在线客服
扫描二维码
下载博学谷APP扫描二维码
关注博学谷微信公众号
网络技术的发展在给我们的生活和工作带来巨大便利的同时,也埋下了不少安全隐患。这里和大家分享2个在交换网络中简单的安全技巧。它们分别是:BPDU保护、DHCP-Snooping两种技术。
一、 BPDU保护
谈到BPDU保护技术就需要先说到STP技术,STP技术是一种二层防环技术,用于防止环路的产生,如果生产环境交换机支持STP,那么非常建议开启STP,不管是STP还是RSTP还是MSTP,华为设备上默认开启了MSTP。
开启了STP以后,交换机的接口都处于STP的拓扑中,当端口进入转发状态后,会引起STP的重新收敛,这样会导致网络的震荡,那么怎么样使得:交换机开启STP,而一些经常需要UP/DOWN的端口(接主机)不参与STP的计算呢,这时就出现了边缘端口(思科叫portfast),这种端口是由管理员手工定义的,它们不参与STP的计算,能直接进入转发状态。这里还有一个好处就是用户不必要经过30秒的等待时间才能与网络通信。我入职过的一家公司就出现过这个问题,网管员没有开启edged-port功能,导致用户需30S才能接入网络,导致用户不满意。
举个例子:公司的核心是77系列的交换机,接入是5700LI的交换机,从5700LI上接了一条网线到会议室,用于会议室的上网。 有一天,公司将会议室换成了办公室,有5个人在那里办公,领导决定在会议室里部署一个傻瓜交换机,用于这几个用户的办公。如果上接入层5700上没有配置STP技术,当有一天,用户掉线了,他去将8口小交换机的线整了一下,不小心将一条网线连接了8口小交换机的5口和6口,这样就形成了一个环路。
如果你全网的交换机没有开启STP技术,这样会导致三个问题:广播风暴、多帧复制以及MAC地址表不稳定。 最终的结果其实就是网络慢、丢包、断网。所以网络中很有必要部署STP的技术。那么,BPDU保护又是怎么样一回事呢, BPDU保护是指,当一个接口开启了BPDU保护,如果它接收到了BPDU的帧,那么,交换机会将接口置为err-disabled状态,这个状态等效于shutdown状态,这样就可以防止环路的产生。
接下来,我们看看需要在哪些端口上部署成为边缘端口,哪些端口需要开启BPDU保护?所谓边缘端口是指由管理员手工指定的,用于连接主机的端口,在正常情况下,这些端口不会连接交换机,不会接收到BPDU,不会产生环路。哪些端口需要开启BPDU保护:边缘端口,华为的设备只需要在全局开启BPDU保护即可。
配置:
1. 全局开启STP和BPDU保护
stp mode rstp
stp bpdu-protection
2. 接口开启边缘端口
interface GigabitEthernet0/0/1
stp edged-port enable
二、 DHCP-Snooping
这里介绍的基础的DHCP-Snooping技术,是为了防止恶意的DHCP服务器出现,导致网络中的用户获取到错误的IP地址,从而不能正常使用网络,在没有×××的情况下,什么时候会出现伪造的DHCP呢? 我们常见的小路由就会出现这种情况,比如,用户为了将公司的网络从有线转成无线,弄个家用无线路由过来,如果他不小心将无线路由的LAN接口连接到了现网中,那么现网中的用户就有可能获取到错误的IP。接下来,我们分两个步骤来看看怎么解决这个问题
(一)、查找无线路由器
第一步,肯定会有用户告诉你他无法上网了,你到了现场会去PING正确的网关,发现PING不通。 接下来,你会查看用户的IP地址,发现他获取了一个错误的IP,那么你肯定需要找出提供DHCP的无线路由器
第二步,在获取到错误IP地址的电脑上,查看ARP表,找到网关的MAC地址,一般来讲,这个MAC地址就是无线路由器的MAC地址(ARP -a)
第三步,登录交换机,查找这个MAC地址,如果找到这个MAC地址属于哪个接入交换机的非上行接口,那肯定就是这个接口连接了无线路由,将接口 shutdown,用户就不会获取到错误的IP地址了。这里的小窍门就是:这个无线路由肯定是这个VLAN中,如果你知道这个VLAN一共有多少交换机,一台一台看也行;如果不知道,从核心开始看,看核心的哪个端口学习到了这个MAC,再往下一层,即核心学习到了这个MAC的端口连接的是哪个交换机。 这样,就可以找出来无线路由在哪里了)display mac-address | includeXXXX.XXXX.XXXX思科的交换机就是show mac-address这个命令了
(二)、使用DHCP-Snooping使伪造的路由器无法提供IP给用户
DHCP-Snooping的作用是,当你在交换机开启了DHCP Snooping技术以后,默认所有的接口都是非信任接口,这些接口都不能发送DHCP-Offer和DHCP-ACK的报文,使得非信任接口上连接的DHCP服务器不能提供IP地址给用户,并且,开启了DHCP Snooping的交换机还会形成一张IP-MAC-VLAN-Port-lease时间的绑定表。 我们一般在接入层交换机上开启DHCP Snooping技术。
<netoffice-0605>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
192.168.58.62 3c97-0e44-fff5 58/--/--GE0/0/13 2018.09.16-08:05
192.168.58.47 507b-9d53-3e88 58/--/--GE0/0/24 2018.09.16-08:12
192.168.58.67 3c97-0e72-0b3b 58/--/--GE0/0/46 2018.09.16-08:20
那么如何配置DHCP Snooping呢?
分三个步骤:
1. 全局开启dhcp
2. 全局开启DHCP snooping
3. 在接口下开启DHCP snooping 或者在VLAN下开启DHCP snooping,在vlan 下开启了DHCP snooping,等效于交换机上属于这个VLAN的接口都开启了dhcp snooping
4. 将上行接口设置为信任接口
配置:
dhcp enable
#
dhcp snooping enable ipv4
#
vlan 58
dhcp snooping enable
#
interface GigabitEthernet0/0/52
dhcp snooping trusted
#
以上就是2个在交换网络中简单的安全技巧,相信经过这两个步骤的配置,一些常见的故障就都能防止了,从而解决环路和非法DHCP服务器带来的问题。
— 申请免费试学名额 —
在职想转行提升,担心学不会?根据个人情况规划学习路线,闯关式自适应学习模式保证学习效果
讲师一对一辅导,在线答疑解惑,指导就业!
相关推荐 更多
2019年Linux排行榜 开发人员常用Linux发行版推荐
2019年Linux排行榜,开发人员常用Linux的发行版推荐:Tails、Linux Mint、Ubuntu、Elementary OS、Solus、Debian、Antergos、Gentoo等。
8566
2019-10-25 11:09:56
运维工程师有哪些就业方向?需要掌握哪些技能?
运维工程师是互联网企业必不可少的技术岗位。但是相对于编程开发而言,运维技能相对更容易入门,而且运维工程师对于年龄没有显示,经验越丰富的运维工程师,薪资以及职业发展前景越好。运维工程师有哪些就业方向?需要掌握哪些技能呢?
8691
2019-11-05 18:26:23
现在开始学习Linux有职业前景吗?
学习Linux能做什么?现在开始学习Linux有职业前景吗?刚刚入行的小伙伴一般都会提出这样的疑问,随着对Linux的不断深入了解,大家就会明白,Linux是互联网技术岗位中非常重要的岗位之一。下面小编带着大家详细了解一下Linux以及他的未来发展。,
6295
2019-11-11 18:35:10
如何成为一名高薪的运维工程师?
可能许多人一听到运维,就认为这是一个工资低,没什么发展前途的岗位。其实运维并不像一些人误会的那样,只是在公司企业中充当网管的形象。当然,想要成为一名高薪的运维工程师也不是一件简单的事情,需要学习信息安全、linux运维、windows运维、oracle、网络技术等等内容。当然,运维的发展还是有许多选择的,下面我们来看一看都有哪些高薪岗位的运维工程师。
7815
2019-12-30 19:52:53
切换目录命令之使用Linux命令查看目录信息
切换目录命令之使用Linux命令查看目录信息,cd 是切换所在目录的命令,Linux命令按照来源方式分为两种:Shell内置命令和外部命令。Linux 中的绝大多数命令是外部命令,而 cd 命令是一个典型的 Shell 内置命令,cd 命令没有执行文件所在路径。
2843
2022-02-23 14:37:54