RouterOS DHCP中继实战：跨网段分配IP的避坑指南

在企业网络环境中，经常会遇到需要跨网段为客户端分配IP地址的场景。比如研发中心在一网段，办公区在另一网段，但都希望统一从一台DHCP服务器获取IP。这种需求在RouterOS中通过DHCP中继（IP DHCP Relay）来实现，看似简单，实则有几个坑，稍不注意就会导致客户端始终无法获取IP。本文结合真实案例，梳理完整的配置流程与常见踩坑点，供大家参考。 某公司有两个办公楼层，一楼使用192.168.10.0/24网段，二楼使用192.168.20.0/24网段，两层楼之间通过RouterOS路由器互联。DHCP服务器搭建在192.168.10.100上，希望二楼客户端也能从该DHCP服务器获取IP地址，而不是在二楼再部署一台DHCP服务器。 实现这个需求的核心思路是在RouterOS路由器上开启DHCP中继功能，将来自二楼客户端的DHCP请求转发到一楼的核心DHCP服务器。具体配置分为以下几个步骤： 第一步，确保网络互通。二楼路由器（假设为RouterOS设备）的WAN口或相应接口需要能够到达192.168.10.100这个DHCP服务器所在网段。先用ping命令验证双向连通性，这是一切的前提。 第二步，安装DHCP中继包。如果RouterOS是精简版镜像，默认可能没有DHCP中继功能。在WinBox中进入System → Packages，检查dhcp是否启用。如果没有，找到对应的npk文件在线安装或从官网下载对应版本上传安装，重启后生效。 第三步，配置DHCP中继。进入IP → DHCP Relay，点击加号新建规则。General选项卡中，Broadcast Interface设置为二楼客户端所连接的接口（如bridge-office-2f），Destination Address填写核心DHCP服务器的IP地址192.168.10.100，Local Address填写RouterOS上该接口的IP地址192.168.20.1。如果网络结构复杂，可能还需要填写Relay Agent Information（Option 82）相关参数。 **坑一：防火墙规则阻断。** 这是最容易踩的坑之一。RouterOS默认防火墙规则可能会阻止DHCP请求（UDP 67/68端口）转发。需要在IP → Firewall → Filter Rules中添加一条允许规则，链为forward，协议为udp，目标端口为67-68，动作accept。务必要放在默认拒绝规则之前。 **坑二：中继接口选错。** 在配置DHCP Relay时，Broadcast Interface（监听接口）必须选择客户端所连接的物理接口或桥接接口，而不是上游路由接口。如果选错了，路由器根本收不到客户端的广播请求，自然无法转发。 **坑三：DHCP服务器作用域未匹配。** 核心DHCP服务器上需要为192.168.20.0/24网段配置独立的作用域或地址池，否则服务器收到请求后可能不知道该分配哪个网段的地址。如果DHCP服务器是Windows Server，记得在作用域选项中配置路由器（默认网关）为192.168.20.1。 **坑四：MTU和VLAN配置冲突。** 如果二楼网络使用了VLAN标记，需要确保DHCP中继绑定的接口已正确配置VLAN，并且VLAN ID在整条链路（从客户端到DHCP服务器所经过的所有交换机和路由器）上保持一致。曾经有一次客户端始终获取不到IP，最后排查发现是中间某台交换机VLAN配置不一致导致DHCP请求包被丢弃。 **坑五：日志没有开，排查无从下手。** 遇到问题时，第一步应该是开启DHCP相关日志。在Log选项卡中新建规则，Topics设为dhcp，Events设为info、warning、error。然后在System → Log中实时查看。通常会看到类似"No answer from DHCP server"或"NAK"（Negative Acknowledgment）等关键信息，从而快速定位是服务器没收到请求还是服务器返回了拒绝。 配置完成后，在二楼任意客户端上执行`ipconfig /release`释放现有IP，再用`ipconfig /renew`申请新IP。如果一切正常，客户端应该能获得192.168.20.0/24网段的IP地址、子网掩码、默认网关和DNS服务器。可以在RouterOS的IP → DHCP Relay界面查看中继统计，确认请求和应答计数是否正常增长。 RouterOS的DHCP中继功能在中小型企业网络中非常实用，一台设备就能解决跨网段IP分配的问题。但细节决定成败：防火墙规则、接口选择、DHCP服务器作用域匹配、VLAN一致性以及日志分析，这五个环节任何一个出问题都会导致整个方案失效。建议在实际部署前先在虚拟机或测试环境中完整模拟一遍，把上述坑都踩一遍有个直观印象，正式上线时就能胸有成竹了。