电脑获取到IP地址不是DHCP服务器的IP地址段,导致整个公司网络瘫痪,这些故障现象通常80%原因是私接小路由器导致的,以下防止私接小路由器措施。
一、交换机配置DHCP Sooping
DHCP snooping是一种DHCP安全特性,用于防止非法设备获取DHCP分配的IP地址。在一个带有多个交换机的网络中,可以配置交换机以便它们对DHCP数据包进行监听和记录。
配置思路:用户终端接口开启DNCP Snooping功能,配置信任接口只接收DHCP服务器报文,这样用户终端即使接私接小路由,也无法发送DHCP报文。
配置参考如下:
1、全局开启DHCP
Sw1\] dhcp enable 2、使能用户侧接口的DHCP Snooping功能,假设3口为用户终端端口 \[Sw1\] interface ge 1/0/3 \[Sw1-ge1/0/3\] dhcp snooping enable 3、配置信任接口,假设该口接DHCP服务器,以2口为例 \[Sw1\] interface ge 0/0/2 \[SSw1-ge0/0/2\] dhcp snooping trusted #### 二、交换机配置端口安全 端口安全是根据MAC地址对网络流量进行控制和管理的安全功能,该功能不仅将MAC地址与端口绑定,还可以限制端口学到的MAC地址的数量。端口安全功能可以阻止非法用户通过本端口和交换机通信,从而增强网络的安全性。 思路:用户终端侧接口开启终端安全并只允许学习一个MAC地址,发现私接小路由器后,接口学习到2个MAC地址,就自动shutdown,减少对现网影响。 配置参考如下: 1、在用户终端侧端口配置端口安全 \[Sw1\] interface ge1/0/3 \[Sw1-ge1/0/3\] port-security enable 2、限制端口学习MAC地址数量: \[Sw1-ge1/0/3\] port-security mac-address sticky 3、安全MAC地址限制数量为1 \[Sw1-ge1/0/3\] port-security max-mac-num 1 4、发现非法接入设备,直接关闭端口并告警 \[Sw1-ge1/0/3\]port-security protect-action shutdown #### 三、交换机配置ACL访问控制 ACL(Access Control List,访问控制列表)是一种基于包过滤的访问控制技术,主要用于对网络流量进行控制和管理。ACL限制非法DHCP服务器接入的思路:DHCP 客户端使用源端口68发送数据包,服务端使用源端口67发送数据包,可限制用户终端接口67端口。 配置思路:通过ACL限制用户终端接口发送DHCP报文,进而即使私接小路由器也不会对现网产生影响。 配置参考如下: 1、配置ACL 3000 \[SW1\]acl 3000 2、配置规则,拒绝UDP 67端口 \[SW1-acl-adv-3000\]rule 5 deny udp source-port eq 67 \[SW1-acl-adv-3000\]rule 10 permit ip 3、ACL规则在用户终端接口应用 \[SW1-acl-adv-3000\]port-group group-member ge1/0/3 to ge1/0/4 \[SW1-acl-adv-3000\]traffic-filter inbound acl 3000 #### 四、交换机配置Vlan隔离 VLAN 隔离技术根据特定的策略,把物理上形成的局域网(Local Area Network,LAN)划分成不同的逻辑子网,把数据链路层广播报文隔离在逻辑子网之内,形成各自的广播域,每个逻辑子网就是一个"虚拟的局域网(Virtual LAN)"每个接入至支持 VLAN 的交换机的终端设备,都属于一个特定的 VLAN,不同 VLAN 中的终端设备无法直接通过数据链路层通信。VLAN 技术有效限制了广播报文的传输范围,一定程度上抑制了广播风暴,提高了网络的安全性。 思路:将终端用户接口互相隔离,防止非法DHCP服务器对现网其他终端造成影响。 配置思路:开启vlan隔离,即使用户终端接口私接小路由器,也不会影响其他终端。 参考配置如下: 1、进入接口视图,以3口举例 \[SW1\]interface ge1/0/3 2、配置VLAN 10为隔离VLAN,只允许VLAN 10的数据通过,假设用户终端vlan 10 \[SW1-ge1/0/3\] port isolate enable vlan 10