情境之外

通常企業在設定DHCP Server 時，網段區隔是很重要的
雖然已經設定了5個樓層的Client VLAN，但大多會再設定2個VLAN，1個是Server VLAN，另外一個是Device VLAN
而DHCP Server 設置於 Server VLAN，對於 Client DHCP分配採用 DHCP Relay 技術來作，每個網路設備都指定DHCP Relay 為公司的DHCP Server
Device VLAN是收容網路設備以及其他非PC/Server等上網設備

套用到情境中 Server VLAN IP網段可規劃為 192.168.1.0～250/24
Device VLAN IP網段可規劃為 192.168.0.0～254/24

如此，因為每個網路設備都指定DHCP Relay 為公司的DHCP Server
所以不會發生DHCP Server IP 被一般User搶走/重複的狀況，
同時可在Routing進Server VLAN之間加裝防火牆/IDS/防毒牆....等機制確保主機群的安全防護

============================================================
回到情境之中
萬一真的沒有設定 Server VLAN, 不幸地DHCP Server IP 被搶走/重複的狀況出現
先到其中一台DHCP Client 用 ipconfig /all 指令，找到偽配發的 DHCP Server IP，再用 arp -a 反解出偽 DHCP Server的MAC Address
從網路設備Switch MAC<->Port 對應表中找到是哪個Switch Port， 下指令關閉Disable Switch Port
讓偽 DHCP Server的主人自動來求饒，解開網路Switch Port

A1: 不知道對不對!

1. traceroute ip找出所在vlan
2. 進switch看arp table
3. 再看是哪個port!

A2: 也不知道對不對!
DHCP主機使用固定MAC配固定IP, 不在permit的mac list, 全部block起來

步驟:

1. server 離線
2. 在 L3 switch上 ping server IP address.
   show arp 找到下接的 port 和 MAC address.
3. 如果下接的 switch 有網管功能, 在每層 switch 查 MAC table.
   一路找下去看兇手是接在哪個 port.
   如果 switch 沒網管, 就麻煩了. 只能先在上層把這個 MAC address 封掉,
   先避免影響 server.

我提供我想到的方法
概然是每層都有用 Vlan 去切割, 那每個人的IP跟MAC應該都是固定的, 那如果當某個IP衝突的時候, 會影的到的一定是其中一個人, Switch 或是 Router 上會出現兩個不同的MAC在搶同一個IP, 這情形, 就是把外來的MAC擋掉, 這樣對方就沒有辦法使用該網卡在公司環境上網了~

查尋的方式, 就要看Switch/Router有沒有這個功能, 或是使用該樓層的電腦去查詢這台電腦的MAC.

例如5F的 192.168.50.88 的IP被搶, 那先讓原先使用88的電腦中斷網路或拔掉網路線, 其它電腦去Ping 192.168.50.88, 在輸入 arp -p 查詢現在 88 電腦的MAC, 再到Switch/Router把這個MAC列入黑名單中.

如果 Switch或是Router可以記錄 MAC , 那建議使用白名單的設定方式, 會比較方便.

至於要找出這個兇手, 我想比較困難, 除非樓主準備了一些特殊軟體, 抓到入侵者後讓該電腦發出聲響或是取得該電腦的詳細資料, 不然要抓到是誰應該不太容易.