这是一个比较典型的网络运维的案例：员工私接路由器

发生原因：员工对网口的需求大，导致把自己家里的路由器带来接入网口，作为一个接口拓展，或者自己能够用上WiFi或者多设备情况

导致后果

1.整个办公室的人突然断网

原因：员工把公司网线插到了 家用路由器的 LAN 口

→ 家用路由器开启了 DHCP

→ 开始乱分配 IP

→ 电脑拿到错误网关、错误 DNS

→ 全网掉线

2.部分人能够上网，部分人不能上网（最后更倾向于一半一半）

现象：有的人自动获取到公司合法 IP → 正常

有的人获取到私接路由器的 IP → 不能上网

你去查，IP 地址混乱，一会儿正常一会儿异常。

3. ARP 攻击、IP 冲突、环路

出现大量 IP 冲突弹窗

打印机突然找不到

网速忽快忽慢

交换机端口频繁 UP/DOWN

4. 环路 → 全网瘫痪

员工不懂，把网线两头都插路由器 LAN 口

→ 二层环路

→ 广播风暴

→ 交换机 CPU 打满

→ 整层楼、整栋楼断网

5. 安全风险极大

私接路由器可能没密码

外部人员能连进来

能访问公司内网服务器、共享文件

泄密、病毒入侵风险极高

经典工作场景

场景 1：员工说 “我上不了网”

你过去一看：IP 是 192.168.1.100网关是 192.168.1.1但公司网段是 10.0.0.0/24

→ 100% 私接家用路由器开了 DHCP。

场景 2：整层楼突然集体掉线

交换机灯疯狂闪

查端口流量爆了

→ 环路 + 广播风暴

→ 背后一定有人私接路由器。

场景 3：打印机经常找不到、共享经常断

因为设备一会儿拿到公司 IP，一会儿拿到私接路由

IP通信完全乱套。

如何排查到底是不是私接路由器？

1.看异常 IP 段

公司内网是 10.x/ 172.x/ 192.168.10.x突然出现：

192.168.1.x

192.168.0.x

192.168.3.x

192.168.5.x

这些全是家用路由器默认网段。

2. 找异常 DHCP 服务器

在断网电脑上：

ifconfig /all

看 DHCP Server 地址如果不是公司核心交换机 / 核心路由，就是私接路

3. 直接 ping 家用路由网关

比如发现异常 IP 192.168.1.100直接 ping 192.168.1.1能通 → 这就是私接路由器。

4. 带笔记本去工位逐个拔线

拔一根，看网络恢复没拔到哪根恢复，就是哪根后面接了私路由。

怎么处理？

1.拔掉私接路由器

2.清空交换机 MAC 表

3.让员工电脑重新获取 IP

4.登记、警告、禁止再私接

5.严重的写 IT 违规记录

如何从根本上直接进行防范？

1. 开启交换机 端口安全（Port Security）

限制一个端口只允许 1～2 个 MAC超过就自动 shutdown。

2. 开启 DHCP Snooping（防非法 DHCP，这个最推荐）

只信任核心交换机的 DHCP非法 DHCP 直接被屏蔽。

3. 划分 VLAN + 端口隔离

普通工位不能乱发广播环路影响范围缩小。

4. 公司制度明确

私接路由导致断网，按违规处理。

这个问题是所有网络运维都会遇到的，不要怀疑这句话，不要怀疑这句话，不要怀疑这句话！