Возможно ли, что сеть более низкого уровня может предоставлять IP-адреса для сети более высокого уровня? И как это предотвратить?

Question

Извините за мой непонятный заголовок, я не очень разбираюсь в сетях. Итак, сегодня у меня действительно странная проблема с моей сетью, вот так:

Моя сеть: из Интернета → мой маршрутизатор Wi-Fi → "черный ящик" ("черный ящик" означает, что один кабель выходит из моего Wi-Fi-маршрутизатора из группы портов LAN, идет куда-то, и у меня нет доступа к этому сеть, я не знаю, что там происходит)

Мой ПК и сотовый телефон подключаются к моему маршрутизатору Wi-Fi (поэтому в названии сеть более высокого уровня означает эту сеть, а сеть более низкого уровня означает "черный ящик").

Обычно мои устройства имеют такие IP-адреса:

• Мой Wi-Fi роутер: 192.168.197.1
• Мой компьютер: 192.168.197.101
• Мой мобильный телефон: 192.168.197.102

Сегодня они изменились, и IP-адрес моего телефона стал 192.168.21.106 , а IP-адрес моего компьютера изменился на 192.168.21.107 .

Поскольку я думаю, что часть "черного ящика" каким-то образом конфликтует с моей сетью, 192.168.21.x происходит из "черного ящика" и предоставляет IP-адреса для моих устройств, поэтому я решил попробовать установить статический IP-адрес для своего ПК и мой телефон вернулись с обычным IP-адресом (в силу того, что они выбирают один конкретный IP-адрес), и он работает, я снова могу подключиться к Интернету.

Поэтому мой вопрос: «Возможно ли, что сеть более низкого уровня может предоставить IP-адреса для сети более высокого уровня?». Я чувствую себя действительно странно, потому что я не думаю, что "подчиненная" сеть может повлиять на /"саботировать" "основную" сеть, подобную этой, поэтому возникает другой вопрос: «Как я могу убедиться, что моя сеть является настоящим ведущим или ведомым?», Или сделать Вы уверены, что сеть более высокого уровня никогда не получает IP-адреса откуда-либо еще, кроме основного маршрутизатора?».

Еще одну вещь, которую я должен добавить, я называю это "черным ящиком", потому что я думаю, что моя сеть должна работать с любыми сетевыми настройками или происходить в "черном ящике", поэтому мне не нравится такое решение, как отключение / отключение DHCP ». Черный ящик "слишком много.

РЕДАКТИРОВАТЬ: я получил два доказательства, которые говорят мне, что "черный ящик" является проблемой. Во-первых, когда я отсоединяю кабель, который подключается к "черному ящику", 192.168.21.x пропадает, все возвращается в норму, и во-вторых, когда я устанавливаю на своем ПК IP-адрес 192.168.21.107 (IP-адрес от "черный ящик") Я могу подключиться к 192.168.21.1 , и это веб-сайт управления маршрутизатором Wi-Fi (не мой).

Answer 1

Если есть два или более DHCP-сервера, тот, который первым ответит на ваш запрос, будет "выиграть". Ваш компьютер или любое другое устройство не имеет понятия "сеть более высокого уровня" или около того, пока не получит IP-адрес для себя и не узнает маску сети и IP-адрес шлюза - но если вы не используете статические настройки, эта информация поступает из ( любой) DHCP сервер.

Если ваш маршрутизатор смог отфильтровать пакеты, проходящие между портами LAN, он мог бы отфильтровать нежелательную связь DHCP. Но, скорее всего, все порты локальной сети образуют аппаратный коммутатор или концентратор, и вы не можете разделить эти порты программным брандмауэром маршрутизатора. Связь между локальной сетью и Wi-Fi, вероятно, соединена на программном уровне, и теоретически вы можете отфильтровать ее.

Правильно настроенный межсетевой экран (дополнительное устройство), вставленный между вашим маршрутизатором и частью "черного ящика" сети, будет фильтровать нежелательную связь DHCP.

То, что вы ищете, называется "блокировка мошеннического DHCP". Один из способов - установить локальные брандмауэры на уязвимых устройствах так, чтобы они принимали предложения DHCP от вашего маршрутизатора только по его MAC-адресу или, по крайней мере, блокировали известный мошеннический DHCP по его MAC-адресу.

• Блокировка мошеннического DHCP в сети
• pfsense: блокировка второго DHCP-сервера

Назначение статических IP-адресов, независимых от DHCP, является вполне разумным решением в такой ситуации. Тем не менее, лучше идентифицировать несанкционированные DHCP-серверы, отключить их или заставить их остановиться.

Answer 2

Что-то еще назначает IP-адреса. Если два устройства в сети обслуживают два отдельных пула DHCP IP-подсети, вы получите неожиданные результаты.

Похоже, этот загадочный кабель является виновником. Попробуйте отключить его и посмотреть, вернутся ли обновленные IP-адреса в нормальное состояние. Какой бы сервер DHCP ни ответил первым, это то, с какими сетевыми адресами вы будете работать. То есть, что-то ответное по ветру реагирует до того, как маршрутизатор Wi-Fi назначит ваши IP-адреса.

Answer 3

DHCP использует широковещательную рассылку IP при обнаружении. Авторитетный DHCP всегда ответит на эти запросы. Это означает, что если у вас более одного из них в одном и том же сегменте сети, вы получите непредсказуемое поведение, при котором DHCP становится владельцем сети. Если DHCP не является полномочным, он будет отвечать только на запросы в своей подсети.

Таким образом, вы и ваш друг из черного ящика можете согласиться использовать отдельные IP-подсети и использовать неавторизованный DHCP. Или вам понадобится управляемый коммутатор, который блокирует широковещательные рассылки на и из этого сетевого порта.

Также обратите внимание, когда я говорю «управляемый коммутатор», ваш маршрутизатор также является коммутатором, а если он имеет функции VLAN, он также является управляемым коммутатором.