Как устранить конфликт в сети между мобильным телефоном и ноутбуками?

Question

[InKalt]

Сеть небольшого предприятия:

• Основной шлюз Cisco 1811 шлюз для всех устройств в сети и vpn с другими филиалами
  
• DHCP + DC Windows server 2016
  
• Zuxel 24 порта управляемый для серверов и др. важного оборудования
  
• No name 24 порта для всего остального
  
• Ещё 2 no name 8 портов poe для ip камер
  
• Ещё с десяток 5 портовых свитчей там, где не хватает заложенных розеток
  
• WiFi 2 точки доступа и 3 WiFi роутера разных производителей, все в режиме AP некто кроме DC ip не раздаёт, везде резные ssid
  

Суть проблемы:
Периодически поступали жалобы от пользователей с ноутбуками что у них проблемы с WiFi (некоторые не получали IP, а у других не доходили пинги некуда). В ходе диагностики (которая заняла не мало времени) было выявлено что у них в ARP таблице напротив ip адреса основного шлюза был MAC адрес не Cisco 1811 а другой. MAC адреса у всех устройств в сети разные. Пробив по базе маков, было выявлено что это мобильник одного из сотрудников (Huawei). Как только на этом мобильном телефоне отключаешь WiFi проблемы на ноутах пропадают. Путём наблюдений было выявлено что проблема проявляется если ноут подключается к сети после телефона, если ноутбук уже подключился и получил ip и правильные arp проблема не проявляется даже если телефон тоже подключить к WiFi. Также хочу заметить, что проблема проявляется даже если ноутбук и телефон подключены к разным AP с разными SSID.
Что было сделано:
Было принято навести порядок в сетевом оборудование. Были куплены Несколько AP и роутеров mikrotik и построен бесшовный WiFi по технологии СAPsMan. Также был куплен свитч Cisco SG220-50. Сеть была поделена на vlanы общий и для мобильников. 2 ssid для ноутов с доступом к серверам и мобилок с доступом только в интернет. На Cisco 1811 был поднят новый интерфейс (шлюз для мобилок) с запретом доступа на все остальные сети. На DC также был поднят дополнительные интерфейс для DHCP на мобилки.
Итоги:
В общем ситуацию это не поправило и телефон мешает ноутбуку, который находиться в другой подсети и в другом vlan. Есть ли у вас какие-либо соображение по этому поводу?

Comments

[rionnagel]

Запретить сотруднику свою херню сувать в корпоративную сеть под угрозой перелома ног.
Под гостевые устройства wifi отдельный vlan делать и изолировать клиентов друг от друга.

Answer 1

[Karpion]

Начать надо с команд ipconfig /all и arp -a на ноутбуке (я так понимаю, там Windows) и отправки результата сюда. Эту команду надо дать в двух ситуациях: "ноут подключается к сети после телефона" и "ноут подключается к сети перед телефоном". Причём если Вы построчно сравните результаты - то с высокой вероятностью найдёте источник ошибки.

До кучи - хорошо бы дать команду tracert -d шлюз

В первом приближении - телефон пытается раздавать Интернет и "оттягивает компьютеры на себя". Возможно, он даже пытается быть DHCP-сервером.

Comments

[Ziptar]

Возможно, он даже пытается быть DHCP-сервером.

Не возможно, а единственно возможно в данном рассуждении. Проанонсировать себя как шлюз телефон просто так, без ничего, не в состоянии никоим образом.
В целом же да, похоже на это.

Собственно, dhcp snooping в помощь.

[SysAn]

Согласен.

[Karpion]

Ziptar, анонсировать себя можно и через ARP. Судя по тому, что он анонсирует не особый IP-адрес, а MAC-адрес - вариант "ARP" вполне реален.

[Ziptar]

Karpion, хрммфрр, да, вы правы. Но защититься от arp-спуфинга на микротиках в конфигурации тс будет сложнее.