私接路由器在企业网的影响范围(DHCP欺骗)

于 2023-05-06 17:10:25 发布
阅读量887 收藏 6
点赞数
分类专栏: IT运维技术 华为 ENSP 文章标签: 网络 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WXDCSDN/article/details/130530596
版权
IT运维技术 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
华为
4 篇文章 1 订阅
订阅专栏
ENSP
4 篇文章 0 订阅
订阅专栏

结论:当网络中私接路由器时,如果有划分VLAN情况下,只会影响到与路由器相同VLAN中PC的地址获取,如果无划分VLAN,那么会影响整个网络。

企业网中一般会在核心设备上配置DHCP服务,但在实际使用过程中,有许多部门有各自的需求,会在接入交换机上去接一些路由器设备,这就会导致其他用户获取的ip有可能是私接路由器分发的IP地址。

产生原因:当终端设备发起DHCP DISCOVER报文时,收到报文的DHCP服务器就会回复OFFER报文,然后终端发送DHCP REQUEST报文,DHCP服务器回应ACK报文,但终端会只对于第一个回复报文进行相关回复,这就导致,终端如果收到的是私接路由器的OFFER报文,他就会获得其分配的IP。那么

实验拓扑如下:

LSW1为核心交换机,LSW2为接入交换机、AR1为私接的路由器

核心交换机配置的地址池为:

VLAN 10  172.10.10.0/24

VLAN 20 172.20.20.0/24

VLAN 30 172.30.30.0/24

私接路由器配置地址池为:

192.168.1.0 /24

在接入交换机LSW2上配置接口VLAN

e0/0/1和e0/0/2为VLAN 10 

e0/0/3和e0/0/4为VLAN 20

e0/0/5和e0/0/6为VLAN 30

②在核心交换机上开启DHCP、si接路由器开启DHCP

测试:

正常情况下每个PC获取到了核心交换机配置的IP地址段 

①当关闭LSW1(核心交换机)的DHCP功能,即:undo dhcp enable

每个PC都无法获取到地址

②当关闭LSW1(核心交换机)的DHCP功能,且在LSW2上的g0/0/2口配置关联VLAN 20即:私接路由器属于VLAN 20

则:只有在VLAN 20的PC获取到了地址

结论:当网络中私接路由器时,如果有划分VLAN情况下,只会影响到与路由器相同VLAN中PC的地址获取,如果无划分VLAN,那么会影响整个网络。

核心交换配置:

sys
sys CORE_SW_01
vlan batch 10 20 30
int g0/0/1
p l t
p t a v a
dhcp enable
ip pool 10
network 172.10.10.0 mask 24
gateway-list 172.10.10.1
dns-list 61.134.1.4 114.114.114.114
ip pool 20
network 172.20.20.0 mask 24
gateway-list 172.20.20.1
dns-list 61.134.1.4 114.114.114.114
ip pool 30
network 172.30.30.0 mask 24
gateway-list 172.30.30.1
dns-list 61.134.1.4 114.114.114.114
int vlanif 10
ip add 172.10.10.1 24
dhcp select global
int vlanif 20
ip add 172.20.20.1 24
dhcp select global
int vlanif 30
ip add 172.30.30.1 24
dhcp select global

接入交换配置:

sys
sys XIAN_DISTRUBUTE_SW_01
vlan batch 10 20 30
int g0/0/2
p l t
p t a v a
int e0/0/1
p l a
p d v 10
int e0/0/2
p l a
p d v 10
int e0/0/3
p l a
p d v 20
int e0/0/4
p l a
p d v 20
int e0/0/5
p l a
p d v 30
int e0/0/6
p l a
p d v 30

私接路由器配置:

sys
sys ROUTER
dhcp enable
ip pool 100
network 192.168.1.0 mask 24
gateway-list 192.168.1.1
dns-list 61.134.1.4 114.114.114.114
int g0/0/2
ip add 192.168.1.1 24
dhcp select global

WXDcsdn
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DHCP snooping解决私接DHCP服务器问题.doc
02-17
通常在一些小型企业中,令大多数工头疼的一件事,就是有一部分员工可能会买一台家用的TP-LINK路由器接入到公司网络中。特别是对于做桌面运维的童鞋应该深有体会,你又不可能不让他接,让他接又可能会导致其他的终端设备不能正确的获取到DHCP服务器分配的ip地址,这是一件令人头疼的事儿,不过,有了DHCP snooping以后,可以很好的解决我们企业违法私接DHCP服务器的问题。
小型园区组方案
weixin_45694481的博客
03-14 4324
1、接入层交换机与核心交换机通过Eth-trunk组保证可靠性; 2、每个部门业务划分到一个vlan中,部门间的业务在核心层上通过vlanif三层互通; 3、核心交换机作为DHCP server,为园区用户分配IP地址; 4、接入交换机配置DHCP snooping功能,防止内用户私接路由器分配IP地址;同时 配置IPSG功能,防止内用户私自更改IP地址。 配置过程: 1、三层交换机配置...
私接路由如何防范?怎样禁止内私接路由器
weixin_34406086的博客
04-28 4419
现在的便携式路由器非常的小巧轻便,而且即插即用,很受大家的喜爱。但是,对于局域管人员来说,这个小东西造成的危害可不小,比如:私接设备绕开管控,占用大量带宽资源。导致IP地址冲突,影响网络正常运行。提供不合法的DHCP服务,使局域其他客户机获取到错误的IP地址。我相信大部分网络管理人员都被它坑过。今天我就来分享下一些常见的解决方案。最根本的解决方法,是在交换机上进行限制...
私接路由器带来的网络故障
weixin_33753003的博客
04-01 1824
今天十号教学楼打来电话说不能上了,而且是整栋楼都不可以了,过去一看老师的电脑获得的IP地址为192.168段的非法地址,第一念头就是这个办公室使用了宽带路由导致获得非法IP地址,但是经过检查发现他们使用的不是宽带路由,而是交换机。这就怪了,那他是如何获得的非法地址呢?经过询问老师,才得知有可能是这栋楼有人使用宽带路由,而这栋楼的接入层交换机有没作任何配置,所以有可能...
路由器DHCP服务器被关闭电脑无法上的解决方法
10-02
主要介绍了路由器DHCP服务器被关闭电脑无法上的解决方法,感兴趣的小伙伴们可以参考一下
员工私接无线路由器,使一部分人无法上如何解决
m0_37906594的博客
04-21 3628
员工A把家里路由器拿来,直接把线接到路由器的lan口了,路由器开启了dhcp服务,致使一部分员工电脑ip地址获取错误无法上路由器的ip为192.168.31.1。品牌为小米路由器。 解决方法: 1.首先在出问题的电脑打开cmd,输入arp -a 得到路由器192.168.1.31的mac地址。 2.一般路由器的wan口mac地址和lan口mac地址前点都是一样的,基本是最后一位不一样。如图这个无线的的mac地址是 ec:41:18:9f:9f:21,复制前几位。 3.登录公司关或路由器的后台,la
企业如何杜绝员工私开热点、私接路由现象?
yuzijiang11111的博客
12-07 6887
随着企业移动化办公需求增加,网络终端准入类型越来越复杂化。因缺乏管理工具,员工私开热点、私接路由现象屡禁不止,不仅给企业运维造成管理负担,还增加了企业信息资产泄漏的风险。
家用路由器企业中的应用及危害
weixin_33953249的博客
11-30 645
家用路由器企业中的应用及危害家用路由器的特点:具有NAT功能;具有DHCP功能;自身有一个内IP,为192.168.1.1或者192.168.0.1;一般WAN口,多个LAN口;无线功能;价格低廉。乱接家用路由器特指:企业中有线插在家用路由器的LAN口家用路由器企业中应用的原因:口不够用,一个屋子有两台PC需要上,却只有一个口;需要wifi,让手机也...
DHCP服务器的使用以及可能出现的问题(图文详细版)
LizimU_0911的博客
02-25 1777
打开与本台电脑连接在同一网络上的另一台虚拟机,右击上邻居—属性—双击本地连接—支持,可以看到地址类型是通过DHCP指派的,但是IP地址在并不是我们刚刚所创建的作用域中,这是因为VMWare有自带的DHCp服务器并会默认开启,同时分配IP地址。添加DNS服务器地址,此处我们可以添加全国通用DNS服务器地址114.114.114.114 , 单击下一步 (此处也可以添加多个,若第一个DNS服务器没有响应,则会自动请求第二个服务器提供服务)设置我们期望的租约,此处我们可以设置为1h , 单击下一步。
公司内有人私自使用DHCP分配地址
ross_liu的博客
03-20 1033
过完年在公司使用路由器和防火墙对公司上外的权限进行管制。我们的路由器艾泰,防火墙是山石科。 在限制外权限以后,发现公司没有手动固定IP电脑并不能收到正确的DHCP。正确的段是192.168.1.2~192.168.1.254。但是我们收到的是IP地址是192.168.21.0---192.168.21.254。这个明显是有问题的。 所以我先咨询了路由器的客服。客服让我查出到底是哪台设备...
私接路由器闹故障.pdf
10-08
私接路由器闹故障.pdf
如何防止家用无线路由器私接办公网络.doc
12-24
相信大多数工都比较头疼一个事儿,就是在公司的时候,总有的同事喜欢弄台家用无线路由器(无线AP)连接到公司网络中,当它把这台设备的ip地址设置为关地址的时候,又不关闭DHCP功能,就可能导致其他的终端设备上不了,那么我们就要来想一下如何防止它私接呢?
“IP协议”阻止私接路由器.pdf
10-08
“IP协议”阻止私接路由器.pdf
通过ping寻找园区中违规私接路由器.
08-01
找出园区中违规私接路由器,避免IP冲突导致局域问题
在ESNP中还原内私接路由器导致用户无法上场景
m0_60444349的博客
07-14 1084
还原内私接路由器场景:IP配置如下:192.168.10.1~192.168.10.254,关:192.168.10.1,暂不保留任何IP地址。(2)模拟场景1配置说明:DHCP SERVER配置:[Huawei]sysname DHCP SERVER[Huawei]dhcp enable Info: The operation may take a few seconds. Please wait for a moment.done.[DHCP SERVER]int Vlanif 1[DHCP SE
DHCP 解决单位网络私接路由器的办法
90挂墙_运程员
10-16 6143
单位有多台华为交换机,核心交换机s9300系列,各楼栋交换机S5700。其中设置2台DHCP服务器一主一备,配置Dhcp-relay。 最近发现有人在办公室误将线插入办公室的家用路由器lan口,并且还开启了家用路由器dhcp,造成该段电脑收到的都是非法的路由器dhcp信息,无法正常上,对办公影响很大。 经查找资料,发现启用交换机的DHCP Snooping功能,直接屏蔽掉那个非法路由器就可以了。 dhcp snooping功能开启后,默认所有端口为非信任口,即忽略掉所有端口发送的dhcp报文。为了能正
企业安全防范系列之三:思科交换机上DHCP Snooping的运用,解决私接路由器导致地址错乱
网络之路Blog(其他平台同名)
03-04 2986
拓扑 DHCP服务在网络中应用很常见,但是也容易被干扰,为什么这么说呢,主要是因为DHCP的机制很简单,而且谁先响应先用谁的,并没有什么验证以及安全机制,这样如果网络中存在多个DHCP服务器的话,那么我们就不能确保内PC能够准确的获取到对应的地址。而且也有攻击软件,能够非常快速的把合法地址池给全部获取完毕,这样内PC获取到的则是攻击者提供的段,比如错误的关,DNS,这样使得更加容易让客户端访问错误的信息。 1、正常情况下DHCP的获取 说明:正常情况下由三层交换机来提供DHCP地址服...
华为S5700 防止私接路由器
qq_33876106的博客
05-17 3889
华为S5700 防止私接路由器 使用DHCP Snooping功能 使用全局DHCP Snooping功能。 [Switch] dhcp enable [Switch] dhcp snooping enable 使能用户侧接口的DHCP Snooping功能。 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/...
解决内出现伪DHCP服务器(一半是私接无线路由器),导致部分用户获取错误IP地址而无法正常使用网络开展业务
autop500的博客
07-29 2681
情况:分公司员工报障,网络无法访问,给了一个vnc的地址截图: 环境: 1. 外地分子公司的故障,需要远程连接排障; 2.报障人员不懂网络,啥啥不懂不明白. 解决思路:根据用户截图里的地址判断内存在另一台DHCP服务器(因为公司统一用的是 A类私地址),需要找出这个DHCP服务器mac地址并禁掉. -------------------伪DHCP端处理---------------------------- 1>登陆内交换机,在用户的办公vla...
在锐捷路由器中怎么给vlan配置dhcp,命令是什么
最新发布
05-26
在锐捷路由器中,可以通过以下命令给 VLAN 配置 DHCP: 1. 进入 VLAN 配置模式: ``` config vlan vlan-id ``` 2. 启用 VLAN 的 DHCP 服务: ``` dhcp enable ``` 3. 配置 DHCP 池的地址范围: ``` dhcp pool ip-pool-name network ip-address/subnet-mask ``` 其中,ip-pool-name 是 DHCP 池的名称,ip-address 是 DHCP 分配的地址范围起始地址,subnet-mask 是子掩码。 完整的命令示例: ``` config vlan 10 dhcp enable dhcp pool vlan10-pool network 192.168.10.0/24 ``` 这样就给 VLAN 10 配置了 DHCPDHCP 服务器会分配 192.168.10.0/24 子内的 IP 地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值