户端发送DHCPNAK消息。如果不这样做，客户将无法获得正确的IP地址后，改变子网，直到他们的旧租约已经到期，这可能需要相当长的时间。通常，编写权威；在文件的顶层应该足够了。然而，如果要设置DHCP服务器，使它知道某些网络是权威的，而某些网络则不是，则可能更适合在每个网络段的基础上声明权限。请注意，权限概念具有任何意义的最具体的范围是物理网段--共享-网络语句或不包含在共享-网络语句中的子网语句。指定服务器对共享网络中的某些子网具有权威性，但对其他子网不具有权威性，也没有意义指定服务器对某些主机声明具有权威性，而对其他声明则没有任何意义。

所以，我最重要的问题是，如何解决这个问题？

答案是数据包跟踪。https://www-01.ibm.com/support/docview.wss?uid=swg21175744