私接路由器导致部分终端(电脑、手机等)无法上网问题分析

【1】私接路由器场景

某公司办公网可以上互联网,网络终端通过公司路由器上的DHCP服务器自动获取IP地址,对终端设备接入没有做Mac地址绑定等策略限制,交换机也没有划分vlan。员工张三所在办公室网口太少或者WiFi信号差,私自找了一台小路由器连接到办公室墙面网口,对网络进行扩充,但第二天发现有多台设备无法上网,经网管人员排查发现是私接路由器引起的问题。演示网络拓扑图如下所示:

【2】进行网络基本配置,模拟终端可以正常上网

具体配置如下:

【2.1】Http-Server配置

【2.2】ISP配置

<Huawei>system-view

Huawei\]sysname ISP \[ISP\]interface GigabitEthernet 0/0/0 \[ISP-GigabitEthernet0/0/0\]ip address 33.3.3.2 28 \[ISP-GigabitEthernet0/0/0\]interface GigabitEthernet 0/0/1 \[ISP-GigabitEthernet0/0/1\]ip address 22.2.2.1 30 \[ISP-GigabitEthernet0/0/1\]quit \[ISP\]ip route-static 192.168.11.0 24 33.3.3.1 #### 【2.3】R-hefa配置 \system-view \[Huawei\]sysname R-hefa \[R-hefa\]dhcp enable \[R-hefa\]interface GigabitEthernet 0/0/0 \[R-hefa-GigabitEthernet0/0/0\]ip address 192.168.11.1 24 \[R-hefa-GigabitEthernet0/0/0\]dhcp select interface \[R-hefa-GigabitEthernet0/0/0\]quit \[R-hefa\]interface GigabitEthernet 0/0/1 \[R-hefa-GigabitEthernet0/0/1\]ip address 33.3.3.1 28 \[R-hefa-GigabitEthernet0/0/1\]quit \[R-hefa\]ip route-static 22.2.2.0 30 33.3.3.2 #### 【2.4】Client1配置 ![](https://img-blog.csdnimg.cn/direct/39730bf2f4e242b7bc8c46de2e79b7cf.png) #### 【2.5】PC配置 ![](https://img-blog.csdnimg.cn/direct/be2014eb0f2c43fd9381ac1d827a6df1.png) 其他PC配置和PC1一样。 #### 【2.6】测试验证上网是否正常 ![](https://img-blog.csdnimg.cn/direct/3e221e534e3645c6b348fed9568c3bac.png)![](https://img-blog.csdnimg.cn/direct/fded16fce7fd429386827615b76ea076.png)![](https://img-blog.csdnimg.cn/direct/1e29a2b9c68b49c2b11dbd4d52a172e6.png) ![](https://img-blog.csdnimg.cn/direct/84043ed217de45d29161576a548dc6aa.png) ![](https://img-blog.csdnimg.cn/direct/a3eda14a0110450a83a4c3372606e011.png) 从上图的测试验证可以看出,公司内网PC终端从DHCP服务器获取IP地址正常,而且和互联网服务器通信正常。 ### 【3】私接路由器后再测试验证公司内网各终端访问外网是否正常 ![](https://img-blog.csdnimg.cn/direct/d2f8cdc759b14954bbf8b19e29f72f96.png) 如上图所示,私接路由器已连接到公司办公网交换机。 #### 【3.1】私接路由器的模拟配置如下: \system-view \[Huawei\]sysname R-sijie \[R-sijie\]dhcp enable \[R-sijie\]interface GigabitEthernet 0/0/0 \[R-sijie-GigabitEthernet0/0/0\]ip address 192.168.1.1 24 \[R-sijie-GigabitEthernet0/0/0\]dhcp select interface #### 【3.2】重启PC1、PC2和PC3,查看各PC获取到的IP地址 此操作相当于模拟下班关机,第二天开机重新获取IP地址。 ![](https://img-blog.csdnimg.cn/direct/7d967f4ac6474887b8b4f0d77c9a7a6e.png) ![](https://img-blog.csdnimg.cn/direct/5bd5fe4f1dc94845a9d4857ec069e665.png) ![](https://img-blog.csdnimg.cn/direct/1f66364b6b384644b9e7a1b8e49e7c77.png) 从上图看出PC1和PC3从合法DHCP服务器获取了IP地址,PC2从私接路由器的DHCP服务器获取了IP地址,PC2无法上网。 ![](https://img-blog.csdnimg.cn/direct/886008ffaf4f4beca7904161b9479261.png)![](https://img-blog.csdnimg.cn/direct/59c5bad7e4924cfca9c30414a945b112.png) 通过抓包发现是地址为192.168.11.1的DHCP服务器给PC1提供的地址192.168.11.254,地址为192.168.1.1的DHCP服务器(私接路由器)给PC1提供的地址192.168.1.254,按照谁先提供获取谁分配的IP地址的规则,PC1获得合法DHCP服务器分配的地址192.168.11.254。 ### 【4】解决办法 **终端向DHCP 服务端申请IP过程如下:** 1. 终端发送DHCP Discover广播包,用于发现网络中的服务器 2. DHCP服务器发送DHCP Offer单播,将IP地址提供给终端选择 3. 终端向第一个给发送了DHCP Offer的DHCP服务器,发送DHCP Request 请求使用提供的IP地址 4. 服务器发送DHCP ACK,告知终端可以应用这个IP地址 DHCP-Snooping用在交换机 上,作用是屏蔽接入网络中的非法的 DHCP 服务器。DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。 在交换机SW上配置Snooping信任端口,解决私接路由器后导致办公网部分终端无法上网问题。 #### 【4.1】交换机SW配置 \system-view \[Huawei\]dhcp enable \[Huawei\]dhcp snooping enable \[Huawei\]vlan 1 \[Huawei-vlan1\]dhcp snooping enable \[Huawei-vlan1\]interface GigabitEthernet 0/0/1 \[Huawei-GigabitEthernet0/0/1\]dhcp snooping trusted //设置为信任端口 #### 【4.2】验证私接路由器后会不会导致部分终端无法上网 ![](https://img-blog.csdnimg.cn/direct/034aa7ad570b457fa974ffd2cee03896.png) ![](https://img-blog.csdnimg.cn/direct/d0559df9d3644811b4db916169749003.png)![](https://img-blog.csdnimg.cn/direct/a573cba5e2c74d4eb068a37de6d003f8.png) 通过上图所示操作重新获取IP地址后,抓包如下图所示: ![](https://img-blog.csdnimg.cn/direct/c8a00b5c6192473ca5252d66974cc33b.png) 通过抓包发现只有地址为192.168.11.1的DHCP服务器给PC1提供的地址192.168.11.254,地址为192.168.1.1的DHCP服务器(私接路由器)已经被屏蔽。 ![](https://img-blog.csdnimg.cn/direct/c0327470bc7e4819a660594580efcbf2.png)![](https://img-blog.csdnimg.cn/direct/abe49d516b3647e6bd375c2d2e612f05.png)![](https://img-blog.csdnimg.cn/direct/edc283a2930a4b48be687bf08795f2a6.png) PC1、PC2和PC3都获取了合法地址,能正常上网。 还可以通过ACL过滤端口等方式解决此问题,在此不再赘述。

相关推荐
大丈夫立于天地间14 小时前
ISIS协议中的数据库同步
运维·网络·信息与通信
Dream Algorithm14 小时前
路由器的 WAN(广域网)口 和 LAN(局域网)口
网络·智能路由器
IT猿手15 小时前
基于CNN-LSTM的深度Q网络(Deep Q-Network,DQN)求解移动机器人路径规划,MATLAB代码
网络·cnn·lstm
吴盐煮_15 小时前
使用UDP建立连接,会存在什么问题?
网络·网络协议·udp
hyshhhh15 小时前
【算法岗面试题】深度学习中如何防止过拟合?
网络·人工智能·深度学习·神经网络·算法·计算机视觉
Hellc00716 小时前
轮询、WebSocket 和 SSE:实时通信技术全面指南(含C#实现)
网络
xujiangyan_16 小时前
nginx的反向代理和负载均衡
服务器·网络·nginx
GalaxyPokemon17 小时前
Muduo网络库实现 [十] - EventLoopThreadPool模块
linux·服务器·网络·c++
忆源17 小时前
SOME/IP-SD -- 协议英文原文讲解9(ERROR处理)
网络·网络协议·tcp/ip