两个不同的局域网互通了怎么办?
先说结论
你这个情况,基本可以100%确定是有人把“内网”和“外网”二层桥接了。
而且大概率不是核心设备问题,而是:
- 某办公室私接了路由器
- LAN口乱插
- 小交换机串错
- “双网口电脑”桥接
- AP/无线路由器当交换机用了
- 有人把“内网线”和“外网线”同时插到了一个傻瓜交换机
最终导致:
- 外网 DHCP 广播进入了内网 VLAN
- 内网终端拿到了外网地址
- 两个原本隔离的广播域被打通
这类问题在线上环境里非常常见。
而且这种问题最麻烦的地方在于:
不是“完全断网”,而是“偶发互通”。
很多人能用网,就不会主动报障。
我做企业网络运维时,这种问题最有效的方法不是“满楼找线”,而是:
从 DHCP 广播源 + MAC 地址漂移 + VLAN 异常入口 去反查。
否则你一个人去翻办公室网线,基本等于大海捞针。
为什么会这样
先理解一个关键点:
DHCP 是二层广播。
客户端发送:
DHCP Discover目标地址:
255.255.255.255交换机会在同 VLAN 内泛洪。
正常情况下:
- 内网 VLAN 只能收到内网 DHCP
- 外网 VLAN 只能收到外网 DHCP
但现在:
内网电脑能收到外网 DHCP。
说明:
两个 VLAN 或两个物理网络,在某个地方被桥接了。
而且是二层互通。
这也是为什么:
- 内网改 DHCP 后能拿到外网 IP
- 外网静态 IP 后能访问内网
因为已经不是“三层路由问题”了。
而是:
整个广播域已经被打穿。
具体怎么做(重点)
这里我给你一个企业里真正实用的排查思路。
不要一层层找网线。
效率太低。
应该:
第一步:先定位“哪个交换机口出现异常 MAC”
核心思路:
找“外网 DHCP 服务器”的 MAC 地址。
比如:
display arp或者:
display mac-address你会发现:
外网 DHCP 网关 MAC,竟然出现在内网交换机里。
例如:
00e0-fc12-3456然后:
display mac-address | include 00e0-fc12-3456你会看到:
GE1/0/24这时候:
说明外网 MAC 是从这个口学进来的。
这个口就是突破口。
如果你是华为交换机:
可以继续:
display lldp neighbor brief看这个口下面挂了什么设备。
有时候直接就能看到:
TPLINK
H3C
MERCURY基本就实锤了。
第二步:检查 MAC 地址漂移(最有效)
这个方法在线上非常好用。
看日志:
display logbuffer | include MAC或者:
display mac-address flapping如果有人乱接交换机。
你会发现:
同一个 MAC 地址在多个端口来回漂移。
例如:
MAC flapping detected这是典型二层环路/乱桥接特征。
尤其:
- 私接路由器
- 小交换机串联
- 无线路由桥接
最容易出现。
第三步:查 DHCP Snooping(企业网络必开)
你这个环境现在最危险的是:
外网 DHCP 已经污染内网。
建议立即开启:
dhcp snooping华为配置示例:
dhcp enable
dhcp snooping enable
interface GigabitEthernet0/0/24
dhcp snooping trusted只有真正 DHCP 服务器所在口设 trusted。
其它办公口:
默认 untrusted。
这样:
即便有人乱接路由器。
DHCP 报文也发不出去。
这招是企业网防私接神器。
第四步:开启端口隔离/ARP防护
很多单位内网最大的问题:
就是接入口完全裸奔。
建议:
开启端口安全
port-security enable限制 MAC 数:
port-security max-mac-num 2一个办公室突然冒出几十 MAC。
直接告警。
开启 BPDU 防护
防止员工私接交换机:
stp edged-port enable
stp bpdu-protection有人乱插交换机。
接口直接 down。
第五步:用“断口法”快速缩小范围(实战非常有效)
如果楼层很多。
最实战的方法:
不是找终端。
而是:
逐层断 uplink。
例如:
- 先断 5 楼上联
- 看 DHCP 污染是否消失
- 再断 4 楼
- 再缩小到接入交换机
这是企业里最常用的方法。
因为:
广播污染一定会消失。
你只需要找到:
“断哪个 uplink 后恢复正常”。
基本 10 分钟内就能锁定楼层。
第六步:抓 DHCP 包(终极定位)
直接抓:
DHCP Offer看是谁发的。
Wireshark 过滤:
bootp重点看:
Option 54
DHCP Server Identifier里面就是 DHCP 服务器地址。
再反查:
ARP
MAC
交换机接口一路追。
一定能找到。
常见坑和避坑建议
很多人以为是 VLAN 配错
其实不是。
如果 VLAN 真错了。
一般会:
- 大面积互通
- 大面积故障
你这种:
“某层楼偶发”。
99% 是私接。
不要相信“只是接了个路由器”
很多员工会说:
“我就接了个 WiFi。”
但实际上:
他可能:
- LAN 接 LAN
- WAN/LAN 混插
- 开启 DHCP
- Mesh 回程串错
直接把两个广播域打通。
不要继续裸接办公网络
企业网络必须:
- DHCP Snooping
- Port Security
- BPDU Protection
- 动态 ARP 防护
- 接入口 MAC 限制
否则后面:
- DHCP 污染
- ARP 欺骗
- 广播风暴
- 环路
都会出现。
我实际做项目时发现:
很多公司网络不出事,不是因为设计规范。
而是:
“运气好”。
最后总结
你现在不要去“人工找线”。
正确顺序应该是:
- 查外网 DHCP 的 MAC 从哪个口学进来
- 查 MAC 漂移
- 逐层断 uplink 缩小范围
- 抓 DHCP Offer 包
- 开启 DHCP Snooping
- 开启端口安全
这样效率最高。
而且后面还能彻底杜绝类似问题。
很多企业网络,真正的问题不是设备差。
而是:
接入口没有任何安全控制。