酒店如何应付客人自带无线路由，导致其他客人上不去网问题

问题1：我在一个酒店做网管，经常有客人自己带无线路由，插错了的话，全部网络都上不了，配置就是光纤猫直接接一个普通路由器，下挂5个普通tp-link交换机问：选择何种交换机能解决这个问题，不换设备的情况下能不能解决？-----------------------------

问题2：我在新建一个酒店的网络是不是买个三层交换机在下拖普通交换机，就可以解决私人路由断网的问题吗？

   

1楼：不换设备的话，你只能用纯行政管理的手段来管理，但是不现实，客人是上帝，你敢去硬碰硬么。最好还是换设备，带管理的二层交换机，解决这个问题三层核心交换机倒是没有特别的作用。
带管理的二层交换机要带dhcp-snooping 可配置信任端口，可以设置端口隔离或者带VLAN功能的。推荐比如H3C S1626/1650  思科2960只要能限制一个端口一个mac地址的通讯就可以实现标题：      

 2楼：我想问一下你说的“经常有客人自己带无线路由，插错了的话，全部网络都上不了”，这个是不是因为你们酒店的路由器网关受到了ARP攻击造成不能上网，还是其他原因不能上网，插错了是怎么插得呢，楼主，问一上你们酒店的网络在那个网段呀？是192.168.1.X吗？如果是的话最好换一个网段，因为这个网段用的太普遍了，很容易造成网络冲突。

楼主：是这样，酒店现在有一个路由，然后在插一个路由就是说设置双路由上网，如果插错了肯定第一个路由就死了，然后只有重启第一个路由才能正常连接外网。
所以我看说要不买个智能路由。
问题在于，我要教会酒店的前台和值班经理使用和时时调控带宽，还不能用命令类型的，还得用有操作界面型的。 

酒店只有一个路由，也就是说随便设置192.168.0.X，192.168.1.X什么的，所有人得到的都是这个段的地址，
3楼：只有一种情况就是双路由设置错误导致的单线通畅或者全部断网。
楼主：但是单线通畅我也是第一次听说。
4楼：单线通畅是指的，只有那个用私人路由的能上。
5楼：等待大侠们的高招，学习。先谢谢！

6楼：是客人带过来的无线路由的IP地址，跟酒店的路由的IP地址一样，发生了冲突，导致断网。。
把路由地址改一下，或改成其它网段。。。
楼主：顺便假设个问题，在不增加设备，不修改本地电脑设置的前提下。。。两个路由（客人带的无线路由、酒店路由）都启用的DHCP服务，有没有办法解决冲突。。。

7楼：换三层设备。做端口安全。酒店管理还真不好下手，建议上一台三层交换机，对酒店的网络进行VLAN划分，缩小网络影响的范围。另外，建议不使用192.168.1.x 192.168.0.x网络地址段，

8楼:楼主能不能把你们酒店的拓扑图发下

9楼：没个上网管理设备。。。 一哈都解决咯。。。

10楼：楼主应该先搞清楚，路由接错后事什么让你的网络断了？
11楼：说看看你的这种情况哈：客户把房间里面的网线一端接到他的路由器上，另一端是接到你的TP的交换机上的，是这样接的吗 ？这样接上后就会导致酒店整个网络不可用？

12楼：整个无线路由给客户吧。

 13楼：我也是在酒店上班，楼主的意思我很明白的。就是说酒店路由器下接交换机，然后交换机在分模块到各个房间，路由器通过DHCP分配地址，这样如果有客人自带一台小路由器，把网线一端接房间模块，另一端接路由器LAN口，而且也开着DHCP。这样的话就造成客人自己的电脑可以上，但是在这位客人之后获取地址的就没办法上外网了，因为获取到的是客人自带路由器设置的地址....不知道我这样说各位明白了没有。 具体解决方法我也太清楚....期待高手解决

14楼：这个解释最起码让我明白LZ是一个什么情况、如果LZ的情况如你所说、那就是这样的情况、两个DHCP分配地址、结果客人自带的路由器分配的地址与酒店自身分配的不在一个网段、到不了酒店外网出口网关、肯定上不了网啦。

楼主：是这样的，关键是怎么解决？

15楼：全换成智能交换机开启dhcp snoop 然后只把上行接路由器的端口设为信任端口其它的限制dhcp报文的收发。        

16楼：还没碰到这情况，
17楼：同意14楼的说法。。另外还有一个手段就是把酒店做成无线去覆盖，这样的话客人自己也懒得去用自己的无线路由器了。
有时间自己试试！普通TP-LINK交换机是不能用的。

我感觉硬件上很难了，就算你用MAC IP 绑定，但小路由器有一项克隆主机MAC的功能，
要是改成，用户WEB通过用户名密码的方式上网，来一个客人，给一个用户名密码，还可行，但这是软件上的

18楼：建议LZ 改下酒店路由器的网关地址。
19楼：也许客户带来的路由器和酒店路由器是同一个品牌，网关相同。可能会有冲突。
20楼：另外，客户带来了的路由器，当交换机用。不做路由。。试试       

21楼：关了dhcp应用,每个房间用静态ip上网,在酒店每个房间放一个如何给计算机配ip地址的说明.标题：        也只有更换硬件设备这种方法了否则网络中出现两个DHCP相互干扰

22楼：晕 ，这个问题我遇到过，你可以让客户把他的无线路由器做成AP ，或者把他的无线路由做为二级路由用，网段不要和你当前的网段相同，这样的话是不产生你说的现象的！！！

最简单的方法就是你设置一个平时大家都不会用到的网段，然后把DHCP关掉，我看他怎么上，想上网要找你的，其他方法就要花钱了

解决的方法就是让客户自己设置它的路由器，既然自己都 带路由器，上腚 懂如何弄它，你只需在每个房间放上一个让他们如何设置它的网络就可以了
23楼：如果客户的路由器开了DHCP，肯定获取的是客户路由器所分配的IP,获取酒店路由器分配的IP可能性就没有
24楼：至于让客户如何弄，方法多了最简单 的就是提醒他们，不让他们用路由器就行了呵呵!你可以先找个垃圾机器做个ros试一下。
25楼：所有房间全部用ppoe拨号上网不换设备的话.

26楼：dhcp-snooping 好像也解决不了这个问题吧

27楼：我从51CTO上其他blog找到个好办法，关键要会搜

既然是设备引起的，应该从设备上想办法。行政手段，最多起个告知义务，提示客人自接设备的话，会引起什么问题。建议装个域，建域可以抑制工作组的DHCP。参考下记jiayes的blog参考，讲的很透彻，摘要如下：http://jiayes.blog.51cto.com/721309/172538]

“***问题:如果有恶意的DHCP提供服务器,怎么办?（类似酒店客人自带路由器）
1.如果有纯工作组,没有域,没有什么好的解决办法(技术) （所以要建个域装个Server）
2.如果是域环境,很好解决:
如果是域里的DHCP服务器(域成员机器),默认即使安装了DHCP服务器,仍没有被授权,只有域管理员授权后才可以对外提供服务
3.对于域和工作组混合的情况,工作组下的所有的DHCP服务器在启动时会自动向外广播(DHCPinfor),搜索域控制器,如果收到了域控制器的ACK,则认为自已没有经过授权,所以不能对外提供服务,如果没有收到,才可以对外提供服务(说明在工作组情况下,可以多台独立DHCP同时对外提供服务)”
由此思路，解决发贴人问题，当客人的工作组DHCP广播时，被域信息抑制，则不能广播，影响不到其他客人获取正确IP，别说连域控也不想装，则我暂也无更佳策略。只有被授权的DHCP服务器才能提供服务，这多好啊！类似比喻就像客人的DHCP是无照经营，被域控城管取缔了。无法摆摊提供IP，其他客人就可以得到正版的IP配置地址了。
28楼楼上回答很精彩，谢谢标题

将VLAN划得跟细点，比如每楼层一个VLAN。
29楼：最简单的方法就是你们酒店网络整改！提供无线信号覆盖！客人也犯不着自己带无线路由了。顾客就是上帝。。。为了迎接上帝，酒店会花钱的！

30楼：要做VLAN，每个端口一个VLAN，如果省钱，就不用三层的交换机，路由器做单臂路由就行了

31楼：支持WLAN，这东东很适合移动人员的使用！提前告知客人情况，客人普遍使用本子，自带无线网卡，很方便的！

32楼：我说下这个问题的解决办法：
起因是客人把网线一头插到房间网络模块上，一头插到自带的路由器LAN口上（插到WAN口就不会有任何问题），不能上网原因有以下两个：
1.是两个网关IP地址冲突造成不能上网。
2.是客人带的路由器dhcp功能分配IP给其他房间客人，造成其他房间不能上网。
解决方法如下（在不更改酒店网络结构的前提下）
一·第1个问题解决方法很简单，把酒店路由器网关改为不常用网关（如B类私有地址172.16.0.0-- 172.31.255.255 ）， 这样就不会造成网关IP冲突了。
二·第2个问题的解决方法有两个
1.更换为智能交换机设备，各个端口设置为不同vlan（当然酒店路由器各内网端口也要设置不同VLAN）
2.不更换设备，把酒店路由器DHCP功能关闭，设置为静态IP上网，每个房间都分配静态IP地址，这样就可以了。
33楼：学习了。我也不知道。关键是要把在上不起网的时候遇到的问题好好查下。然后在想办法解决

34楼：你指的插错什么意思。 能配置的交换机的话， 下面接错或者说环路 该端口是会down 对你的内网没有影响的！

35楼：关了dhcp应用,每个房间用静态ip上网,在酒店每个房间放一个如何给计算机配ip地址的说明. 

36楼：我赞同！把酒店的DHCP 关了手动配置IP 最好也把路由器默认的IP网段改了。在每个房间放一个如何给计算机配ip地址的说明。像能带无线路由器的客人肯定也知道怎么配置无线路由器，顺便写写说明：就是把酒店的交换机出的线插在路由器的LAN口上，在叫客人进入自带的无线路由器把DHCP关了。客人自带的无线路由器就相当低级AP了。在配上IP就可以无线上网了。
37楼：我还是建议买几个无线路由器。放在通道多好用。像TP WR 948三根天线的穿墙挺好的，一道墙绝对没问题。价格又不贵200RMB就能搞定，这样客人就不会用自带的路由器了。其实7楼说的很准确!客房的网段不要设置192.168.1.X,改个!
38楼：楼上的方法不可行的,房间个人电脑和设置五花八门,不能指望他们懂的更改设置,如果是公司配的电脑也有可能没有管理员权限.
39楼：如果想自已轻松点，最好还是换专业设备，接入层全用可网管的二层交换机。同时，网段最好也改一改，比如：192.168.251.X。有条件的话最好每层划个VLAN、然后每个房间做成VLAN。

使用端口VLAN，需要更换接入交换机，软件和路由上做功夫都是白费的，上网行为管理系统也是没有用的，知道原理就容易想明白，每端口就是一个VLAN或pvlan，接入的设备只能和上层设备，指定设备通信，自然就无法影响到其他人了。

 40楼：很明显这种情况下是客户将自己的路由器的LAN口插在了酒店提供的网络端口上，此时客户的路由器DHCP就会广播到整个酒店去（如果用的是普通的交换机的话），接着就和谐了...
这种办法除了VLAN，和谐点的办法是使用有管理功能的交换机，DROP掉下层的DHCP广播，这样的解决方式最和谐（比如如果跨房间CS...每个房间划一VLAN一点也不现实，而且VLAN数量也有限制）

 41楼：已经有人给出答案了， 前提是交换机有端口安全这一特性限制mac地址数量就能够解决题

解决方案有很多种，关键一点是想不想花钱，花钱越多当然功能和安全性越高，但当你不想花钱的时候就要想些网络外办法，毕竟不是网管掌握着钱的使用权。期待继续讨论.......

42楼：只要把dhcp请求包在交换机上隔离开就可以了。当有一个房间，也就是对应一个交换机端口，接如无线路由器时，该无线设备从你的路由器上获得一个ip地址。当接在同一台交换机上的其它端口上的主机需要获取地址时，发出的dhcp请求被客人的无线设备上启用的dhcp响应了，所以得不到正确ip地址。解决方法：1，为每个端口划分一个vlan。这样隔离dhcp请求包。2，让每个房间静态设置ip地址。