客户单位内外网隔离单击采用隔离卡。
内网网段10.52.208.x
外网网段192.168.1.1
外网主机全部采用dhcp获取ip。

现象：外网有机器自动获取到ip：10.52.208.x  网关：10.52.208.1（外网应该是192.168.1.x才对）。
捕获到外网10.52.208.1的mac后在内网与外网中都匹配不到这个mac地址、也不知道如何定位10.52.208.1

分析：非人为将外网机器配置为dhcp服务器。匹配不到mac 可能是病毒篡改mac。
未检测到arp欺骗。

外网路由器开通的dhcp是在192.168.1.1网段上的。
内外忘在物理上是彻底隔离的（尽管获取了内网ip但是ping内网实际的ip是平不通的）

把分配这个10.52.208.x地址的dhcp服务器器的MAC地址找出来,然后通过MAC把主机找出来就行了

我觉得你这个拓扑貌似有问题啊，如果是物理隔离的，怎么可能是在192子网的机器是获取到10子网的IP啊？你不会是两个子网接到一台交换机上了吧，能不能画个简单的拓扑图？

外网的ip调到10.52.208.x ping 10.52.208.1是ping的通但是对应的mac不是内网的10.52.208.1的mac。
但是这个mac地址在所有的mac中没有匹配的。
可能是外网有机器串改mac并且模拟内网的10.52.208.1分配dhcp

引用:

原帖由 simonzhan 于 2008-7-13 01:00 发表
我觉得你这个拓扑貌似有问题啊，如果是物理隔离的，怎么可能是在192子网的机器是获取到10子网的IP啊？你不会是两个子网接到一台交换机上了吧，能不能画个简单的拓扑图？

如果是你说的那样10.52.208.1对应的mac地址应该是实际网卡的。但是mac不一样啊 ping同网段的内网ip是ping不通的

引用:

原帖由 糊涂 于 2008-7-12 21:20 发表
把分配这个10.52.208.x地址的dhcp服务器器的MAC地址找出来,然后通过MAC把主机找出来就行了

关键的问题是解析出来胡mac地址不存在（跟地址簿里面的不匹配）只有ip mac又是不存在的

环境：内外网物理隔离  内网ip段10.52.208.x    网关 10.52.208.1 外网网段192.168.1.x 网关192.168.1.1
            接入层全部为不可网管交换机 外网核心路由为磊科soho路由
现象：外网机器dhcp获取到10.52.208.x  ip 网关 10.52.208.1
排查：1、外网机器ping 10.52.208.1ping通但是解析的mac与实际内网的mac不一致。（arp欺骗？）
      2、外网机器ping 10.52.208.x 通往段的在线内网机器ping不通。（内外网在物理上还是隔离的？）
      3、通过获取的外网10.52.208.1的mac地址在网络内没有机器的mac与其匹配。（虚假的mac？）
      4、检查外网路由dhcp分配为192.168.1.2开始。 （不是路由配置问题？）

引用:

原帖由 simonzhan 于 2008-7-13 01:00 发表
我觉得你这个拓扑貌似有问题啊，如果是物理隔离的，怎么可能是在192子网的机器是获取到10子网的IP啊？你不会是两个子网接到一台交换机上了吧，能不能画个简单的拓扑图？

如果是的话同网段应该是ping得通的，但实际上ping不通

看了你8楼的形容,我认为:
是外网有人设置成10.52.208.x这个地址并开了dhcp服务;
还是之前的说法,就算这个分出10.52.208.x网段的DHCP的MAC地址是伪造也好,就算是伪造那又怎么样?反正我把它找出来不就行了 ? 对吧?
如果你想不到好的办法你就一直ping这个dhcp服的IP,网线一根一根地拔,你最后肯定会找到是那台机器惹的祸的,确定了后再检查那台机器不就行了?

引用:

原帖由 糊涂 于 2008-7-13 18:00 发表
看了你8楼的形容,我认为:
是外网有人设置成10.52.208.x这个地址并开了dhcp服务;
还是之前的说法,就算这个分出10.52.208.x网段的DHCP的MAC地址是伪造也好,就算是伪造那又怎么样?反正我把它找出来不就行了 ? 对吧?
...

没有比这更好的办法吗？
我想也只有这样

问题搞定。通过ping 10.52.208.1配合拔线一级一级定位到桌面。
发现原来是 以前用在内网的一个路由器被人拿到外网去当成交换机用但是其dhcp功能没有关闭。导致近期因为网络负载比较大核心路由无法及时分配ip是 当成交换机用的旧的路有发挥了其dhcp功能。

谢谢各位回帖的大哥大姐