私接路由器在企业网的影响范围（DHCP欺骗）

结论：当网络中私接路由器时，如果有划分VLAN情况下，只会影响到与路由器相同VLAN中PC的地址获取，如果无划分VLAN，那么会影响整个网络。

企业网中一般会在核心设备上配置DHCP服务，但在实际使用过程中，有许多部门有各自的需求，会在接入交换机上去接一些路由器设备，这就会导致其他用户获取的ip有可能是私接路由器分发的IP地址。

产生原因：当终端设备发起DHCP DISCOVER报文时，收到报文的DHCP服务器就会回复OFFER报文，然后终端发送DHCP REQUEST报文，DHCP服务器回应ACK报文，但终端会只对于第一个回复报文进行相关回复，这就导致，终端如果收到的是私接路由器的OFFER报文，他就会获得其分配的IP。那么

实验拓扑如下：

LSW1为核心交换机，LSW2为接入交换机、AR1为私接的路由器

核心交换机配置的地址池为：

VLAN 10  172.10.10.0/24

VLAN 20 172.20.20.0/24

VLAN 30 172.30.30.0/24

私接路由器配置地址池为：

192.168.1.0 /24

①

在接入交换机LSW2上配置接口VLAN

e0/0/1和e0/0/2为VLAN 10 

e0/0/3和e0/0/4为VLAN 20

e0/0/5和e0/0/6为VLAN 30

②在核心交换机上开启DHCP、si接路由器开启DHCP

测试：

正常情况下每个PC获取到了核心交换机配置的IP地址段 

①当关闭LSW1（核心交换机）的DHCP功能，即：undo dhcp enable

每个PC都无法获取到地址

②当关闭LSW1（核心交换机）的DHCP功能，且在LSW2上的g0/0/2口配置关联VLAN 20即：私接路由器属于VLAN 20

则：只有在VLAN 20的PC获取到了地址

结论：当网络中私接路由器时，如果有划分VLAN情况下，只会影响到与路由器相同VLAN中PC的地址获取，如果无划分VLAN，那么会影响整个网络。

核心交换配置：

sys
sys CORE_SW_01
vlan batch 10 20 30
int g0/0/1
p l t
p t a v a
dhcp enable
ip pool 10
network 172.10.10.0 mask 24
gateway-list 172.10.10.1
dns-list 61.134.1.4 114.114.114.114
ip pool 20
network 172.20.20.0 mask 24
gateway-list 172.20.20.1
dns-list 61.134.1.4 114.114.114.114
ip pool 30
network 172.30.30.0 mask 24
gateway-list 172.30.30.1
dns-list 61.134.1.4 114.114.114.114
int vlanif 10
ip add 172.10.10.1 24
dhcp select global
int vlanif 20
ip add 172.20.20.1 24
dhcp select global
int vlanif 30
ip add 172.30.30.1 24
dhcp select global

接入交换配置：

sys
sys XIAN_DISTRUBUTE_SW_01
vlan batch 10 20 30
int g0/0/2
p l t
p t a v a
int e0/0/1
p l a
p d v 10
int e0/0/2
p l a
p d v 10
int e0/0/3
p l a
p d v 20
int e0/0/4
p l a
p d v 20
int e0/0/5
p l a
p d v 30
int e0/0/6
p l a
p d v 30

私接路由器配置：

sys
sys ROUTER
dhcp enable
ip pool 100
network 192.168.1.0 mask 24
gateway-list 192.168.1.1
dns-list 61.134.1.4 114.114.114.114
int g0/0/2
ip add 192.168.1.1 24
dhcp select global