公司有两个完全隔离的网络系统，内网和外网。内网的主要作用是处理一些安全性要求比较高，有保密性的事务。并且，内网上有很多服务器，如DNS、WEB、邮件、人事、档案等服务器，这些服务器对公司业务的正常运转都至关重要，所以一定要保证它们的安全性、稳定性和可靠性。而公司的外网主要是让办公人员访问互联网，在Internet下载资料，和外单位联系时使用。

　　一、公司网络概况

　　公司内网的核心层交换机使用的是Cisco 4507R，在Cisco 4507R上接有多个服务器。内网的接入层交换机使用的是Cisco 3750。内网中IP地址使用的是A类私有地址，其中内网的DHCP服务器IP地址为10.1.1.1/24。客户端都是自动从DHCP服务器获取IP地址、DNS和默认网关地址。内网的结构示意图如图1所示。

　　(图1 公司内网结构图)

　　外网的核心层交换机使用的是Cisco 4503。外网的结构相对内网要简单许多，因为只要保证用户能访问互联网就行，在安全性和稳定性方面要求比较低。外网中的接入层交换机使用的是Cisco 2960。IP地址使用的是B类私有地址。外网中只使用了一台服务器，即DHCP服务器，IP地址为172.16.1.1/24。同样，外网中的客户端也是自动从DHCP服务器上获取IP地址、DNS和默认网关地址。外网的网络结构图如图2所示。

　　(图2 公司外网结构图)

　　二、故障发生的过程

　　公司的内网和外网在客户端接入时，有的办公室要接入网络中的电脑数量，比房间中的信息点数量要多。这样如果不扩展房间中信息点数量，就不能保证所有的电脑都连接到网络中。在这种情况下，我们使用了TP-Link的8端口交换机。交换机的一个端口上连到办公室内网或外网中的一个信息点上，这样交换机上的其它七个端口就可以直接连接到用户的电脑上，有效的扩展了办公室中信息点的数量。

　　引起网络崩溃的错误连接发生在同一个办公室中。错误连接的示意图，如图3所示。因为这个办公室中的内网和外网的信息点都很少，所以在用户接入内网和外网时，都使用了一个TP-Link的8端口交换机。发生故障前，办公室一用户发现自己的电脑不能访问互联网，就在不明白网络运行原理的情况下，看到房间中有两个TP-Link交换机，错误的认为是因为这两个小交换机没有连接起来而引起的故障，就找了一根网线，把两个TP-Link交换机连了起来，结果导致公司内网和外网大面积的网络崩溃。

　　(图3 引起网络崩溃的错误连接示意图)

　　三、故障发生的现象和故障的排除

　　1、故障发生的现象。故障发生后，很多用户打电话说不能访问网络。有的不能访问内网，有的不能访问外网。到故障现场查看不能正常访问的电脑后，发现内网中的电脑获取到的都是外网的IP地址，即172开头的地址。而外网中的用户获取到的都是内网的IP地址，即10开头的地址。所以我们根据故障现象，初步断定是哪个办公室中把内网和外网连接到了一起。

　　2、故障的排除。确定了发生故障的原因后，下一步就是找出在那个办公室中把内网和外网连接到了一起。但是，可能引起错误连接的办公室有好几十个，总不能一个一个去排查，这样效率太低。

　　后来，我们在机房中，逐一拔掉，连接配线架端口和交换机端口的每根网线，若拔掉某个办公室配线架上的网线后，公司的网络恢复正常，那就是这个办公室中把内网和外网连接到了一起。后来我们用这种办法找到了引起错误连接的那个办公室，和开始的推测完全一样，确实有人私自把内网和外网的两个TP-Link连到了一起。把错误的连接断开后，公司网络全部恢复正常。

　　四、总结

　　1、DHCP服务器的工作过程。当一台电脑第一次接入到，配置有DHCP服务器的网络中时，客户机上没有任何的IP数据设定，也就是没有IP地址、DNS和默认网关地址，这时它会向网络中发出一个 DHCP Discover数据包。因为客户端还不知道自己属于哪一个网络，所以数据包的源地址为0.0.0.0，而目的地址则为 255.255.255.255 ，向网络进行广播。当客户端将第一个 DHCP Discover数据包送出去之后，在 一秒之内若没有得到响应的话，就会进行第二次 DHCP Discover数据包的广播。若一直得不到响应的情况下，客户端一共会有四次 DHCP Discover数据包广播。

　　在DHCP服务器收到DHCP Discover发现报文后会做出响应，它从尚未出租的IP地址中挑选一个分配给DHCP客户机，并根据DHCP Discover数据包中原来携带的客户机MAC地址，向客户机发送一个包含出租的IP地址、DNS和默认网关地址的DHCP Offer提供报文。

　　如果网络中有多台DHCP服务器向客户机发来DHCP Offer提供IP地址，则客户机只接受第一个收到的DHCP Offer报文提供的IP地址。

　　2、深入分析导致网络崩溃的原因。从以上分析DHCP服务器的工作过程可以看出，当网络中有两个DHCP服务器运行的时候，客户机获取IP地址时，哪个DHCP服务器提供的速度快，客户机就采用那个DHCP服务器的提供的IP地址。所以，当把两个TP-Link交换机连接起来后，内网和外网打通，成了一个整体的大网，并且网路中包含两个DHCP服务器，这样内网中的电脑可能获取到的是外网的IP地址，而外网中的电脑获取到的可能是内网的IP地址。结果就导致了整个内网和外网的混乱，客户机也就不能正常访问网络了。

　　3、故障的经验和教训。首先要加强客户端的管理。用户出现不能访问网络的故障，应当及时向网路管理部门上报，而不应私自处置。其次，应当禁止用户对放置在办公室中的TP-Link交换机上的网线私自接入和拔出。