如何解决局域网多路由导致不能上网的问题

北京哪家医院白癜风 http://www.bdfyy999.com/m/

前段光阴一个伙伴问询，他家时时性呈现电脑猎取到局域网内其他内网路由器的ip地方致使不能上钩，他家农村造了大屋子，波及大概20个房客，他这儿请求一根上钩宽带，每户家里都各自装置了路由器，集体经过这根宽带实行上钩，时时就会呈现ip地方与总出口路由地方龃龉、电脑猎取到内网其他路由器地方等致使无奈上钩等形势。后来经过一根根拔网线的法子才找到致使地方龃龉的路由器，改动掉那台路由器的摆设才束缚。那有没有对比好的计划去束缚这一形势呢？那必定是有的。

一、利用帮助PPPoE效劳器的路由器，全部的房客都利用PPPOE的方法实行拨号上钩，经过PPPoE能够提防ARP欺诈，同时为客户端统一分派IP以及DNS等参数，灵验防备了静动态IP方法因地方龃龉也许参数摆设不妥致使无奈造访外网的题目。如今商场上有许多这类路由器，家用的话网上就有许多款帮助PPPoE效劳器的路由器，像华为、TP-LINK、水星等大部份品牌全有，直接搜查PPPoE效劳器路由就可以够搜查出来许多，出租房倒能够取舍帮助web界面这便利的路由器实行束缚，摆设起来对比便利，懂一下网络便利常识的就可以实行摆设。部份园区租借办公室能够遵循上钩人数等须要取舍企业级设施。

路由器创造PPPOE拨号实例（利用华为ENSP实行摹拟实习）

PPPOE_server摆设:

Huaweisys//进?系统视图

[Huawei]sysnameAR1//改动设施称号

[AR1]ippoolpppoe//创造地方池

[AR1-ip-pool-pppoe]network.17..0mask24//摆设地方池?络

[AR1-ip-pool-pppoe]gateway-list.17..1//摆设地方池?关

[AR1-ip-pool-pppoe]qu

[AR1]interfaceVirtual-Template1//创造假造接?virtual-template1

[AR1-Virtual-Template1]pppauthentication-modechap//摆设接?ppp协定加密?式为chap

[AR1-Virtual-Template1]ipaddress.17..//摆设假造接?IP，与?关一致

[AR1-Virtual-Template1]remoteaddresspoolpppoe//绑定pppoe地方池

[AR1-Virtual-Template1]qu

[AR1]interfaceGigabitEthernet0/0/1//投入出接口摆设

[AR1-GigabitEthernet0/0/1]pppoe-serverbindvirtual-template1//物理接?绑定假造接?virtual-template1

[AR1-GigabitEthernet0/0/1]aaa　　

[AR1-aaa]local-userhuaweipasswordcipher//创造PPPOE拨号用户名及暗号

[AR1-aaa]local-userhuaweiservice-typeppp//摆设此用户的效劳表率

PPPOE_client摆设:

Huaweisys//进?系统视图

[Huawei]sysnameAR2//改动设施称号

[AR2]dialer-rule//进?dialer-rule视图

[AR2-dialer-rule]dialer-rule1ippermit//同意ip流量触发拨号

[AR2-dialer-rule]qu

[AR2]interfaceDialer1//创造进?dialer1接?

[AR2-Dialer1]dialeruserhuawei//摆设?户对端?户名，这个即是拨号账号的用户名

[AR2-Dialer1]dialer-group1//将接?置于?个拨号造访组

[AR2-Dialer1]dialerbundle1//指定dialer1接?的编号，端口绑定是须要用到

[AR2-Dialer1]pppchapuserhuawei//植入PPPOE拨号账号

[AR2-Dialer1]pppchappasswordcipher//植入PPPOE拨号暗号

[AR2-Dialer1]dialertimeridle//摆设按需pppoe拨号的空暇光阴

[AR2-Dialer1]ipaddressppp-negotiate//同意接口实行IP地方洽商

[AR2-Dialer1]qu

[AR2]interfaceGigabitEthernet0/0/0//投入出接口摆设

[AR2-GigabitEthernet0/0/0]pppoe-clientdial-bundle-number1//拨号接?绑定到物理出接口

[AR2-GigabitEthernet0/0/0]qu　　

[AR2]disipinterfacebrief//可观察拨号胜利后端口猎取的IP地方,能够看到Dialer1猎取的IP地方为.17..

[AR2]dhcpenable//开启路由器dhcp

[AR2]interfaceGigabitEthernet0/0/1//投入下连接口摆设

[AR2-GigabitEthernet0/0/1]ipaddress..1.//摆设接口ip地方

[AR2-GigabitEthernet0/0/1]dhcpselectinterface//开启接口DHCP

[AR2-GigabitEthernet0/0/1]qu

[AR2]acl//摆设简略acl准则

[AR2-acl-basic-]rule10permitsource..1.00.0.0.//摆设同意..1.0?段经过

[AR2-acl-basic-]qu

[AR2]interfaceDialer1//进?ppp端?

[AR2-Dialer1]natoutbound//接口挪用acl准则

[AR2-Dialer1]qu

接下来咱们实行一下测试：

PC1经过AR2路由器DHCP主动猎取的IP地方为..1.

经过PC1造访PPPOE_client网关曾经能够ping通

二、利用DHCPSnooping束缚网络中存在犯科DHCP效劳器，电脑猎取到犯科DHCP效劳器的地方致使不能上钩。

DHCPSnooping是DHCP的一种平安个性，要紧运用在替换机上，效用是樊篱接入彀络中的犯科的DHCP效劳器。开启DHCPSnooping性能后，网络中的客户端惟独从治理员指定的DHCP效劳器猎取IP地方，DHCPSnooping会对客户端和效劳器之间的DHCP报文实行剖析和过滤。经过正当的摆设完成对犯科效劳器的过滤，防备用户端猎取到犯科DHCP效劳器供给的地方而无奈上钩。比方：咱们网络中有台电脑，IP地方利用DHCP主动猎取，恰巧上联替换机上承接有开启DHCP的路由器或DHCP效劳器，电脑就很简略猎取到这台路由器的地方而与理论须要承接上钩的路由断开，致使不能上钩。咱们在这台上连接入替换机上安排DHCPSnooping性能，将替换机上的端口摆设为笃信(Trust)和非笃信(Untrust)形态，替换机只转发笃信端口的DHCPOFFER/ACK/NAK报文，丢弃非笃信端口的DHCPOFFER/ACK/NAK报文，进而到达阻断犯科DHCP效劳器的方针。即是把咱们须要承接上钩路由器的端口摆设为笃信端口，其他端口摆设为非笃信端口，如此咱们就不会猎取到犯科的DHCP设施上的IP地方了。

替换机摆设DHCPSnooping实例（利用华为ENSP实行摹拟实习）

摆设：

AR1：

Huaweisys//投入系统视图

[Huawei]undoinfo-centerenable//阻塞消息中央

[Huawei]sysnameAR1//重定名为AR1

[AR1]dhcpenable//开启路由器dhcp

[AR1]interfaceGigabitEthernet0/0/1//投入G0/0/1接口摆设

[AR1-GigabitEthernet0/0/0]ipaddress..1.//摆设接口IP地方

[AR1-GigabitEthernet0/0/0]dhcpselectglobal//接口开启全部dhcp

[AR1-GigabitEthernet0/0/0]quit//退出

[AR1]ippooldhcp//创造地方池dhcp

[AR1-ip-pool-office]network..1.0mask24//地方池网段

[AR1-ip-pool-office]gateway-list..1.1//摆设网关地方

[AR1-ip-pool-office]dns-list8.8.8....//摆设DNS地方

[AR1-ip-pool-office]leaseday5//租期5天

AR2：

Huaweisys//投入系统视图

[Huawei]undoinfo-centerenable//阻塞消息中央

[Huawei]sysnameAR2//重定名为AR2

[AR2]dhcpenable//开启路由器dhcp

[AR2]interfaceGigabitEthernet0/0/1//投入G0/0/1接口摆设

[AR2-GigabitEthernet0/0/0]ipaddress..2.//摆设接口IP地方

[AR2-GigabitEthernet0/0/0]dhcpselectglobal//接口开启全部dhcp

[AR2-GigabitEthernet0/0/0]quit//退出

[AR2]ippooldhcp//创造地方池dhcp

[AR2-ip-pool-office]network..2.0mask24//地方池网段

[AR2-ip-pool-office]gateway-list..2.1//摆设网关地方

[AR2-ip-pool-office]dns-list8.8.8....//摆设DNS地方

[AR2-ip-pool-office]leaseday5//租期5天

Huaweisys

[Huawei]sysnameLSW1　　

[LSW1]undoinfo-centerenable

[LSW1]dhcpenable//开启替换机dhcp

[LSW1]dhcpsnoopingenable//开启dhcpsnooping效劳

[LSW1]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/3//创造常设组并叫端口参预来常设组，用于批量摆设端口

[LSW1-port-group]dhcpsnoopingenable//批量开启端口dhcpsnooping效劳

[LSW1-port-group]qu//退出端口组

[LSW1]interfaceGigabitEthernet0/0/1//投入接口摆设

[LSW1-GigabitEthernet0/0/1]undodhcpsnoopingenable//先节略端口下摆设的dhcpsnooping效劳

[LSW1-GigabitEthernet0/0/1]dhcpsnoopingtrusted//摆设此端口为笃信端口，惟独这个端口分派的IP地方才会接纳

测试PC1猎取的地方为..1.，为AR1分派的地方。

上面为了测试PC1能不能猎取到AR2的ip地方，咱们取舍把LSW1上的GigabitEthernet0/0/1直接shutdown。看PC1会不会猎取到AR2上分派的地方。

[LSW1]interfaceGigabitEthernet0/0/1　　

[LSW1-GigabitEthernet0/0/1]shutdown

测试PC1直接无奈猎取到IP地方了。

预览时标签不成点收录于合集#个

转载请注明：http://www.0431gb208.com/sjszlff/1092.html