电脑获取到IP地址不是DHCP服务器的IP地址段,导致整个公司网络瘫痪,这些故障现象通常80%原因是私接小路由器导致的,以下防止私接小路由器措施。
一、交换机配置DHCP Sooping
DHCP snooping是一种DHCP安全特性,用于防止非法设备获取DHCP分配的IP地址。在一个带有多个交换机的网络中,可以配置交换机以便它们对DHCP数据包进行监听和记录。
配置思路:用户终端接口开启DNCP Snooping功能,配置信任接口只接收DHCP服务器报文,这样用户终端即使接私接小路由,也无法发送DHCP报文。
配置参考如下:
1、全局开启DHCP
[Sw1] dhcp enable
2、使能用户侧接口的DHCP Snooping功能,假设3口为用户终端端口
[Sw1] interface ge 1/0/3
[Sw1-ge1/0/3] dhcp snooping enable
3、配置信任接口,假设该口接DHCP服务器,以2口为例
[Sw1] interface ge 0/0/2
[SSw1-ge0/0/2] dhcp snooping trusted
二、交换机配置端口安全
端口安全是根据MAC地址对网络流量进行控制和管理的安全功能,该功能不仅将MAC地址与端口绑定,还可以限制端口学到的MAC地址的数量。端口安全功能可以阻止非法用户通过本端口和交换机通信,从而增强网络的安全性。
思路:用户终端侧接口开启终端安全并只允许学习一个MAC地址,发现私接小路由器后,接口学习到2个MAC地址,就自动shutdown,减少对现网影响。
配置参考如下:
1、在用户终端侧端口配置端口安全
[Sw1] interface ge1/0/3
[Sw1-ge1/0/3] port-security enable
2、限制端口学习MAC地址数量:
[Sw1-ge1/0/3] port-security mac-address sticky
3、安全MAC地址限制数量为1
[Sw1-ge1/0/3] port-security max-mac-num 1
4、发现非法接入设备,直接关闭端口并告警
[Sw1-ge1/0/3]port-security protect-action shutdown
三、交换机配置ACL访问控制
ACL(Access Control List,访问控制列表)是一种基于包过滤的访问控制技术,主要用于对网络流量进行控制和管理。ACL限制非法DHCP服务器接入的思路:DHCP 客户端使用源端口68发送数据包,服务端使用源端口67发送数据包,可限制用户终端接口67端口。
配置思路:通过ACL限制用户终端接口发送DHCP报文,进而即使私接小路由器也不会对现网产生影响。
配置参考如下:
1、配置ACL 3000
[SW1]acl 3000
2、配置规则,拒绝UDP 67端口
[SW1-acl-adv-3000]rule 5 deny udp source-port eq 67
[SW1-acl-adv-3000]rule 10 permit ip
3、ACL规则在用户终端接口应用
[SW1-acl-adv-3000]port-group group-member ge1/0/3 to ge1/0/4
[SW1-acl-adv-3000]traffic-filter inbound acl 3000
四、交换机配置Vlan隔离
VLAN 隔离技术根据特定的策略,把物理上形成的局域网(Local Area Network,LAN)划分成不同的逻辑子网,把数据链路层广播报文隔离在逻辑子网之内,形成各自的广播域,每个逻辑子网就是一个“虚拟的局域网(Virtual LAN)”每个接入至支持 VLAN 的交换机的终端设备,都属于一个特定的 VLAN,不同 VLAN 中的终端设备无法直接通过数据链路层通信。VLAN 技术有效限制了广播报文的传输范围,一定程度上抑制了广播风暴,提高了网络的安全性。
思路:将终端用户接口互相隔离,防止非法DHCP服务器对现网其他终端造成影响。
配置思路:开启vlan隔离,即使用户终端接口私接小路由器,也不会影响其他终端。
参考配置如下:
1、进入接口视图,以3口举例
[SW1]interface ge1/0/3
2、配置VLAN 10为隔离VLAN,只允许VLAN 10的数据通过,假设用户终端vlan 10
[SW1-ge1/0/3] port isolate enable vlan 10