在生產環境中，如果對LAN的安全要求不高，不想配置太多的安全技術，有以下兩種技術可以用到網絡中，以利于網絡的安全性及穩定性，它們分別是：BPDU保護、DHCP-Snooping兩種技術。那么它們分別能實現什么樣的功能呢？

創新互聯建站專注于法庫網站建設服務及定制，我們擁有豐富的企業做網站經驗。 熱誠為您提供法庫營銷型網站建設，法庫網站制作、法庫網頁設計、法庫網站官網定制、小程序設計服務，打造法庫網絡公司原創品牌,更為您提供法庫網站排名全網營銷落地服務。

一、 BPDU保護

談到BPDU保護技術就需要先說到STP技術，STP技術是一種二層防環技術，用于防止環路的產生，如果生產環境交換機支持STP，那么非常建議開啟STP，不管是STP還是RSTP還是MSTP，華為設備上默認開啟了MSTP。

開啟了STP以后，交換機的接口都處于STP的拓撲中，當端口進入轉發狀態后，會引起STP的重新收斂，這樣會導致網絡的震蕩，那么怎么樣使得：交換機開啟STP，而一些經常需要UP/DOWN的端口（接主機）不參與STP的計算呢，這時就出現了邊緣端口（思科叫portfast），這種端口是由管理員手工定義的，它們不參與STP的計算，能直接進入轉發狀態。這里還有一個好處就是用戶不必要經過30秒的等待時間才能與網絡通信。我入職過的一家公司就出現過這個問題，網管員沒有開啟edged-port功能，導致用戶需30S才能接入網絡，導致用戶不滿意。

舉個例子：公司的核心是77系列的交換機，接入是5700LI的交換機，從5700LI上接了一條網線到會議室，用于會議室的上網。 有一天，公司將會議室換成了辦公室，有5個人在那里辦公，領導決定在會議室里部署一個傻瓜交換機，用于這幾個用戶的辦公。如果上接入層5700上沒有配置STP技術，當有一天，用戶掉線了，他去將8口小交換機的線整了一下，不小心將一條網線連接了8口小交換機的5口和6口，這樣就形成了一個環路。

如果你全網的交換機沒有開啟STP技術，這樣會導致三個問題：廣播風暴、多幀復制以及MAC地址表不穩定。 最終的結果其實就是網絡慢、丟包、斷網。所以網絡中很有必要部署STP的技術。  那么，BPDU保護又是怎么樣一回事呢， BPDU保護是指，當一個接口開啟了BPDU保護，如果它接收到了BPDU的幀，那么，交換機會將接口置為err-disabled狀態，這個狀態等效于shutdown狀態，這樣就可以防止環路的產生。

接下來，我們看看需要在哪些端口上部署成為邊緣端口，哪些端口需要開啟BPDU保護?     所謂邊緣端口是指由管理員手工指定的，用于連接主機的端口，在正常情況下，這些端口不會連接交換機，不會接收到BPDU，不會產生環路。哪些端口需要開啟BPDU保護：邊緣端口，華為的設備只需要在全局開啟BPDU保護即可。

配置：

1. 全局開啟STP和BPDU保護

stp mode rstp
stp bpdu-protection

2. 接口開啟邊緣端口

interface GigabitEthernet0/0/1
  stp edged-port enable

二、 DHCP-Snooping

這里介紹的基礎的DHCP-Snooping技術，是為了防止惡意的DHCP服務器出現，導致網絡中的用戶獲取到錯誤的IP地址，從而不能正常使用網絡，在沒有×××的情況下，什么時候會出現偽造的DHCP呢？ 我們常見的小路由就會出現這種情況，比如，用戶為了將公司的網絡從有線轉成無線，弄個家用無線路由過來，如果他不小心將無線路由的LAN接口連接到了現網中，那么現網中的用戶就有可能獲取到錯誤的IP。接下來，我們分兩個步驟來看看怎么解決這個問題

（一）、查找無線路由器

                1. 第一步，肯定會有用戶告訴你他無法上網了，你到了現場會去PING正確的網關，發現PING不通。 接下來，你會查看用戶的IP地址，發現他獲取了一個錯誤的IP，那么你肯定需要找出提供DHCP的無線路由器

                2.  第二步，在獲取到錯誤IP地址的電腦上，查看ARP表，找到網關的MAC地址，一般來講，這個MAC地址就是無線路由器的MAC地址  （ARP -a）

                3. 第3步，登錄交換機，查找這個MAC地址，如果找到這個MAC地址屬于哪個接入交換機的非上行接口，那肯定就是這個接口連接了無線路由，將接口 shutdown，用戶就不會獲取到錯誤的IP地址了。   （這里的小竅門就是：這個無線路由肯定是這個VLAN中，如果你知道這個VLAN一共有多少交換機，一臺一臺看也行；  如果不知道，從核心開始看，看核心的哪個端口學習到了這個MAC，再往下一層，即核心學習到了這個MAC的端口連接的是哪個交換機。 這樣，就可以找出來無線路由在哪里了）  display mac-address | include  XXXX.XXXX.XXXX        思科的交換機就是show mac-address這個命令了

（二）、使用DHCP-Snooping使偽造的路由器無法提供IP給用戶

            DHCP-Snooping的作用是，當你在交換機開啟了DHCP Snooping技術以后，默認所有的接口都是非信任接口，這些接口都不能發送DHCP-Offer和DHCP-ACK的報文，使得非信任接口上連接的DHCP服務器不能提供IP地址給用戶，并且，開啟了DHCP Snooping的交換機還會形成一張IP-MAC-VLAN-Port-lease時間的綁定表。 我們一般在接入層交換機上開啟DHCP Snooping技術。

<netoffice-0605>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease          
--------------------------------------------------------------------------------
192.168.58.62    3c97-0e44-fff5  58  /--  /--    GE0/0/13       2018.09.16-08:05
192.168.58.47    507b-9d53-3e88  58  /--  /--    GE0/0/24       2018.09.16-08:12
192.168.58.67    3c97-0e72-0b3b  58  /--  /--    GE0/0/46       2018.09.16-08:20

那么如何配置DHCP  Snooping呢？

分三個步驟：

1. 全局開啟dhcp

2. 全局開啟DHCP snooping

3. 在接口下開啟DHCP snooping 或者在VLAN下開啟DHCP snooping,在vlan 下開啟了DHCP snooping，等效于交換機上屬于這個VLAN的接口都開啟了dhcp snooping

4. 將上行接口設置為信任接口

配置：

dhcp enable
#
dhcp snooping enable ipv4
#
vlan 58
  dhcp snooping enable
#

interface GigabitEthernet0/0/52          
  dhcp snooping trusted
#

現網中，經過這兩個步驟的配置，就能防止一些常見的故障了，能解決環路和非法DHCP服務器帶來的問題了。

網站標題：交換網絡中簡單的兩個安全技巧
網頁路徑：http://m.newbst.com/article12/gdcgdc.html

成都網站建設公司_創新互聯，為您提供標簽優化、電子商務、品牌網站設計、關鍵詞優化、Google、網站排名

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯