## 私接路由

### 定性

私自将非终端设备接入网络，特别是如同「路由器」、「交换机」等网络设备未经许可接入已存在的网络。

此种方式会与主路由存在平级或层级关系。

### 分类

私接路由可分为以下几种情况：

- 以 lan 口方式接入，且网段不同，开启 DHCP 服务器

- 以 lan 口方式接入，同网段，开启 DHCP 服务器

- 以 wan 口 DHCP 客户端方式接入

- 以 wan 口 静态IP 方式接入

### 网络影响分析

#### 1. 以 lan 口方式接入，且网段不同，开启 DHCP 服务器

此种方式相当于在一个网络环境里面存在了两张网络，客户端在获取 IP 地址时会有两个网关设备同时提供 DHCP 服务，造成客户端设备得到的 IP 不确定，若获取到正确的 IP 地址，则可以正常访问网络。若获取到私接的 IP 地址则无法访问网络。

#### 2. 以 lan 口方式接入，同网段，开启 DHCP 服务器

此种方式接入网络最终结果是在网络内存在了两个 DHCP 服务器，客户端均可以获得正确的 IP 地址，但是网关地址则不一定获取正确。故，能否上网由能否获得正确的网关地址决定。

⚠️ 注意：若私接路由器管理 IP 与现存网络网关 IP 相同，则会出现 ARP 冲突

#### 3. 以 wan 口 DHCP 客户端方式接入

此种方式为二级路由方法接入网络，私接路由自动获取 IP 地址，这种方式对于原先网络的网络结构影响不大，但是由于为二级路由，该路由下会接很多客户端设备，导致该二级路由会占据较大的带宽。

#### 4. 以 wan 口 静态IP 方式接入

此种方式为二级路由方法接入网络，与第三种方法大致相同。主要针对 IP-MAC 绑定的企业网络。这种方式对于原先网络的网络结构影响不大，但是由于为二级路由，该路由下会接很多客户端设备，导致该二级路由会占据较大的带宽。

### 防范方法

- 交换机端口的 IP-mac 地址绑定，限制外来设备的接入。

- 交换机开启 DHCP snooping 功能，这个功能会屏蔽不信任的 DHCP 广播包。

- 通过 TTL 数值判断是否使用了二级路由（爱快 软路由系统自带根据 TTL 禁用二级路由）

- DHCP 服务器扫描，后封闭。

## 旁路由

旁路由与主路由为平级关系，此时会出现两种方式的旁路由设置

- 单 lan 口：一般旁路由 lan 口设置为与主路由相同的静态地址，同时 DNS 以及 Gateway「网关」设置为主路由地址。

- 有 wan 和 lan 口：lan 口设置与单 lan 口旁路由设置相同，但是 wan 口设置不同，可以设置为 DHCP 客户端，但为了更方便管理，建议设置为静态 IP 地址。

⚠️ 注意：有 wan 和 lan 口的旁路由设置容易出现 ARP 冲突，原因是通过旁路由上网的设备最终上网需要通过旁路由的网关，此时相同的 IP 数据在主路由上有一个客户端的 mac 和旁路由 wan 口网关的 mac 导致 mac 地址冲突。解决方案：可在旁路由添加防火墙规则防止 ARP 冲突，或者在启动时先开主路由再开旁路由。

```

iptables -t nat -I POSTROUTING -j MASQUERADE

```