題 較低級別的網絡是否可以為更高級別的網絡提供IP地址?以及如何防止這種情況?


對不起我的模糊標題,我對網絡知之甚少。所以今天我的網絡出現了一個非常奇怪的問題,就像這樣:

我的網絡: 從互聯網→我的Wi-Fi路由器→“黑匣子”(“黑匣子”意味著一條電纜從LAN端口組離開我的Wi-Fi路由器,去某個地方,我無法訪問該網絡,我不知道那裡發生了什麼

我的電腦和手機連接到我的Wi-Fi路由器(因此標題中的較高級別網絡表示此網絡,而較低級別的網絡表示“黑匣子”)。

通常我的設備有這樣的IP地址:

  • 我的Wi-Fi路由器192.168.197.1
  • 我的電腦192.168.197.101
  • 我的手機192.168.197.102

今天他們改變了,我的手機IP地址變了 192.168.21.106,我的PC IP地址變為 192.168.21.107

因為我認為不知何故“黑匣子”部分與我的網絡衝突了 192.168.21.x 來自“黑匣子”,它為我的設備提供IP地址,所以我決定嘗試設置 靜態IP地址 對於我的電腦和我的手機返回其正常的IP地址(他們選擇一個特定的IP地址的力量)它工作,我可以再次連接到互聯網。

所以我的問題是“較低級別的網絡是否可以為更高級別的網絡提供IP地址?”。我覺得很奇怪,因為我認為“奴隸”網絡不會像這樣影響/破壞“主”網絡,所以它會導致另一個問題“如何確保我的網絡是一個真正的主從?”或製作確定更高級別的網絡永遠不會從其他任何地方獲得IP地址,但主路由器?“

我應該添加的另一件事,我稱之為“黑匣子”,因為我認為我的網絡應該適用於任何網絡設置或發生在“黑匣子”中,所以我不喜歡解決方案如關閉/禁用DHCP“黑匣子“太多了。

編輯:我有兩個證據告訴我,“黑匣子”是問題所在。一個是當我拔下連接到“黑匣子”的電纜時, 192.168.21.x 一切都恢復正常,兩個是我將PC設置為IP地址時 192.168.21.107 (來自“黑匣子”的IP地址)我可以連接到 192.168.21.1,它是Wi-Fi路由器(不是我的)的管理網站。


4
2018-01-20 00:16


起源


你檢查過wifi路由器的設置有沒改變? - DRP
是的,我檢查過,我的wifi路由器設置仍然相同,我找不到任何與之相關的內容 192.168.21.x - Pham Thanh
如果您不知道它在哪里以及另一端是什麼,為什麼該電纜連接到您的LAN? - kasperd
@kasperd任何理智的網絡管理員都會在想到這樣的事情時畏縮不前。 - jbowman
@kasperd當然我知道誰使用那種電纜,我只是想強調我不知道他們的設置是什麼,我想我不需要知道,我的網絡應該很好,無論他們的設置如何。我認為這個問題是我網絡的安全漏洞,因為他們可以隨時破壞我的網絡:( - Pham Thanh


答案:


如果有兩個或更多DHCP服務器,那麼首先回答您的查詢的服務器將“獲勝”。您的計算機或任何其他設備沒有“更高級別網絡”的概念,直到它獲得自身的IP地址並學習網絡掩碼和網關的IP地址 - 但除非您使用靜態設置,否則這些信息來自(任何)DHCP服務器。

如果您的路由器能夠過濾在LAN端口之間傳輸的數據包,它可以過濾掉不需要的DHCP通信。但很可能所有的LAN端口都構成了硬件交換機或集線器,您無法將這些端口與路由器的軟件防火牆分開。 LAN和Wi-Fi之間的通信可能在軟件級別上進行橋接,理論上您可以對其進行過濾。

在路由器和網絡的“黑匣子”部分之間插入正確配置的防火牆(額外設備)將過濾不需要的DHCP通信。

您尋求的是“阻止惡意DHCP”。一種方法是將受影響設備上的本地防火牆設置為僅接受來自路由器的DHCP提供的MAC地址,或者至少通過其MAC地址阻止已知的惡意DHCP。

在這種情況下,分配獨立於DHCP的靜態IP地址是一個非常理智的解決方案。仍然,識別惡意DHCP服務器,切斷它們或使它們停止更好。


6
2018-01-20 01:05



感謝給我正確的搜索詞,但在搜索了一下之後我發現塊流氓DHCP需要相當昂貴的硬件,如思科交換機,我找不到任何與我的廉價wifi路由器上阻止流氓DHCP有關(TP-Link WR841) - Pham Thanh
對於簡單的錯誤配置/不匹配的網絡而言,“阻止胭脂DHCP”非常險惡。 - jdwolf
為什麼您的DHCP服務穿著化妝品? (換句話說,我無法糾正單個字母錯字。) - T.J.L.
@ T.J.L。大聲笑。凌晨2點(在我的時區)用外語寫作給出了有趣的效果。我認為現在已修復。 - Kamil Maciorowski


DHCP在進行發現時依賴於IP廣播。權威DHCP將始終回答這些請求。這意味著如果您在同一網段上有多個它們,那麼您將獲得DHCP獲取網絡所有權之間的不可預測行為。如果DHCP是非權威的,它將僅回答其子網上的請求。

因此,您和您的黑客朋友可以同意使用單獨的IP子網並使用非權威的DHCP。或者您需要一個託管交換機來阻止與該網絡端口之間的廣播。

另請注意,當我說管理型交換機時,您的路由器也是一個交換機,如果它具有vlan功能,它也是一個管理型交換機。


4
2018-01-20 01:12





還有其他東西正在分配IP地址。如果網絡上的兩個設備正在為兩個單獨的IP子網DHCP池提供服務,則會出現意外結果。

聽起來這個神秘的電纜是罪魁禍首。嘗試斷開連接,看看更新的IP地址是否恢復正常。無論哪個DHCP服務器首先響應,您將最終得到的網絡地址。即,在您的Wi-Fi路由器分配您的IP地址之前,順風正在響應。


4
2018-01-20 00:43



我只是添加了一些“證據”,是的,當我斷開那個神秘的電纜時,問題就消失了。 - Pham Thanh
如果你問,你有權使用這個設備嗎?聽起來他們將這根電纜插入路由器的LAN側。它應該插入wan端口。 wan端口不會嘗試發放ip。 (這假設我們正在談論家用路由器)或者你可以告訴他們關閉他們設備上的DHCP,並使用相同的DHCP池。還有其他選項,比如支持VLAN的交換機可以解決這個問題。 - Tim_Stewart
是的,我也考慮過這一點,我打算這樣做,但該設備的所有者現在不在家。但第二個問題仍然存在,“如何建立一個真正的主從網絡,防止這種問題發生?” - Pham Thanh
您有兩個選項,將神秘設備設置為不同的子網,即192.168.50.x,並確保wan端口連接到您的設備LAN端口。或者你可以配置神秘路由器根本沒有萬向。您可以在網絡IP方案中設置該設備,例如192.168.197.254關閉DHCP,並將LAN側的鏈路連接到神秘路由器的LAN側。希望這可以幫助! - Tim_Stewart
@Tim_Stewart是否應該連接到其他設備的WAN或LAN端口取決於其他設備的配置方式。做NAT的兩層路由器不是一個好主意。最簡單的方法是在其中一個上禁用DHCP,並將下游設備上的LAN端口連接到上游路由器。這樣就可以完全忽略下游設備的所有路由功能。但是,如果某人意外地對下游設備進行了工廠重置,則會發生衝突。 - kasperd