交換網(wǎng)絡(luò)中簡(jiǎn)單的兩個(gè)安全技巧

在生產(chǎn)環(huán)境中，如果對(duì)LAN的安全要求不高，不想配置太多的安全技術(shù)，有以下兩種技術(shù)可以用到網(wǎng)絡(luò)中，以利于網(wǎng)絡(luò)的安全性及穩(wěn)定性，它們分別是：BPDU保護(hù)、DHCP-Snooping兩種技術(shù)。那么它們分別能實(shí)現(xiàn)什么樣的功能呢？

創(chuàng)新互聯(lián)建站專(zhuān)注于法庫(kù)網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。熱誠(chéng)為您提供法庫(kù)營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，法庫(kù)網(wǎng)站制作、法庫(kù)網(wǎng)頁(yè)設(shè)計(jì)、法庫(kù)網(wǎng)站官網(wǎng)定制、小程序設(shè)計(jì)服務(wù)，打造法庫(kù)網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供法庫(kù)網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

一、 BPDU保護(hù)

談到BPDU保護(hù)技術(shù)就需要先說(shuō)到STP技術(shù)，STP技術(shù)是一種二層防環(huán)技術(shù)，用于防止環(huán)路的產(chǎn)生，如果生產(chǎn)環(huán)境交換機(jī)支持STP，那么非常建議開(kāi)啟STP，不管是STP還是RSTP還是MSTP，華為設(shè)備上默認(rèn)開(kāi)啟了MSTP。
開(kāi)啟了STP以后，交換機(jī)的接口都處于STP的拓?fù)渲?，?dāng)端口進(jìn)入轉(zhuǎn)發(fā)狀態(tài)后，會(huì)引起STP的重新收斂，這樣會(huì)導(dǎo)致網(wǎng)絡(luò)的震蕩，那么怎么樣使得：交換機(jī)開(kāi)啟STP，而一些經(jīng)常需要UP/DOWN的端口（接主機(jī)）不參與STP的計(jì)算呢，這時(shí)就出現(xiàn)了邊緣端口（思科叫portfast），這種端口是由管理員手工定義的，它們不參與STP的計(jì)算，能直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。這里還有一個(gè)好處就是用戶不必要經(jīng)過(guò)30秒的等待時(shí)間才能與網(wǎng)絡(luò)通信。我入職過(guò)的一家公司就出現(xiàn)過(guò)這個(gè)問(wèn)題，網(wǎng)管員沒(méi)有開(kāi)啟edged-port功能，導(dǎo)致用戶需30S才能接入網(wǎng)絡(luò)，導(dǎo)致用戶不滿意。
舉個(gè)例子：公司的核心是77系列的交換機(jī)，接入是5700LI的交換機(jī)，從5700LI上接了一條網(wǎng)線到會(huì)議室，用于會(huì)議室的上網(wǎng)。有一天，公司將會(huì)議室換成了辦公室，有5個(gè)人在那里辦公，領(lǐng)導(dǎo)決定在會(huì)議室里部署一個(gè)傻瓜交換機(jī)，用于這幾個(gè)用戶的辦公。如果上接入層5700上沒(méi)有配置STP技術(shù)，當(dāng)有一天，用戶掉線了，他去將8口小交換機(jī)的線整了一下，不小心將一條網(wǎng)線連接了8口小交換機(jī)的5口和6口，這樣就形成了一個(gè)環(huán)路。
如果你全網(wǎng)的交換機(jī)沒(méi)有開(kāi)啟STP技術(shù)，這樣會(huì)導(dǎo)致三個(gè)問(wèn)題：廣播風(fēng)暴、多幀復(fù)制以及MAC地址表不穩(wěn)定。最終的結(jié)果其實(shí)就是網(wǎng)絡(luò)慢、丟包、斷網(wǎng)。所以網(wǎng)絡(luò)中很有必要部署STP的技術(shù)。那么，BPDU保護(hù)又是怎么樣一回事呢， BPDU保護(hù)是指，當(dāng)一個(gè)接口開(kāi)啟了BPDU保護(hù)，如果它接收到了BPDU的幀，那么，交換機(jī)會(huì)將接口置為err-disabled狀態(tài)，這個(gè)狀態(tài)等效于shutdown狀態(tài)，這樣就可以防止環(huán)路的產(chǎn)生。
接下來(lái)，我們看看需要在哪些端口上部署成為邊緣端口，哪些端口需要開(kāi)啟BPDU保護(hù)?     所謂邊緣端口是指由管理員手工指定的，用于連接主機(jī)的端口，在正常情況下，這些端口不會(huì)連接交換機(jī)，不會(huì)接收到BPDU，不會(huì)產(chǎn)生環(huán)路。哪些端口需要開(kāi)啟BPDU保護(hù)：邊緣端口，華為的設(shè)備只需要在全局開(kāi)啟BPDU保護(hù)即可。
配置：
1. 全局開(kāi)啟STP和BPDU保護(hù)
stp mode rstp
stp bpdu-protection
2. 接口開(kāi)啟邊緣端口

interface GigabitEthernet0/0/1
stp edged-port enable
二、 DHCP-Snooping
這里介紹的基礎(chǔ)的DHCP-Snooping技術(shù)，是為了防止惡意的DHCP服務(wù)器出現(xiàn)，導(dǎo)致網(wǎng)絡(luò)中的用戶獲取到錯(cuò)誤的IP地址，從而不能正常使用網(wǎng)絡(luò)，在沒(méi)有×××的情況下，什么時(shí)候會(huì)出現(xiàn)偽造的DHCP呢？我們常見(jiàn)的小路由就會(huì)出現(xiàn)這種情況，比如，用戶為了將公司的網(wǎng)絡(luò)從有線轉(zhuǎn)成無(wú)線，弄個(gè)家用無(wú)線路由過(guò)來(lái)，如果他不小心將無(wú)線路由的LAN接口連接到了現(xiàn)網(wǎng)中，那么現(xiàn)網(wǎng)中的用戶就有可能獲取到錯(cuò)誤的IP。接下來(lái)，我們分兩個(gè)步驟來(lái)看看怎么解決這個(gè)問(wèn)題
（一）、查找無(wú)線路由器
                1. 第一步，肯定會(huì)有用戶告訴你他無(wú)法上網(wǎng)了，你到了現(xiàn)場(chǎng)會(huì)去PING正確的網(wǎng)關(guān)，發(fā)現(xiàn)PING不通。接下來(lái)，你會(huì)查看用戶的IP地址，發(fā)現(xiàn)他獲取了一個(gè)錯(cuò)誤的IP，那么你肯定需要找出提供DHCP的無(wú)線路由器
                2. 第二步，在獲取到錯(cuò)誤IP地址的電腦上，查看ARP表，找到網(wǎng)關(guān)的MAC地址，一般來(lái)講，這個(gè)MAC地址就是無(wú)線路由器的MAC地址（ARP -a）
                3. 第3步，登錄交換機(jī)，查找這個(gè)MAC地址，如果找到這個(gè)MAC地址屬于哪個(gè)接入交換機(jī)的非上行接口，那肯定就是這個(gè)接口連接了無(wú)線路由，將接口 shutdown，用戶就不會(huì)獲取到錯(cuò)誤的IP地址了。   （這里的小竅門(mén)就是：這個(gè)無(wú)線路由肯定是這個(gè)VLAN中，如果你知道這個(gè)VLAN一共有多少交換機(jī)，一臺(tái)一臺(tái)看也行；如果不知道，從核心開(kāi)始看，看核心的哪個(gè)端口學(xué)習(xí)到了這個(gè)MAC，再往下一層，即核心學(xué)習(xí)到了這個(gè)MAC的端口連接的是哪個(gè)交換機(jī)。這樣，就可以找出來(lái)無(wú)線路由在哪里了） display mac-address | include XXXX.XXXX.XXXX        思科的交換機(jī)就是show mac-address這個(gè)命令了
（二）、使用DHCP-Snooping使偽造的路由器無(wú)法提供IP給用戶
            DHCP-Snooping的作用是，當(dāng)你在交換機(jī)開(kāi)啟了DHCP Snooping技術(shù)以后，默認(rèn)所有的接口都是非信任接口，這些接口都不能發(fā)送DHCP-Offer和DHCP-ACK的報(bào)文，使得非信任接口上連接的DHCP服務(wù)器不能提供IP地址給用戶，并且，開(kāi)啟了DHCP Snooping的交換機(jī)還會(huì)形成一張IP-MAC-VLAN-Port-lease時(shí)間的綁定表。我們一般在接入層交換機(jī)上開(kāi)啟DHCP Snooping技術(shù)。
<netoffice-0605>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease
--------------------------------------------------------------------------------
192.168.58.62    3c97-0e44-fff5 58 /-- /--    GE0/0/13       2018.09.16-08:05
192.168.58.47    507b-9d53-3e88 58 /-- /--    GE0/0/24       2018.09.16-08:12
192.168.58.67    3c97-0e72-0b3b 58 /-- /--    GE0/0/46       2018.09.16-08:20
那么如何配置DHCP Snooping呢？
分三個(gè)步驟：
1. 全局開(kāi)啟dhcp
2. 全局開(kāi)啟DHCP snooping
3. 在接口下開(kāi)啟DHCP snooping 或者在VLAN下開(kāi)啟DHCP snooping,在vlan 下開(kāi)啟了DHCP snooping，等效于交換機(jī)上屬于這個(gè)VLAN的接口都開(kāi)啟了dhcp snooping
4. 將上行接口設(shè)置為信任接口
配置：
dhcp enable
#
dhcp snooping enable ipv4
#
vlan 58
dhcp snooping enable
#
interface GigabitEthernet0/0/52
dhcp snooping trusted
#
現(xiàn)網(wǎng)中，經(jīng)過(guò)這兩個(gè)步驟的配置，就能防止一些常見(jiàn)的故障了，能解決環(huán)路和非法DHCP服務(wù)器帶來(lái)的問(wèn)題了。

網(wǎng)站標(biāo)題：交換網(wǎng)絡(luò)中簡(jiǎn)單的兩個(gè)安全技巧
網(wǎng)頁(yè)路徑：http://muchs.cn/article12/gdcgdc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、電子商務(wù)、品牌網(wǎng)站設(shè)計(jì)、關(guān)鍵詞優(yōu)化、Google、網(wǎng)站排名

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容