两个不同的局域网互通了怎么办?

先说结论

你这个情况,基本可以100%确定是有人把“内网”和“外网”二层桥接了

而且大概率不是核心设备问题,而是:

  • 某办公室私接了路由器
  • LAN口乱插
  • 小交换机串错
  • “双网口电脑”桥接
  • AP/无线路由器当交换机用了
  • 有人把“内网线”和“外网线”同时插到了一个傻瓜交换机

最终导致:

  • 外网 DHCP 广播进入了内网 VLAN
  • 内网终端拿到了外网地址
  • 两个原本隔离的广播域被打通

这类问题在线上环境里非常常见。

而且这种问题最麻烦的地方在于:

不是“完全断网”,而是“偶发互通”。

很多人能用网,就不会主动报障。

我做企业网络运维时,这种问题最有效的方法不是“满楼找线”,而是:

从 DHCP 广播源 + MAC 地址漂移 + VLAN 异常入口 去反查。

否则你一个人去翻办公室网线,基本等于大海捞针。

为什么会这样

先理解一个关键点:

DHCP 是二层广播。

客户端发送:

DHCP Discover

目标地址:

255.255.255.255

交换机会在同 VLAN 内泛洪。

正常情况下:

  • 内网 VLAN 只能收到内网 DHCP
  • 外网 VLAN 只能收到外网 DHCP

但现在:

内网电脑能收到外网 DHCP。

说明:

两个 VLAN 或两个物理网络,在某个地方被桥接了。

而且是二层互通。

这也是为什么:

  • 内网改 DHCP 后能拿到外网 IP
  • 外网静态 IP 后能访问内网

因为已经不是“三层路由问题”了。

而是:

整个广播域已经被打穿。

具体怎么做(重点)

这里我给你一个企业里真正实用的排查思路。

不要一层层找网线。

效率太低。

应该:

第一步:先定位“哪个交换机口出现异常 MAC”

核心思路:

找“外网 DHCP 服务器”的 MAC 地址。

比如:

display arp

或者:

display mac-address

你会发现:

外网 DHCP 网关 MAC,竟然出现在内网交换机里。

例如:

00e0-fc12-3456

然后:

display mac-address | include 00e0-fc12-3456

你会看到:

GE1/0/24

这时候:

说明外网 MAC 是从这个口学进来的。

这个口就是突破口。

如果你是华为交换机:

可以继续:

display lldp neighbor brief

看这个口下面挂了什么设备。

有时候直接就能看到:

TPLINK
H3C
MERCURY

基本就实锤了。

第二步:检查 MAC 地址漂移(最有效)

这个方法在线上非常好用。

看日志:

display logbuffer | include MAC

或者:

display mac-address flapping

如果有人乱接交换机。

你会发现:

同一个 MAC 地址在多个端口来回漂移。

例如:

MAC flapping detected

这是典型二层环路/乱桥接特征。

尤其:

  • 私接路由器
  • 小交换机串联
  • 无线路由桥接

最容易出现。

第三步:查 DHCP Snooping(企业网络必开)

你这个环境现在最危险的是:

外网 DHCP 已经污染内网。

建议立即开启:

dhcp snooping

华为配置示例:

dhcp enable

dhcp snooping enable

interface GigabitEthernet0/0/24
 dhcp snooping trusted

只有真正 DHCP 服务器所在口设 trusted。

其它办公口:

默认 untrusted。

这样:

即便有人乱接路由器。

DHCP 报文也发不出去。

这招是企业网防私接神器。

第四步:开启端口隔离/ARP防护

很多单位内网最大的问题:

就是接入口完全裸奔。

建议:

开启端口安全

port-security enable

限制 MAC 数:

port-security max-mac-num 2

一个办公室突然冒出几十 MAC。

直接告警。

开启 BPDU 防护

防止员工私接交换机:

stp edged-port enable

stp bpdu-protection

有人乱插交换机。

接口直接 down。

第五步:用“断口法”快速缩小范围(实战非常有效)

如果楼层很多。

最实战的方法:

不是找终端。

而是:

逐层断 uplink。

例如:

  • 先断 5 楼上联
  • 看 DHCP 污染是否消失
  • 再断 4 楼
  • 再缩小到接入交换机

这是企业里最常用的方法。

因为:

广播污染一定会消失。

你只需要找到:

“断哪个 uplink 后恢复正常”。

基本 10 分钟内就能锁定楼层。

第六步:抓 DHCP 包(终极定位)

直接抓:

DHCP Offer

看是谁发的。

Wireshark 过滤:

bootp

重点看:

Option 54
DHCP Server Identifier

里面就是 DHCP 服务器地址。

再反查:

ARP
MAC
交换机接口

一路追。

一定能找到。

常见坑和避坑建议

很多人以为是 VLAN 配错

其实不是。

如果 VLAN 真错了。

一般会:

  • 大面积互通
  • 大面积故障

你这种:

“某层楼偶发”。

99% 是私接。

不要相信“只是接了个路由器”

很多员工会说:

“我就接了个 WiFi。”

但实际上:

他可能:

  • LAN 接 LAN
  • WAN/LAN 混插
  • 开启 DHCP
  • Mesh 回程串错

直接把两个广播域打通。

不要继续裸接办公网络

企业网络必须:

  • DHCP Snooping
  • Port Security
  • BPDU Protection
  • 动态 ARP 防护
  • 接入口 MAC 限制

否则后面:

  • DHCP 污染
  • ARP 欺骗
  • 广播风暴
  • 环路

都会出现。

我实际做项目时发现:

很多公司网络不出事,不是因为设计规范。

而是:

“运气好”。

最后总结

你现在不要去“人工找线”。

正确顺序应该是:

  1. 查外网 DHCP 的 MAC 从哪个口学进来
  2. 查 MAC 漂移
  3. 逐层断 uplink 缩小范围
  4. 抓 DHCP Offer 包
  5. 开启 DHCP Snooping
  6. 开启端口安全

这样效率最高。

而且后面还能彻底杜绝类似问题。

很多企业网络,真正的问题不是设备差。

而是:

接入口没有任何安全控制。

编辑于 2026-05-15 · 著作权归作者所有
相关文章
2026年1月完整版:中国境内跨境电商/独立站/TikTok运营/广告投放/直播/AI工具全套电脑+手机科学上网(网格/代理)教程(保姆级,适合新手到中高阶用户)内网测速工具软件下载免费(小白力荐)解决一个无法上网的问题(由于防火墙引起)ipa下载网站有哪些?指纹浏览器IP质量实测:30天留存率88%怎么做到的?【精选】8款美国家宽VPS推荐汇总-双ISP住宅IP服务器不只是路由器:GL-MT5000,一台全能的家庭安全网关,OpenWrt、2.5G、Docker、轻NAS 全覆盖有什么能下载磁力链接的程序比迅雷下载器良心点?单线复用:iKuai主路由拨号上网并访问桥接后的光猫没有公网IP,我终于把家里的NAS变成了随身硬盘无公网ip,如何实现远程异地高速访问NAS?小白必看:Looking Glass 使用教程,轻松判断 VPS 延迟、丢包与带宽花木云计算美国住宅500M评测:原生ISP+500M大带宽,45元起这三款配置专为跨境业务而生电报群组怎么用群组id找群?五类、超五类、六类、超六类、七类网线区别公司电脑网络连接无法访问网络,部分电脑可以访问局域内网,但不能访问互联网,是什么原因,该如何解决?NAS 双网口到底有啥用?怎么用?极空间NAS双网口的正确打开方式交换机接两个路由,A路由正常,B路由总是掉线怎么办?求日本原生IP?公网IP惨遭回收,难道NAS就该被针对?不要也罢,有这款神器足矣