现有一台电脑接了双网卡,连接外网网卡配置IP地址网关,连接内网的网卡通过DHCP获取地址,由于此时系统上有两个网关,会导致部分网段无法正常访问,需要将内网的网关去掉,到内网网段写路由。关于双网卡的配置,参见windows下双网卡双网关的设置https://www.eumz.com/2012-05/251.html。
该内网网卡DHCP获取到的地址是192.168.1.113/24,网关192.168.1.1,此时关闭DHCP,配置静态地址192.168.1.113和24位掩码,不配置网关,此时发现ping网关192.168.1.1不通。在电脑接入的交换机上查看DHCP地址池配置,发现DHCP地址池是192.168.1.2-192.168.1.200,为电脑配置地址池之外的IP192.168.1.201,这时到192.168.1.1是通的,然后配置到内网网段的路由即可。
对于这种情况,静态地址配置成DHCP获取到的地址无法使用,就需要配置成DHCP地址池外的地址。
现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。
测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。
但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。
在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。
与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF后台的某个参数即可实现对限制的放开,且修改该参数不影响业务。
对主备两台参数分别修改为20000后,已正常使用。
截止目前最新的AF版本8.0.26,都存在这个问题。当然在大规模的网络中,一般也很少会将内网用户的网关都启用在防火墙上,更多是将网关放在核心交换机上。对于这种少见的特殊的部署场景才将这个问题暴露了出来。
另外深信服AF的arp老化时间是15秒,且无法修改。并且AF上的vlan数量也有限制,限制为256个vlan,dhcp地址池也有限制,限制为1万个。不过对于vlan数量以及dhcp地址池的限制可以通过定制来解决。
具体修改方法,参见:修改linux系统的arp缓存数量的方法。
现有一台windows xp,每次修改IP必须重启,后经排查为dhcp client服务未启动导致,将dhcp client服务改成自启动后,修改IP后立即生效,无需重启。
关于dhcp client的服务,这是在windows 10操作系统上的介绍:
为此计算机注册并更新 IP 地址。如果此服务停止,计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动。