最近这几天我们大优能公司的网络（网段为10.0.0.1/24）总是出问题，常有一部分机器获取到192.168.1.0/24网段的IP和DNS，这部分机器无法上网且邮箱均不能用。公司同事囧的不成样子，不断有同事说“难道咱公司的网络被黑了？”、“公司局域网是不是有什么病毒木马呀？”，而且邮件系统不能正常工作是最让人头疼的，严重耽误公司事务。

       鉴于此我决定停下手头的工作，focus到这个问题上，查查到底事何方神圣所为：

下面直播下解决问题流程：

      第一步：寻找问题切入点。

        对于这个问题我寻思着，既然是有部分主机总是获取另一个网段的IP，那么一定是公司网络里面出现了另一个拥有DHCP server功能的设备，按理说这样的设备一个网段里只能有一个，如何把它找出来呢？于是初步确定出以下方向：查看找到它的Mac、找到它的IP、找到它的OS， 最终找到它的位置所在。

       与此同时产生了初步的推测：既然对方是个能分配IP的家伙，那估计八九不离十它就是个路由器、或者带路由功能的交换机、再或者它就是个拥有DHCP server功能的打印机。

      第二步：工欲善其事，必先利其器----安装nmap扫描工具

      既然已经确定调查方向，那就开始在百度里找局域网扫描工具。看了几篇帖子，发现nmap这款工具在ubuntu下很受欢迎啊。而且我以前也用过一两次，那就是它了。安装方法和使用方法都很简单，见下文：

      1、安装命令：

            sudo apt-get install nmap

      2、扫描局域网内主机列表：

             nmap -v -sP 192.168.1.0/24

      3、查看某个IP地址的主机的操作系统命令（连接外网情况下，非常好用）：

             nmap -sS -O 192.168.1.1

      4、Mac地址查询命令：

            可以使用前面2、3中的两个命令查询Mac地址，也可已使用下面命令：

            ping 192.16.1.1

            arp -a

    第三步：撸起袖子，开查！

       首先，查看了下那些处在192.168.1.0网段的机器他们的IP地址各不相同，但网关和DNS都是192.168.1.1这个地址。由此得到线索：那台设备的IP肯定就是192.168.1.1，而且这台设备开启了DHCP功能。

      至此，目标设备的IP地址的确定了。

      接下来是MAC地址和OS的查询，我强制把我的笔记本有线网卡配置到了192.168.1.0这个网段，同时为了联网把无线网卡手动配置到了10.0.0.0/24这个网段。让两个网卡同时工作。然后我执行了局域网扫描动作：

      nmap -v -sP 192.168.1.0/24

      通过扫面发现这个网段下机器不多，也就7、8个IP分配出去了。接下来进行目标设备的操作系统OS的查询：

     nmap -sS -O 192.168.1.1   查询结果是This is Linux 2.6.X ，而且该设备上只运行这两个程序网络线程http和upnp。进一步肯定了前面的推测，这货绝不是一个PC机器，因为PC机器不会只有这两个特别的网络线程连续跑这么多天！！！另外扫描结果里也说了它的其MAC地址事：CC：34：29：95：C4：E9

     至此IP、MAC、OS都清楚了，接下来是最棘手的问题，它位置在哪里呢？

     此时好像查不下去了，毕竟挨个插拔公司的路由交换设备是不允许的，而且物业部门肯定也不会挨个打开各个机房让我折腾的。那么只好停下来继续分析下，看看有什么新的线索，然后事情就有了个很大的转机！在我仔细看了一遍之前扫描的局域网清单列表后，意外的发现了一个很有用的信息，192.168.1.0这个局域网内的主机名字......居然有几个很熟系的几个关键字，看看这是啥！xiaomi、Apple、Sony，这不是手机还能是啥。

Bingo！看到这，大家肯定懂了， 我所要找的这个网关设备就是一个无线的路由器，你想想啊，这么多手机绝对不会是用网线接到这个网关设备上的。好吧，范围一下子就缩小好多了。然后接下来的调查。。。哈哈哈。。太奇葩了，原来这个问题就是在等着我来搞定呐！！！囧！请注意看Sony设备的下面的Mac地址是啥--00：22：33：44：55：66，大家估计都能看得出来，显然这是个非法的Mac，哪个厂商都不会用这个Mac。我所说的奇葩的点就是这个非法的MAC地址！......说起来公司估计也就是我所在的驱动组的这几个人知道它的来历，这个Mac正是我们Neolink公司的智能对讲机产品在出厂前没有写入Mac之前的默认状态，绝对算是我们大优能公司独有的一个临时Mac地址！！！我每次在进行wifi驱动相关的调试时都会手动改动它。这个全公司估计只有我们7、8个人知道这回事，这样看来我这次自告奋勇的站出来解决网络问题，真的是运气和认真碰到了一起，在这里给自己点个赞吧！！！

           分析到上面的状态得出结论：这个具有DHCP sever 和网关功能的设备正式我们公司自己的一个无线路由器，而且还是我们研发部门在使用的！！！

      第四步：修改路由器接法，解决网络问题

           于是我巡视了一下，研发和测试部门所用的几个路由器轻松的把它揪了出来。事情的原委终于清除了：那台设备本来网线是插到了lan口上，作为一个无线AP在用（即交换机），结果同事那天用两跟网线把路由器的WLAN口和LAN口都连接到了公司的网络接口上。这样就行成了一个封闭的网络回环。于是，拔掉它的WAN口网线，让它继续作为交换机工作。

           现在Neolink的各位同事终于可以畅快的上网了。