交換網(wǎng)絡(luò)中簡單的兩個安全技巧

在生產(chǎn)環(huán)境中，如果對LAN的安全要求不高，不想配置太多的安全技術(shù)，有以下兩種技術(shù)可以用到網(wǎng)絡(luò)中，以利于網(wǎng)絡(luò)的安全性及穩(wěn)定性，它們分別是：BPDU保護(hù)、DHCP-Snooping兩種技術(shù)。那么它們分別能實(shí)現(xiàn)什么樣的功能呢？

一、 BPDU保護(hù)

談到BPDU保護(hù)技術(shù)就需要先說到STP技術(shù)，STP技術(shù)是一種二層防環(huán)技術(shù)，用于防止環(huán)路的產(chǎn)生，如果生產(chǎn)環(huán)境交換機(jī)支持STP，那么非常建議開啟STP，不管是STP還是RSTP還是MSTP，華為設(shè)備上默認(rèn)開啟了MSTP。

開啟了STP以后，交換機(jī)的接口都處于STP的拓?fù)渲校?dāng)端口進(jìn)入轉(zhuǎn)發(fā)狀態(tài)后，會引起STP的重新收斂，這樣會導(dǎo)致網(wǎng)絡(luò)的震蕩，那么怎么樣使得：交換機(jī)開啟STP，而一些經(jīng)常需要UP/DOWN的端口（接主機(jī)）不參與STP的計算呢，這時就出現(xiàn)了邊緣端口（思科叫portfast），這種端口是由管理員手工定義的，它們不參與STP的計算，能直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。這里還有一個好處就是用戶不必要經(jīng)過30秒的等待時間才能與網(wǎng)絡(luò)通信。我入職過的一家公司就出現(xiàn)過這個問題，網(wǎng)管員沒有開啟edged-port功能，導(dǎo)致用戶需30S才能接入網(wǎng)絡(luò)，導(dǎo)致用戶不滿意。

舉個例子：公司的核心是77系列的交換機(jī)，接入是5700LI的交換機(jī)，從5700LI上接了一條網(wǎng)線到會議室，用于會議室的上網(wǎng)。 有一天，公司將會議室換成了辦公室，有5個人在那里辦公，領(lǐng)導(dǎo)決定在會議室里部署一個傻瓜交換機(jī)，用于這幾個用戶的辦公。如果上接入層5700上沒有配置STP技術(shù)，當(dāng)有一天，用戶掉線了，他去將8口小交換機(jī)的線整了一下，不小心將一條網(wǎng)線連接了8口小交換機(jī)的5口和6口，這樣就形成了一個環(huán)路。

如果你全網(wǎng)的交換機(jī)沒有開啟STP技術(shù)，這樣會導(dǎo)致三個問題：廣播風(fēng)暴、多幀復(fù)制以及MAC地址表不穩(wěn)定。 最終的結(jié)果其實(shí)就是網(wǎng)絡(luò)慢、丟包、斷網(wǎng)。所以網(wǎng)絡(luò)中很有必要部署STP的技術(shù)。  那么，BPDU保護(hù)又是怎么樣一回事呢， BPDU保護(hù)是指，當(dāng)一個接口開啟了BPDU保護(hù)，如果它接收到了BPDU的幀，那么，交換機(jī)會將接口置為err-disabled狀態(tài)，這個狀態(tài)等效于shutdown狀態(tài)，這樣就可以防止環(huán)路的產(chǎn)生。

接下來，我們看看需要在哪些端口上部署成為邊緣端口，哪些端口需要開啟BPDU保護(hù)?     所謂邊緣端口是指由管理員手工指定的，用于連接主機(jī)的端口，在正常情況下，這些端口不會連接交換機(jī)，不會接收到BPDU，不會產(chǎn)生環(huán)路。哪些端口需要開啟BPDU保護(hù)：邊緣端口，華為的設(shè)備只需要在全局開啟BPDU保護(hù)即可。

配置：

1. 全局開啟STP和BPDU保護(hù)

stp mode rstp
stp bpdu-protection

2. 接口開啟邊緣端口

interface GigabitEthernet0/0/1
  stp edged-port enable

二、 DHCP-Snooping

這里介紹的基礎(chǔ)的DHCP-Snooping技術(shù)，是為了防止惡意的DHCP服務(wù)器出現(xiàn)，導(dǎo)致網(wǎng)絡(luò)中的用戶獲取到錯誤的IP地址，從而不能正常使用網(wǎng)絡(luò)，在沒有×××的情況下，什么時候會出現(xiàn)偽造的DHCP呢？ 我們常見的小路由就會出現(xiàn)這種情況，比如，用戶為了將公司的網(wǎng)絡(luò)從有線轉(zhuǎn)成無線，弄個家用無線路由過來，如果他不小心將無線路由的LAN接口連接到了現(xiàn)網(wǎng)中，那么現(xiàn)網(wǎng)中的用戶就有可能獲取到錯誤的IP。接下來，我們分兩個步驟來看看怎么解決這個問題

（一）、查找無線路由器

                1. 第一步，肯定會有用戶告訴你他無法上網(wǎng)了，你到了現(xiàn)場會去PING正確的網(wǎng)關(guān)，發(fā)現(xiàn)PING不通。 接下來，你會查看用戶的IP地址，發(fā)現(xiàn)他獲取了一個錯誤的IP，那么你肯定需要找出提供DHCP的無線路由器

                2.  第二步，在獲取到錯誤IP地址的電腦上，查看ARP表，找到網(wǎng)關(guān)的MAC地址，一般來講，這個MAC地址就是無線路由器的MAC地址  （ARP -a）

                3. 第3步，登錄交換機(jī)，查找這個MAC地址，如果找到這個MAC地址屬于哪個接入交換機(jī)的非上行接口，那肯定就是這個接口連接了無線路由，將接口 shutdown，用戶就不會獲取到錯誤的IP地址了。   （這里的小竅門就是：這個無線路由肯定是這個VLAN中，如果你知道這個VLAN一共有多少交換機(jī)，一臺一臺看也行；  如果不知道，從核心開始看，看核心的哪個端口學(xué)習(xí)到了這個MAC，再往下一層，即核心學(xué)習(xí)到了這個MAC的端口連接的是哪個交換機(jī)。 這樣，就可以找出來無線路由在哪里了）  display mac-address | include  XXXX.XXXX.XXXX        思科的交換機(jī)就是show mac-address這個命令了

（二）、使用DHCP-Snooping使偽造的路由器無法提供IP給用戶

            DHCP-Snooping的作用是，當(dāng)你在交換機(jī)開啟了DHCP Snooping技術(shù)以后，默認(rèn)所有的接口都是非信任接口，這些接口都不能發(fā)送DHCP-Offer和DHCP-ACK的報文，使得非信任接口上連接的DHCP服務(wù)器不能提供IP地址給用戶，并且，開啟了DHCP Snooping的交換機(jī)還會形成一張IP-MAC-VLAN-Port-lease時間的綁定表。 我們一般在接入層交換機(jī)上開啟DHCP Snooping技術(shù)。

<netoffice-0605>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease          
--------------------------------------------------------------------------------
192.168.58.62    3c97-0e44-fff5  58  /--  /--    GE0/0/13       2018.09.16-08:05
192.168.58.47    507b-9d53-3e88  58  /--  /--    GE0/0/24       2018.09.16-08:12
192.168.58.67    3c97-0e72-0b3b  58  /--  /--    GE0/0/46       2018.09.16-08:20

那么如何配置DHCP  Snooping呢？

分三個步驟：

1. 全局開啟dhcp

2. 全局開啟DHCP snooping

3. 在接口下開啟DHCP snooping 或者在VLAN下開啟DHCP snooping,在vlan 下開啟了DHCP snooping，等效于交換機(jī)上屬于這個VLAN的接口都開啟了dhcp snooping

4. 將上行接口設(shè)置為信任接口

配置：

dhcp enable
#
dhcp snooping enable ipv4
#
vlan 58
  dhcp snooping enable
#

interface GigabitEthernet0/0/52          
  dhcp snooping trusted
#

現(xiàn)網(wǎng)中，經(jīng)過這兩個步驟的配置，就能防止一些常見的故障了，能解決環(huán)路和非法DHCP服務(wù)器帶來的問題了。