在ESNP中还原内网私接小路由器导致用户无法上网场景

已于 2022-08-03 00:15:31 修改
阅读量1.1k 收藏 7
点赞数 1
文章标签: 网络 运维
于 2022-07-14 13:31:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60444349/article/details/125782408
版权
  1. 模拟场景(一)

Switch上使用傻瓜式配置,不划分VLAN管理,只用默认的VLAN1。IP配置如下:192.168.10.1~192.168.10.254,网关:192.168.10.1,暂不保留任何IP地址。某个用户在GE0/0/2接口上私自接入一个启用dhcp功能的小路由器,所提供的DHCP地址范围为192.168.1.0网段。如下面拓扑图:。如下面拓扑图:

DHCP SERVER配置

[Huawei]sysname DHCP SERVER

[Huawei]dhcp enable

[DHCP SERVER]int Vlanif 1

[DHCP SERVER-Vlanif1]ip address 192.168.10.1 24

[DHCP SERVER-Vlanif1]dhcp select global

[DHCP SERVER]ip pool vlan10

[DHCP SERVER-ip-pool-vlan10]gateway-list 192.168.10.1

[DHCP SERVER-ip-pool-vlan10]dns-list 114.114.114.114

Switch配置

[Huawei]sysname Switch

[Switch]dhcp enable

Switch1配置

<Huawei>sys

[Huawei]sysname Switch1

[Switch1]dhcp enable

[Switch1]int vlan1

[Switch1-Vlanif1]ip address 192.168.1.1 24

[Switch1-Vlanif1]dhcp select interface

执行ipconfig /release,然后ipconfig /renew重新获取IP,可以看到终端PC1获取到了ATTACK DHCP上分配的DHCP地址,这就导致用户无法上网,严重点会导致整个局域网断网。

使用wireshark抓包查看客户端请求dhcp地址过程,可以看到客户端使用源地址0.0.0.0发送一个广播包到255.255.255.255,寻找网络的DHCP服务器,如果内网中存在多个DHCP服务器,最先响应客户端的DHCP请求报文的DHCP服务器将负责向客户端发送ack报文,并向客户端分配IP地址。

至于DHCP服务器会向客户端分配哪一个可用的IP地址,首先DHCP服务器会使用网关地址向pool中的地址发送icmp(type 8)请求,确认该IP是可用的。

查看数据包报文信息,显示源地址(Source)为网关,目标地址(Destination)为192.168.1.254,ICMP协议包类型(type)为8,代码(code)为0。

  1. 模拟场景(二)

在Switch交换机上划分VLAN10,所有接口都加入VLAN10中。在DHCP SERVER上启用dhcp功能,为所有计算机终端分发192.168.10.2~192.168.10.254。某个用户在GE0/0/2接口上私自接入一个启用dhcp功能的小路由器,所提供的DHCP地址范围为192.168.1.0网段。如下面拓扑图:

DHCP SERVER配置

在DHCP SERVER上取消pool地址和vlan1接口配置

<DHCP SERVER>sys

[DHCP SERVER]undo ip pool vlan10

[DHCP SERVER]int vlan1

[DHCP SERVER-Vlanif1]undo ip address 192.168.10.1 24

[DHCP SERVER-Vlanif1]undo dhcp select global

创建vlan10

[DHCP SERVER]vlan 10

[DHCP SERVER-vlan10]int vlan10

[DHCP SERVER-Vlanif10]ip address 192.168.10.1 24

[DHCP SERVER-Vlanif10]dhcp select interface

将接口加入vlan10

[DHCP SERVER]int g0/0/1

[DHCP SERVER-GigabitEthernet0/0/1]port link-type access

[DHCP SERVER-GigabitEthernet0/0/1]port default vlan 10

Swithc配置

<Switch>sys

[Switch]vlan 10

[Switch]int vlan10

[Switch-Vlanif10]ip address 192.168.10.2 24

[Switch]interface g0/0/3

[Switch-GigabitEthernet0/0/3]port link-type access

[Switch-GigabitEthernet0/0/3]port default vlan 10

[Switch]interface g0/0/1

[Switch-GigabitEthernet0/0/1]port link-type access

[Switch-GigabitEthernet0/0/1]port default vlan 10

[Switch-GigabitEthernet0/0/1]int g0/0/2

[Switch-port-group-link-type]port link-type access

[Switch-port-group-link-type]port default vlan 10

Switch1配置

<Huawei>sys

[Huawei]sysname Switch1

[Switch1]dhcp enable

[Switch1]int vlan1

[Switch1-Vlanif1]ip address 192.168.1.1 24

[Switch1-Vlanif1]dhcp select interface

查看客户端PC1获取地址信息

执行ipconfig /release,然后ipconfig /renew重新获取IP,可以看到终端PC1获取到了ATTACK DHCP上分配的DHCP地址,这就导致用户获取到错误的IP地址而无法上网,如果有多个用户都从此路由器获取到IP地址,将会导致整个局域网断网。

3.如何排查小路由器接到内网的那个交换机上?

在受影响用户的交换机上进行抓包确认源192.168.1.1是从那个交换机接入的,如这里的Switch。在受影响终端PC5执行ipconfig /release释放IP地址,然后ipconfig /renew重新获取。在主机上可以看到以下dhcp ACK包信息,可以看到4c1f-cca4-7f49为192.168.1.1网关的MAC地址,5489-98b0-5142为终端PC5的MAC地址。

继续在Switch上执行display mac-address查看4c1f-cca4-7f49是从那个接口学习到的显示是从接口GE0/0/2上学习到的,现在大概知道路由器是在那里了,先看下有没标签,这样就能快速找到设备在哪里,是谁接入的。如果没有标签可以先将线拨下或者关闭该端口,最后坐等对方上门

最后,在Switch1交换机上执行display interface GigabitEthernet查看接口对应的MAC地址

提示:以上均需要在可网管交换机上才能执行。非网管交换机上只能先到受影响用户所在交换机上拨线,然后观察看看,如果没有效果,就要到汇聚或核心上进行拨线。

文件皆一印
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
esnp安装资源(含CE设备包、setup程序)
04-24
esnp安装资源(含CE设备包、setup程序)
使用eNSP简单的连接路由器两端的网段.docx
06-13
该资源讲述了eNSP最简单的使用。该资源讲述了如何给路由器的端口配置网关以及用静态IP来连通路由器划分的网段。
私接路由器导致部分终端(电脑、手机等)无法上网问题分析
最新发布
lehe99的专栏
06-27 962
DHCP-Snooping用在交换机 上,作用是屏蔽接入网络的非法的 DHCP 服务器。DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。 在交换机SW上配置Snooping信任端口,解决私接路由器导致办公网部分终端无法上网问题。
员工私接无线路由器,使一部分人无法上网如何解决
m0_37906594的博客
04-21 3915
员工A把家里路由器拿来,直接把网线接到路由器的lan口了,路由器开启了dhcp服务,致使一部分员工电脑ip地址获取错误无法上网路由器的ip为192.168.31.1。品牌为小米路由器。 解决方法: 1.首先在出问题的电脑打开cmd,输入arp -a 得到路由器192.168.1.31的mac地址。 2.一般路由器的wan口mac地址和lan口mac地址前点都是一样的,基本是最后一位不一样。如图这个无线的的mac地址是 ec:41:18:9f:9f:21,复制前几位。 3.登录公司网关或路由器的后台,la
私接路由器带来的网络故障
weixin_33753003的博客
04-01 1937
今天十号教学楼打来电话说不能上网了,而且是整栋楼都不可以了,过去一看老师的电脑获得的IP地址为192.168网段的非法地址,第一念头就是这个办公室使用了宽带路由导致获得非法IP地址,但是经过检查发现他们使用的不是宽带路由,而是交换机。这就怪了,那他是如何获得的非法地址呢?经过询问老师,才得知有可能是这栋楼有人使用宽带路由,而这栋楼的接入层交换机有没作任何配置,所以有可能...
eSNP实验
AKUANer的博客
08-06 2402
两台PC之间ping 设置如下 PC5命名为PC1, PC6命名为PC2 第一次使用PC1pingPC2的时候,对PC1端口抓包 PC>ping 192.168.2.2 Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break From 192.168.2.2: bytes=32 seq=1 ttl=128 time=16 ms From 192.168.2.2: bytes=32 seq=2 ttl=128 time<1 ms Fro
基于华为eNSP的小企业办公园区/校园网络规划与设计
10-18
本文通过在华为eNSP部署路由器、交换机以及防火墙等网络设备以及运用多种计算机网络协议和技术。在设计原则以及设计需求的前提下,对企业办公园区进行网络规划设计,其分为两大部分,一部分是进行网络拓扑结构搭建...
路由器/网线接口不够用的三种解决方法介绍
10-01
然而,许多家庭和小型办公室的路由器默认提供的网线接口数量有限,一般只有四个LAN口,这在计算机数量多于四台时,便无法满足联网的需求。因此,当路由器/网线接口不够用时,我们就需要采取一些措施来扩展网络接口。...
ENSP小企业仿真模拟
06-28
在ENSP,用户可以创建虚拟路由器,并对其进行详细配置,包括接口设置、路由协议、安全策略等。这个文件很可能是包含了整个网络拓扑和配置的具体信息,可以通过ENSP导入来复现描述网络环境。 总结来说,这个...
使用eNSP搭建小型园区网
06-20
使用交换机、路由交换机(三层交换机)、路由器构建园区网,并通过部署DHCP服务器为用户主机自动分配IP地址。 二、知识储备: 1.交换机及其工作原理。 2.VLAN的基本概念、划分方法及VLAN内跨越交换机通信原理。 3....
华为 eNSP 最新版
04-25
eNSP V100R002C00B510 Setup (2017.12.29) eNSP V100R003C00SPC100 (2019.3.08) eNSP是图形化网络仿真平台,该平台通过对真实网络设备的仿真模拟,帮助广大ICT从业者和客户快速熟悉华为数通系列产品,了解并掌握相关产品的操作和配置、提升对企业ICT网络的规划、建设、运维能力,从而帮助企业构建更高效,更优质的企业ICT网络。 重要说明:使用eNSP进行网卡绑定时,请务必不要绑定公共网络使用的网卡,否则可能会引起(如华为桌面云)动态地址池内网络故障,华为内部用户会涉及安全违规。
eNSP_Client.exe
10-09
链接:https://pan.baidu.com/s/1Yw9_Vim25ktEO2xULgVBpA 提取码: 复制这段内容后打开百度网盘手机App,操作更方便哦
esnp综合实验
weixin_54225453的博客
07-07 1077
题目要求: 1、R5为ISP,只能进行ip地址配置;其所有接口配置为公有ip地址 2、R1与R5间使用PPP的PAP认证,R5为主认证方;R2与R5间使用PPP的chap认证,R5为主认证方;R3与R5间使用HDLC封装 3、R1/2/3构建一个MGRE环境,R1为心站点;R1/4间为点到点GRE 4、整个私有网络基于RIP全网可达 5、所有路由器基于环回私有地址为源ip时,可以正常访问R5环回 搭建拓扑图: 首先配置每台路由器的IP地址(不详写) 1.R1和R5之间的PPP认证,R5为主认证方 R
使用esnp接入互联网
l_s_k的博客
04-20 606
拓扑图 在此基础上搭建 配置cloud 配置R1 <R1>system-view [R1]interface GigabitEthernet 0/0/2 [R1-GigabitEthernet0/0/2]ip address 192.168.10.9 24 [R1-GigabitEthernet0/0/2]quit [R1]ip route-static 0.0.0.0 0 1...
ESNP实验 讲解二层通信和三层通信
计算机网络技术
09-10 568
二层通信直接封装数据包,在同一个广播域内通信。
esnp华为模拟器下载
m0_60389653的博客
11-12 565
下载地址:百度网盘 请输入提取码 提取码:47dx
esnp基础练习
yanngbark的博客
04-21 994
I.构建单臂路由 上图为topo图 PC6: IP=192.168.30.20 GATEWAY=192.168.30.1 NETMASK=255.255.255.0 PC9: IP=192.168.74.8 GATEWAY=192.168.74.1 NETMASK=255.255.255.0 //此时PC6与PC9无法互通 1.进入SW配置 <Huawei>sys [Huawei]s...
esnp 仿真软件
wm524585709的专栏
04-02 744
华为官方的eNSP学习论坛网站:http://support.huawei.com/huaweiconnect/enterprise/forum-753.html 51CTO入门免费视频学习网站:http://edu.51cto.com/course/course_id-3155.html 路由器的基本指令 <HuaWei>sys #进入到管理员配置模式,按下Ctrl+Z...
ensp路由器变成二层接口
07-28
对于将ENSP路由器转换为二层接口,您可以按照以下步骤进行操作: 1. 首先,确保ENSP已经创建了一个路由器设备,并且已经连接到至少一个交换机设备。 2. 在ENSP的拓扑视图,选择要将路由器转换为二层接口的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值