请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
楼主: YilinChen

【原创故障案例分享】企业内网私接设备导致无法上网

[复制链接]
发表于 2018-3-27 10:28:35 | 显示全部楼层 |阅读模式
     通常企业内部办公网络,原则上不充许员工自带网络设备(如家用无线路由器/无线WIFI等)私自接入办公网内,也在员工手册上有明确提醒;不过,林子大了,什么鸟都有,总有小伙伴为了自己方便,私接设备;以前在单位里就碰到过这样的事情,分享一下如何通过技术手段快速定位故障点。

     某日,一新入职员工反馈无法上网,询问后发现他电脑获取的IP地址网段为192.168.1.X/24,这时,需要明确2点情况:
     1,其它人可正常上网,
     2,目前只有一人反馈问题,
     所以最大的可能性,就是有人私接网络设备,且该设备DHCP功能开启,刚好有人获取到了192.168.1.X/24 的私网IP;

     解决办法:
     第一步,直接使用出现问题的电脑,查看DHCP获取到的网关IP,发现可以PING通,使用浏览器尝试登陆,果然出现了登陆页面,尝试用admin/root 一类的默认密码进行登陆,但未能成功,说明默认账号密码已被修改了;
    第二步,通过有问题的电脑,记录下网关IP的MAC地址,和问题电脑本身的MAC,同时,记录下有问题电脑工位对应的信息点编号;
    第三步,登陆办公网核心交换机,查找MAC地址,通过管道符进行过滤匹配,找到问题电脑所属的接入交换机下行口,再登陆到相应的接入交换机上,继续通过查看MAC地址,过滤私接设备的MAC地址;果然发现了 私接设备MAC地址对应的 接口;登陆到该接口,直接SHUTDOWN;等着某人来找你反馈不能上网的问题吧

其它,通过全网开启DHCP SNOOPING功能,可以规避掉上述碰到问题,建议在网络建设实施时,就一并配置上去;

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (7 评价)
发表于 2018-3-27 11:00:43 | 显示全部楼层
问下,如果DHCP是使用的是思科的交换机做的,那DHCP SNOOPING该如何做??
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-3-27 11:46:43 | 显示全部楼层
wuleihen 发表于 2018-3-27 11:00
问下,如果DHCP是使用的是思科的交换机做的,那DHCP SNOOPING该如何做??

接入交换机的access口开启dhcp snooping,交换机的uplink口开启trust
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-27 11:50:34 | 显示全部楼层
本帖最后由 maguanghua2013 于 2018-3-27 11:55 编辑

实施的时候有条件就一定要开启dhcp snooping/dhcp source guard/ARP检测,分别对应非法dhcp server,dhcp恶意请求IP,手动配置IP……公司大了真是什么样的人都有,开启这仨能给网络维护省不少事。经历过的人应该都能懂吧……
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-29 20:49:10 | 显示全部楼层
能否把思科的查询过程和命令共享出来
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-3-29 21:17:01 | 显示全部楼层
关键性命令只有一个: show mac-address-table | in xxxx-xxxx-xxxx
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-30 11:43:00 | 显示全部楼层
私接路由器是个严重的问题,一般情况下要配置DHCP  SNOOPING ,  还有就是不要用192.168.XX 网段比较好
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-4-4 14:29:20 | 显示全部楼层
ip dhcp snooping

interface GigabitEthernet0/0
switchport mode trunk
ip dhcp snooping trust

interface GigabitEthernet0/1
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping limit rate 8

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-6-17 11:09:05 | 显示全部楼层
很好 学习了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-7-5 09:51:44 | 显示全部楼层
wuleihen 发表于 2018-3-27 11:00
问下,如果DHCP是使用的是思科的交换机做的,那DHCP SNOOPING该如何做??

你好 这个 DHCP Snooping  在 思科那本 CCNP交换学习指南  的书上  有原理和配置,看一下就懂了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-12-13 03:34 , Processed in 0.101232 second(s), 52 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表