取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

December 2020

【原创故障案例分享】企业内网私接设备导致无法上网

9422
查看次数
76
有帮助
9
评论
通常企业内部办公网络,原则上不充许员工自带网络设备(如家用无线路由器/无线WIFI等)私自接入办公网内,也在员工手册上有明确提醒;不过,林子大了,什么鸟都有,总有小伙伴为了自己方便,私接设备;以前在单位里就碰到过这样的事情,分享一下如何通过技术手段快速定位故障点。
某日,一新入职员工反馈无法上网,询问后发现他电脑获取的IP地址网段为192.168.1.X/24,这时,需要明确2点情况:
1,其它人可正常上网,
2,目前只有一人反馈问题,
所以最大的可能性,就是有人私接网络设备,且该设备DHCP功能开启,刚好有人获取到了192.168.1.X/24 的私网IP;
解决办法:
第一步,直接使用出现问题的电脑,查看DHCP获取到的网关IP,发现可以PING通,使用浏览器尝试登陆,果然出现了登陆页面,尝试用admin/root 一类的默认密码进行登陆,但未能成功,说明默认账号密码已被修改了;
第二步,通过有问题的电脑,记录下网关IP的MAC地址,和问题电脑本身的MAC,同时,记录下有问题电脑工位对应的信息点编号;
第三步,登陆办公网核心交换机,查找MAC地址,通过管道符进行过滤匹配,找到问题电脑所属的接入交换机下行口,再登陆到相应的接入交换机上,继续通过查看MAC地址,过滤私接设备的MAC地址;果然发现了 私接设备MAC地址对应的 接口;登陆到该接口,直接SHUTDOWN;等着某人来找你反馈不能上网的问题吧;P
其它,通过全网开启DHCP SNOOPING功能,可以规避掉上述碰到问题,建议在网络建设实施时,就一并配置上去;
评论
wuleihen
Advocate
问下,如果DHCP是使用的是思科的交换机做的,那DHCP SNOOPING该如何做??
Mansur
Engager
wuleihen 发表于 2018-3-27 11:00
问下,如果DHCP是使用的是思科的交换机做的,那DHCP SNOOPING该如何做??

接入交换机的access口开启dhcp snooping,交换机的uplink口开启trust
Mansur
Engager
本帖最后由 maguanghua2013 于 2018-3-27 11:55 编辑
实施的时候有条件就一定要开启dhcp snooping/dhcp source guard/ARP检测,分别对应非法dhcp server,dhcp恶意请求IP,手动配置IP……公司大了真是什么样的人都有,开启这仨能给网络维护省不少事。经历过的人应该都能懂吧……
SMG-SH
Rising star
能否把思科的查询过程和命令共享出来
YilinChen
Advocate
关键性命令只有一个: show mac-address-table | in xxxx-xxxx-xxxx
fortune
VIP Expert
私接路由器是个严重的问题,一般情况下要配置DHCP SNOOPING , 还有就是不要用192.168.XX 网段比较好
gsm87_qq_com
Beginner
ip dhcp snooping
interface GigabitEthernet0/0
switchport mode trunk
ip dhcp snooping trust
interface GigabitEthernet0/1
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping limit rate 8
:lol
yssqt5211
Beginner
很好 学习了。
yssqt5211
Beginner
wuleihen 发表于 2018-3-27 11:00
问下,如果DHCP是使用的是思科的交换机做的,那DHCP SNOOPING该如何做??

你好 这个 DHCP Snooping 在 思科那本 CCNP交换学习指南 的书上 有原理和配置,看一下就懂了。
创建
认可您的同行
Content for Community-Ad