一台做AP用的华为4G路由器竟然导致全楼断网

越祈

学校实验楼，整栋楼处在一个VLAN段内，使用DHCP自动分配IP和静态IP+MAC地址绑定的方式。

其中DHCP自动分配IP为10.86.1.x段，用于临时使用，共享10Mbps带宽（交换机房有一台路由器，WAN和LAN均接在楼栋交换机上，WAN设置IP为172.22.1.2，开启了DHCP）。单独申请了校园网的为静态IP+MAC地址绑定，IP段为172.22.1.x段，每个IP独享10Mbps带宽，DNS均为学校校园网的DNS 172.22.1.1

现在其中一个实验室内，连接了一台华为B311 4G路由器，并配置为AP（DHCP功能关闭，且未插入手机卡），一开始使用均正常，之后就发现实验室内有线连接的设备无法上网，nslookup发现被解析到172.31.255.254，有线连接的设备是直接通过墙上端口连接到楼栋交换机，未通过B311（而且B311只有一个LAN口，当AP使用时无法继续连接有线设备）

再过了一段，发现隔壁实验室单独申请校园网的电脑也出现无法上网的现象，同样发现是任何域名都被解析到172.31.255.254，虽然DNS是手动设定的学校校园网dns172.22.1.1。造成了学校DNS出问题的假象

摘除B311 4G路由器后，实验室内的电脑DNS解析全部恢复正常

附图为其他人使用B311 4G路由器作为AP应用于公司环境，也出现了类似DNS解析的问题，但是官方一直没有回复

tianzhongshan

通信技术你问我答 (积分兑奖)

局域网私建DHCP，最常见也是最头疼的问题

zhoujianjoe

DHCP服务器开启Mac地址认证+交换机开机DHCP snooping 所有设备必须DHCP获取地址 手动配置地址直接丢包压根到不了三层交换机，这么多年了 还没发现有人能突破这个。私接路由器确实很头痛 发现了重罚就好了。

越祈

zhoujianjoe 发表于 2020-1-1 18:10
DHCP服务器开启Mac地址认证+交换机开机DHCP snooping 所有设备必须DHCP获取地址 手动配置地址直接丢包压根到 ...

DNS劫持问题没法解决，只能解决DHCP

越祈

tianzhongshan 发表于 2020-1-1 17:59
局域网私建DHCP，最常见也是最头疼的问题

你没get到点子上，这里说的是解决了DHCP问题后还有DNS劫持的问题

tianzhongshan

越祈 发表于 2020-1-1 19:44
你没get到点子上，这里说的是解决了DHCP问题后还有DNS劫持的问题

随意回帖一把，没有深入研究案例

灯灯酱

这种有东西的帖子越多越好

灯灯酱

华为的路由器都是必须用路由器的地址当默认dns的，dhcp下发信息不能自定义dns，这应该就是原因，，，华为路由器默认设置有桥接模式，接wan口，我觉得没必要拿lan口接交换机吧

古道西风肥牛

灯灯酱 发表于 2020-1-1 20:11
华为的路由器都是必须用路由器的地址当默认dns的，dhcp下发信息不能自定义dns，这应该就是原因，，，华为路 ...

可以试试

maybeonly

搞多了自然会知道有些设备不会按预期工作
然而消费级设备这么搞
以及厂商不管
这个就比较

越祈

灯灯酱 发表于 2020-1-1 20:11
华为的路由器都是必须用路由器的地址当默认dns的，dhcp下发信息不能自定义dns，这应该就是原因，，，华为路 ...

B311这款似乎就没有桥接模式（最新版固件10.x不清楚，我是8.x版本的），不论是有线还是无线

另外，这货只有一个网口，是WAN/LAN复用的，只能设置成仅LAN模式，不插手机卡，关闭dhcp功能，但是还是有dns劫持

越祈

wj96202 发表于 2020-1-1 20:56
dhcp snooping策略改成shutdown端口就行了。

这台机器并没有打开dhcp功能

越祈

zhangjijian 发表于 2020-1-2 12:36
b311动态IP就有指定DNS，那么辣鸡的无线当ap ？200卖了花20买个都比它强

B311只有一个网络口，你设置成动态IP，唯一的网络口就变成WAN了，这样airplay就挂了，网上邻居也列不出来了（不过可以用ip地址访问）

haoliang83

留名关注

leonierx

这个就有点奇怪了。目标不是它的UDP53请求，为啥它的DNS服务会响应？

越祈

leonierx 发表于 2020-1-4 23:53
这个就有点奇怪了。目标不是它的UDP53请求，为啥它的DNS服务会响应？

百度搜下DNS污染

其实上就是瞎发包，抢答，毕竟学校dns过了好几层，延迟上肯定它有优势，就像你在国内用dns8.8.8.8会被污染一样

DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回的速度较国外DNS服务器（此处为学校DNS，因为学校DNS一般在总机房，要隔几个三层交换机）发回的快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。

越祈

wj96202 发表于 2020-1-5 18:22
我的意思是实验室网线也都会汇总到楼道交换机吧

在楼道交换机（也就是接入交换机）处开启dhcp snoopin ...

现在问题是DNS劫持，而不是DHCP问题

chengjinsan

问题应该是：此设备WAN/LAN公用，默认情况下，此端口是LAN属性的，一旦开启DHCP接入网络，其他设备会获取此设备网段的ip和dns，导致整个网络不能用。解决此问题，我的建议是把端口改为WAN属性。然后问题就会解决。

使用 ipconfig /all 获取的网络配置，此时获取的dns：172.31.255.254就是4g设备的默认网关。

越祈

chengjinsan 发表于 2020-1-31 22:49
问题应该是：此设备WAN/LAN公用，默认情况下，此端口是LAN属性的，一旦开启DHCP接入网络，其他设备会获取此 ...

获取的dns是172.22.1.1，是学校的DNS

但是nslookup任何网站，解析到的都是172.31.255.254，而且还显示DNS服务器是正常的172.22.2.1