私接路由器导致部分终端（电脑、手机等）无法上网问题分析

【1】私接路由器场景

某公司办公网可以上互联网，网络终端通过公司路由器上的DHCP服务器自动获取IP地址，对终端设备接入没有做Mac地址绑定等策略限制，交换机也没有划分vlan。员工张三所在办公室网口太少或者WiFi信号差，私自找了一台小路由器连接到办公室墙面网口，对网络进行扩充，但第二天发现有多台设备无法上网，经网管人员排查发现是私接路由器引起的问题。演示网络拓扑图如下所示：

【2】进行网络基本配置，模拟终端可以正常上网

具体配置如下：

【2.1】Http-Server配置

【2.2】ISP配置

<Huawei>system-view
$Huawei$ sysname ISP
$ISP$ interface GigabitEthernet 0/0/0
$ISP-GigabitEthernet0/0/0$ ip address 33.3.3.2 28
$ISP-GigabitEthernet0/0/0$ interface GigabitEthernet 0/0/1
$ISP-GigabitEthernet0/0/1$ ip address 22.2.2.1 30
$ISP-GigabitEthernet0/0/1$ quit
$ISP$ ip route-static 192.168.11.0 24 33.3.3.1

【2.3】R-hefa配置

<Huawei>system-view
$Huawei$ sysname R-hefa
$R-hefa$ dhcp enable
$R-hefa$ interface GigabitEthernet 0/0/0
$R-hefa-GigabitEthernet0/0/0$ ip address 192.168.11.1 24
$R-hefa-GigabitEthernet0/0/0$ dhcp select interface
$R-hefa-GigabitEthernet0/0/0$ quit
$R-hefa$ interface GigabitEthernet 0/0/1
$R-hefa-GigabitEthernet0/0/1$ ip address 33.3.3.1 28
$R-hefa-GigabitEthernet0/0/1$ quit
$R-hefa$ ip route-static 22.2.2.0 30 33.3.3.2

【2.4】Client1配置

【2.5】PC配置

其他PC配置和PC1一样。

【2.6】测试验证上网是否正常

从上图的测试验证可以看出，公司内网PC终端从DHCP服务器获取IP地址正常，而且和互联网服务器通信正常。

【3】私接路由器后再测试验证公司内网各终端访问外网是否正常

如上图所示，私接路由器已连接到公司办公网交换机。

【3.1】私接路由器的模拟配置如下：

<Huawei>system-view

$Huawei$ sysname R-sijie

$R-sijie$ dhcp enable

$R-sijie$ interface GigabitEthernet 0/0/0

$R-sijie-GigabitEthernet0/0/0$ ip address 192.168.1.1 24

$R-sijie-GigabitEthernet0/0/0$ dhcp select interface

【3.2】重启PC1、PC2和PC3，查看各PC获取到的IP地址

此操作相当于模拟下班关机，第二天开机重新获取IP地址。

从上图看出PC1和PC3从合法DHCP服务器获取了IP地址，PC2从私接路由器的DHCP服务器获取了IP地址，PC2无法上网。

通过抓包发现是地址为192.168.11.1的DHCP服务器给PC1提供的地址192.168.11.254，地址为192.168.1.1的DHCP服务器（私接路由器）给PC1提供的地址192.168.1.254，按照谁先提供获取谁分配的IP地址的规则，PC1获得合法DHCP服务器分配的地址192.168.11.254。

【4】解决办法

终端向DHCP 服务端申请IP过程如下：

终端发送DHCP Discover广播包，用于发现网络中的服务器
DHCP服务器发送DHCP Offer单播，将IP地址提供给终端选择
终端向第一个给发送了DHCP Offer的DHCP服务器，发送DHCP Request 请求使用提供的IP地址
服务器发送DHCP ACK，告知终端可以应用这个IP地址

DHCP-Snooping用在交换机上，作用是屏蔽接入网络中的非法的 DHCP 服务器。DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

在交换机SW上配置Snooping信任端口，解决私接路由器后导致办公网部分终端无法上网问题。

【4.1】交换机SW配置

<Huawei>system-view
$Huawei$ dhcp enable
$Huawei$ dhcp snooping enable
$Huawei$ vlan 1
$Huawei-vlan1$ dhcp snooping enable
$Huawei-vlan1$ interface GigabitEthernet 0/0/1
$Huawei-GigabitEthernet0/0/1$ dhcp snooping trusted //设置为信任端口

【4.2】验证私接路由器后会不会导致部分终端无法上网

通过上图所示操作重新获取IP地址后，抓包如下图所示：

通过抓包发现只有地址为192.168.11.1的DHCP服务器给PC1提供的地址192.168.11.254，地址为192.168.1.1的DHCP服务器（私接路由器）已经被屏蔽。

PC1、PC2和PC3都获取了合法地址，能正常上网。

还可以通过ACL过滤端口等方式解决此问题，在此不再赘述。