防止私接小路由器

电脑获取到IP地址不是DHCP服务器的IP地址段,导致整个公司网络瘫痪,这些故障现象通常80%原因是私接小路由器导致的,以下防止私接小路由器措施。

一、交换机配置DHCP Sooping

DHCP snooping是一种DHCP安全特性,用于防止非法设备获取DHCP分配的IP地址。在一个带有多个交换机的网络中,可以配置交换机以便它们对DHCP数据包进行监听和记录。

配置思路:用户终端接口开启DNCP Snooping功能,配置信任接口只接收DHCP服务器报文,这样用户终端即使接私接小路由,也无法发送DHCP报文。

配置参考如下:

1、全局开启DHCP

Sw1 dhcp enable

2、使能用户侧接口的DHCP Snooping功能,假设3口为用户终端端口

Sw1 interface ge 1/0/3

Sw1-ge1/0/3 dhcp snooping enable

3、配置信任接口,假设该口接DHCP服务器,以2口为例

Sw1 interface ge 0/0/2

SSw1-ge0/0/2 dhcp snooping trusted

二、交换机配置端口安全

端口安全是根据MAC地址对网络流量进行控制和管理的安全功能,该功能不仅将MAC地址与端口绑定,还可以限制端口学到的MAC地址的数量。端口安全功能可以阻止非法用户通过本端口和交换机通信,从而增强网络的安全性。

思路:用户终端侧接口开启终端安全并只允许学习一个MAC地址,发现私接小路由器后,接口学习到2个MAC地址,就自动shutdown,减少对现网影响。

配置参考如下:

1、在用户终端侧端口配置端口安全

Sw1 interface ge1/0/3

Sw1-ge1/0/3 port-security enable

2、限制端口学习MAC地址数量:

Sw1-ge1/0/3 port-security mac-address sticky

3、安全MAC地址限制数量为1

Sw1-ge1/0/3 port-security max-mac-num 1

4、发现非法接入设备,直接关闭端口并告警

Sw1-ge1/0/3port-security protect-action shutdown

三、交换机配置ACL访问控制

ACL(Access Control List,访问控制列表)是一种基于包过滤的访问控制技术,主要用于对网络流量进行控制和管理。ACL限制非法DHCP服务器接入的思路:DHCP 客户端使用源端口68发送数据包,服务端使用源端口67发送数据包,可限制用户终端接口67端口。

配置思路:通过ACL限制用户终端接口发送DHCP报文,进而即使私接小路由器也不会对现网产生影响。

配置参考如下:

1、配置ACL 3000

SW1acl 3000

2、配置规则,拒绝UDP 67端口

SW1-acl-adv-3000rule 5 deny udp source-port eq 67

SW1-acl-adv-3000rule 10 permit ip

3、ACL规则在用户终端接口应用

SW1-acl-adv-3000port-group group-member ge1/0/3 to ge1/0/4

SW1-acl-adv-3000traffic-filter inbound acl 3000

四、交换机配置Vlan隔离

VLAN 隔离技术根据特定的策略,把物理上形成的局域网(Local Area Network,LAN)划分成不同的逻辑子网,把数据链路层广播报文隔离在逻辑子网之内,形成各自的广播域,每个逻辑子网就是一个"虚拟的局域网(Virtual LAN)"每个接入至支持 VLAN 的交换机的终端设备,都属于一个特定的 VLAN,不同 VLAN 中的终端设备无法直接通过数据链路层通信。VLAN 技术有效限制了广播报文的传输范围,一定程度上抑制了广播风暴,提高了网络的安全性。

思路:将终端用户接口互相隔离,防止非法DHCP服务器对现网其他终端造成影响。

配置思路:开启vlan隔离,即使用户终端接口私接小路由器,也不会影响其他终端。

参考配置如下:

1、进入接口视图,以3口举例

SW1interface ge1/0/3

2、配置VLAN 10为隔离VLAN,只允许VLAN 10的数据通过,假设用户终端vlan 10

SW1-ge1/0/3 port isolate enable vlan 10

相关推荐
江华森15 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器
行走__Wz15 天前
【网工入门-eNSP模拟-07】单臂路由
网络·智能路由器
不方便,你要方便吗?15 天前
华为数通 HCIA 到 HCIE 学习大纲(第二部分:HCIP 篇)
智能路由器
lisw0516 天前
【计算机科学技术】路由器(route):概念、历史、内容与战略!
机器学习·智能路由器·软件工程
zbtlink16 天前
Mesh组网:真需求还是被制造的需求?
网络·智能路由器
袁小皮皮不皮16 天前
6.HCIP OSPF域间防环机制与虚链路
服务器·网络·笔记·网络协议·学习·智能路由器
CoderYanger16 天前
Java EE:5.网络原理-初识
java·网络·面试·职场和发展·java-ee·智能路由器·学习方法
行走__Wz17 天前
【网工入门-eNSP模拟-01】ip地址配置
网络·tcp/ip·智能路由器
酉鬼女又兒17 天前
零基础入门IPv4地址:从基本概念、分类编址、子网划分到无分类编址与应用规划全解
网络·网络协议·计算机网络·考研·职场和发展·分类·智能路由器
袁小皮皮不皮17 天前
3.HCIP OSPF补充知识(优化版)
服务器·网络·数据库·网络协议·智能路由器