在生產(chǎn)環(huán)境中�����,如果對LAN的安全要求不高�����,不想配置太多的安全技術(shù)���,有以下兩種技術(shù)可以用到網(wǎng)絡(luò)中���,以利于網(wǎng)絡(luò)的安全性及穩(wěn)定性,它們分別是:BPDU保護(hù)���、DHCP-Snooping兩種技術(shù)�����。那么它們分別能實(shí)現(xiàn)什么樣的功能呢���?
談到BPDU保護(hù)技術(shù)就需要先說到STP技術(shù)��,STP技術(shù)是一種二層防環(huán)技術(shù),用于防止環(huán)路的產(chǎn)生���,如果生產(chǎn)環(huán)境交換機(jī)支持STP�����,那么非常建議開啟STP,不管是STP還是RSTP還是MSTP�,華為設(shè)備上默認(rèn)開啟了MSTP。
開啟了STP以后�����,交換機(jī)的接口都處于STP的拓?fù)渲?����,?dāng)端口進(jìn)入轉(zhuǎn)發(fā)狀態(tài)后�����,會引起STP的重新收斂���,這樣會導(dǎo)致網(wǎng)絡(luò)的震蕩���,那么怎么樣使得:交換機(jī)開啟STP����,而一些經(jīng)常需要UP/DOWN的端口(接主機(jī))不參與STP的計(jì)算呢�����,這時(shí)就出現(xiàn)了邊緣端口(思科叫portfast)����,這種端口是由管理員手工定義的,它們不參與STP的計(jì)算��,能直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)�。這里還有一個(gè)好處就是用戶不必要經(jīng)過30秒的等待時(shí)間才能與網(wǎng)絡(luò)通信。我入職過的一家公司就出現(xiàn)過這個(gè)問題����,網(wǎng)管員沒有開啟edged-port功能,導(dǎo)致用戶需30S才能接入網(wǎng)絡(luò)���,導(dǎo)致用戶不滿意�。
舉個(gè)例子:公司的核心是77系列的交換機(jī),接入是5700LI的交換機(jī)�����,從5700LI上接了一條網(wǎng)線到會議室�,用于會議室的上網(wǎng)。 有一天�,公司將會議室換成了辦公室,有5個(gè)人在那里辦公�����,領(lǐng)導(dǎo)決定在會議室里部署一個(gè)傻瓜交換機(jī)����,用于這幾個(gè)用戶的辦公��。如果上接入層5700上沒有配置STP技術(shù)���,當(dāng)有一天���,用戶掉線了,他去將8口小交換機(jī)的線整了一下����,不小心將一條網(wǎng)線連接了8口小交換機(jī)的5口和6口�,這樣就形成了一個(gè)環(huán)路�。
如果你全網(wǎng)的交換機(jī)沒有開啟STP技術(shù),這樣會導(dǎo)致三個(gè)問題:廣播風(fēng)暴����、多幀復(fù)制以及MAC地址表不穩(wěn)定。 最終的結(jié)果其實(shí)就是網(wǎng)絡(luò)慢���、丟包����、斷網(wǎng)��。所以網(wǎng)絡(luò)中很有必要部署STP的技術(shù)�。 那么,BPDU保護(hù)又是怎么樣一回事呢�����, BPDU保護(hù)是指���,當(dāng)一個(gè)接口開啟了BPDU保護(hù)�,如果它接收到了BPDU的幀,那么�����,交換機(jī)會將接口置為err-disabled狀態(tài)����,這個(gè)狀態(tài)等效于shutdown狀態(tài),這樣就可以防止環(huán)路的產(chǎn)生���。
接下來����,我們看看需要在哪些端口上部署成為邊緣端口����,哪些端口需要開啟BPDU保護(hù)? 所謂邊緣端口是指由管理員手工指定的�����,用于連接主機(jī)的端口�,在正常情況下,這些端口不會連接交換機(jī)�,不會接收到BPDU,不會產(chǎn)生環(huán)路。哪些端口需要開啟BPDU保護(hù):邊緣端口��,華為的設(shè)備只需要在全局開啟BPDU保護(hù)即可��。
配置:
1. 全局開啟STP和BPDU保護(hù)
stp mode rstp
stp bpdu-protection
2. 接口開啟邊緣端口
interface GigabitEthernet0/0/1
stp edged-port enable
二���、 DHCP-Snooping
這里介紹的基礎(chǔ)的DHCP-Snooping技術(shù)�����,是為了防止惡意的DHCP服務(wù)器出現(xiàn)���,導(dǎo)致網(wǎng)絡(luò)中的用戶獲取到錯(cuò)誤的IP地址,從而不能正常使用網(wǎng)絡(luò)����,在沒有×××的情況下,什么時(shí)候會出現(xiàn)偽造的DHCP呢�����? 我們常見的小路由就會出現(xiàn)這種情況�,比如,用戶為了將公司的網(wǎng)絡(luò)從有線轉(zhuǎn)成無線�����,弄個(gè)家用無線路由過來,如果他不小心將無線路由的LAN接口連接到了現(xiàn)網(wǎng)中����,那么現(xiàn)網(wǎng)中的用戶就有可能獲取到錯(cuò)誤的IP。接下來��,我們分兩個(gè)步驟來看看怎么解決這個(gè)問題
(一)��、查找無線路由器
1. 第一步��,肯定會有用戶告訴你他無法上網(wǎng)了�,你到了現(xiàn)場會去PING正確的網(wǎng)關(guān),發(fā)現(xiàn)PING不通����。 接下來,你會查看用戶的IP地址�����,發(fā)現(xiàn)他獲取了一個(gè)錯(cuò)誤的IP�����,那么你肯定需要找出提供DHCP的無線路由器
2. 第二步�����,在獲取到錯(cuò)誤IP地址的電腦上�����,查看ARP表�����,找到網(wǎng)關(guān)的MAC地址�,一般來講,這個(gè)MAC地址就是無線路由器的MAC地址 (ARP -a)
3. 第3步��,登錄交換機(jī)����,查找這個(gè)MAC地址,如果找到這個(gè)MAC地址屬于哪個(gè)接入交換機(jī)的非上行接口���,那肯定就是這個(gè)接口連接了無線路由��,將接口 shutdown��,用戶就不會獲取到錯(cuò)誤的IP地址了����。 (這里的小竅門就是:這個(gè)無線路由肯定是這個(gè)VLAN中,如果你知道這個(gè)VLAN一共有多少交換機(jī)�,一臺一臺看也行; 如果不知道��,從核心開始看���,看核心的哪個(gè)端口學(xué)習(xí)到了這個(gè)MAC����,再往下一層��,即核心學(xué)習(xí)到了這個(gè)MAC的端口連接的是哪個(gè)交換機(jī)�。 這樣,就可以找出來無線路由在哪里了) display mac-address | include XXXX.XXXX.XXXX 思科的交換機(jī)就是show mac-address這個(gè)命令了
(二)�、使用DHCP-Snooping使偽造的路由器無法提供IP給用戶
DHCP-Snooping的作用是,當(dāng)你在交換機(jī)開啟了DHCP Snooping技術(shù)以后����,默認(rèn)所有的接口都是非信任接口�,這些接口都不能發(fā)送DHCP-Offer和DHCP-ACK的報(bào)文�����,使得非信任接口上連接的DHCP服務(wù)器不能提供IP地址給用戶����,并且����,開啟了DHCP Snooping的交換機(jī)還會形成一張IP-MAC-VLAN-Port-lease時(shí)間的綁定表。 我們一般在接入層交換機(jī)上開啟DHCP Snooping技術(shù)�。
display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
192.168.58.62 3c97-0e44-fff5 58 /-- /-- GE0/0/13 2018.09.16-08:05
192.168.58.47 507b-9d53-3e88 58 /-- /-- GE0/0/24 2018.09.16-08:12
192.168.58.67 3c97-0e72-0b3b 58 /-- /-- GE0/0/46 2018.09.16-08:20
那么如何配置DHCP Snooping呢?
分三個(gè)步驟:
1. 全局開啟dhcp
2. 全局開啟DHCP snooping
3. 在接口下開啟DHCP snooping 或者在VLAN下開啟DHCP snooping,在vlan 下開啟了DHCP snooping���,等效于交換機(jī)上屬于這個(gè)VLAN的接口都開啟了dhcp snooping
4. 將上行接口設(shè)置為信任接口
配置:
dhcp enable
#
dhcp snooping enable ipv4
#
vlan 58
dhcp snooping enable
#
interface GigabitEthernet0/0/52
dhcp snooping trusted
#
現(xiàn)網(wǎng)中�,經(jīng)過這兩個(gè)步驟的配置�����,就能防止一些常見的故障了��,能解決環(huán)路和非法DHCP服務(wù)器帶來的問題了�����。
重慶分公司
重慶分公司
