私接路由器导致部分终端(电脑、手机等)无法上网问题分析

义一2024-06-27 22:33

【1】私接路由器场景

某公司办公网可以上互联网,网络终端通过公司路由器上的DHCP服务器自动获取IP地址,对终端设备接入没有做Mac地址绑定等策略限制,交换机也没有划分vlan。员工张三所在办公室网口太少或者WiFi信号差,私自找了一台小路由器连接到办公室墙面网口,对网络进行扩充,但第二天发现有多台设备无法上网,经网管人员排查发现是私接路由器引起的问题。演示网络拓扑图如下所示:

【2】进行网络基本配置,模拟终端可以正常上网

具体配置如下:

【2.1】Http-Server配置

【2.2】ISP配置

<Huawei>system-view
[Huawei]sysname ISP
[ISP]interface GigabitEthernet 0/0/0
[ISP-GigabitEthernet0/0/0]ip address 33.3.3.2 28
[ISP-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[ISP-GigabitEthernet0/0/1]ip address 22.2.2.1 30
[ISP-GigabitEthernet0/0/1]quit
[ISP]ip route-static 192.168.11.0 24 33.3.3.1

【2.3】R-hefa配置

<Huawei>system-view
[Huawei]sysname R-hefa
[R-hefa]dhcp enable
[R-hefa]interface GigabitEthernet 0/0/0
[R-hefa-GigabitEthernet0/0/0]ip address 192.168.11.1 24
[R-hefa-GigabitEthernet0/0/0]dhcp select interface
[R-hefa-GigabitEthernet0/0/0]quit
[R-hefa]interface GigabitEthernet 0/0/1
[R-hefa-GigabitEthernet0/0/1]ip address 33.3.3.1 28
[R-hefa-GigabitEthernet0/0/1]quit
[R-hefa]ip route-static 22.2.2.0 30 33.3.3.2

【2.4】Client1配置

【2.5】PC配置

其他PC配置和PC1一样。

【2.6】测试验证上网是否正常

从上图的测试验证可以看出,公司内网PC终端从DHCP服务器获取IP地址正常,而且和互联网服务器通信正常。

【3】私接路由器后再测试验证公司内网各终端访问外网是否正常

如上图所示,私接路由器已连接到公司办公网交换机。

【3.1】私接路由器的模拟配置如下:

<Huawei>system-view

[Huawei]sysname R-sijie

[R-sijie]dhcp enable

[R-sijie]interface GigabitEthernet 0/0/0

[R-sijie-GigabitEthernet0/0/0]ip address 192.168.1.1 24

[R-sijie-GigabitEthernet0/0/0]dhcp select interface

【3.2】重启PC1、PC2和PC3,查看各PC获取到的IP地址

此操作相当于模拟下班关机,第二天开机重新获取IP地址。

从上图看出PC1和PC3从合法DHCP服务器获取了IP地址,PC2从私接路由器的DHCP服务器获取了IP地址,PC2无法上网。

通过抓包发现是地址为192.168.11.1的DHCP服务器给PC1提供的地址192.168.11.254,地址为192.168.1.1的DHCP服务器(私接路由器)给PC1提供的地址192.168.1.254,按照谁先提供获取谁分配的IP地址的规则,PC1获得合法DHCP服务器分配的地址192.168.11.254。

【4】解决办法

终端向DHCP 服务端申请IP过程如下:

  1. 终端发送DHCP Discover广播包,用于发现网络中的服务器
  2. DHCP服务器发送DHCP Offer单播,将IP地址提供给终端选择
  3. 终端向第一个给发送了DHCP Offer的DHCP服务器,发送DHCP Request 请求使用提供的IP地址
  4. 服务器发送DHCP ACK,告知终端可以应用这个IP地址

DHCP-Snooping用在交换机 上,作用是屏蔽接入网络中的非法的 DHCP 服务器。DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

在交换机SW上配置Snooping信任端口,解决私接路由器后导致办公网部分终端无法上网问题。

【4.1】交换机SW配置

<Huawei>system-view
[Huawei]dhcp enable
[Huawei]dhcp snooping enable
[Huawei]vlan 1
[Huawei-vlan1]dhcp snooping enable
[Huawei-vlan1]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //设置为信任端口

【4.2】验证私接路由器后会不会导致部分终端无法上网

通过上图所示操作重新获取IP地址后,抓包如下图所示:

通过抓包发现只有地址为192.168.11.1的DHCP服务器给PC1提供的地址192.168.11.254,地址为192.168.1.1的DHCP服务器(私接路由器)已经被屏蔽。

PC1、PC2和PC3都获取了合法地址,能正常上网。

还可以通过ACL过滤端口等方式解决此问题,在此不再赘述。

相关推荐
安全信息等保测评师1 分钟前
云海中的坚固灯塔:等保测评视角下的混合云安全策略与合规性深度剖析
linux·运维·服务器·网络·网络协议
WolvenSec16 分钟前
网络基础-RIP协议
网络
何中应28 分钟前
frp技术
网络·frp·内网穿透
securitor36 分钟前
【网络专用语解释】arp协议
网络
Ephemeroptera1 小时前
IT专业入门,高考假期预习指南
java·c语言·网络·python·高考
LNTON羚通1 小时前
视频监控业务平台LntonCVS国标视频综合管理平台功能及技术优势
大数据·网络·人工智能·算法·音视频
猪大侠0.01 小时前
Centos7网络配置(设置固定ip)
linux·服务器·网络·centos
tq10861 小时前
复杂系统失效原理
运维·服务器·网络
张赛能2 小时前
计算机网络-第4章 网络层
网络·网络协议·计算机网络·计算机视觉
yqcoder2 小时前
WebSocket 心跳机制如何实现
网络·websocket·网络协议
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)03【经验分享】Ubuntu22.04安装微信(linux官方版)04yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)05【立创EDA-PCB设计基础】6.布线铺铜实战及细节详解06浏览器插件——ModHeader 的分享和学习072025张宇考研数学,百度网盘视频课+36讲PDF讲义+真题08通达信神奇九转指标原理及选股公式,无未来函数,数字不消失09npm使用国内淘宝镜像(最新地址)1051-2 万字长文,深度解读端到端自动驾驶的挑战和前沿