交換網絡中簡單的兩個安全技巧

在生產環境中，若是對LAN的安全要求不高，不想配置太多的安全技術，有如下兩種技術能夠用到網絡中，以利於網絡的安全性及穩定性，它們分別是：BPDU保護、DHCP-Snooping兩種技術。那麼它們分別能實現什麼樣的功能呢？

1、 BPDU保護

談到BPDU保護技術就須要先說到STP技術，STP技術是一種二層防環技術，用於防止環路的產生，若是生產環境交換機支持STP，那麼很是建議開啓STP，不論是STP仍是RSTP仍是MSTP，華爲設備上默認開啓了MSTP。

開啓了STP之後，交換機的接口都處於STP的拓撲中，當端口進入轉發狀態後，會引發STP的從新收斂，這樣會致使網絡的震盪，那麼怎麼樣使得：交換機開啓STP，而一些常常須要UP/DOWN的端口（接主機）不參與STP的計算呢，這時就出現了邊緣端口（思科叫portfast），這種端口是由管理員手工定義的，它們不參與STP的計算，能直接進入轉發狀態。這裏還有一個好處就是用戶沒必要要通過30秒的等待時間才能與網絡通訊。我入職過的一家公司就出現過這個問題，網管員沒有開啓edged-port功能，致使用戶需30S才能接入網絡，致使用戶不滿意。

舉個例子：公司的核心是77系列的交換機，接入是5700LI的交換機，從5700LI上接了一條網線到會議室，用於會議室的上網。 有一天，公司將會議室換成了辦公室，有5我的在那裏辦公，領導決定在會議室裏部署一個傻瓜交換機，用於這幾個用戶的辦公。若是上接入層5700上沒有配置STP技術，當有一天，用戶掉線了，他去將8口小交換機的線整了一下，不當心將一條網線鏈接了8口小交換機的5口和6口，這樣就造成了一個環路。

若是你全網的交換機沒有開啓STP技術，這樣會致使三個問題：廣播風暴、多幀複製以及MAC地址表不穩定。 最終的結果其實就是網絡慢、丟包、斷網。因此網絡中頗有必要部署STP的技術。  那麼，BPDU保護又是怎麼樣一回事呢， BPDU保護是指，當一個接口開啓了BPDU保護，若是它接收到了BPDU的幀，那麼，交換機會將接口置爲err-disabled狀態，這個狀態等效於shutdown狀態，這樣就能夠防止環路的產生。

接下來，咱們看看須要在哪些端口上部署成爲邊緣端口，哪些端口須要開啓BPDU保護?     所謂邊緣端口是指由管理員手工指定的，用於鏈接主機的端口，在正常狀況下，這些端口不會鏈接交換機，不會接收到BPDU，不會產生環路。哪些端口須要開啓BPDU保護：邊緣端口，華爲的設備只須要在全局開啓BPDU保護便可。

配置：

1. 全局開啓STP和BPDU保護

stp mode rstp
stp bpdu-protection

2. 接口開啓邊緣端口

interface GigabitEthernet0/0/1
  stp edged-port enable

2、 DHCP-Snooping

這裏介紹的基礎的DHCP-Snooping技術，是爲了防止惡意的DHCP服務器出現，致使網絡中的用戶獲取到錯誤的IP地址，從而不能正常使用網絡，在沒有×××的狀況下，何時會出現僞造的DHCP呢？ 咱們常見的小路由就會出現這種狀況，好比，用戶爲了將公司的網絡從有線轉成無線，弄個家用無線路由過來，若是他不當心將無線路由的LAN接口鏈接到了現網中，那麼現網中的用戶就有可能獲取到錯誤的IP。接下來，咱們分兩個步驟來看看怎麼解決這個問題

（一）、查找無線路由器

                1. 第一步，確定會有用戶告訴你他沒法上網了，你到了現場會去PING正確的網關，發現PING不通。 接下來，你會查看用戶的IP地址，發現他獲取了一個錯誤的IP，那麼你確定須要找出提供DHCP的無線路由器

                2.  第二步，在獲取到錯誤IP地址的電腦上，查看ARP表，找到網關的MAC地址，通常來說，這個MAC地址就是無線路由器的MAC地址  （ARP -a）

                3. 第3步，登陸交換機，查找這個MAC地址，若是找到這個MAC地址屬於哪一個接入交換機的非上行接口，那確定就是這個接口鏈接了無線路由，將接口 shutdown，用戶就不會獲取到錯誤的IP地址了。   （這裏的小竅門就是：這個無線路由確定是這個VLAN中，若是你知道這個VLAN一共有多少交換機，一臺一臺看也行；  若是不知道，從核心開始看，看核心的哪一個端口學習到了這個MAC，再往下一層，即核心學習到了這個MAC的端口鏈接的是哪一個交換機。 這樣，就能夠找出來無線路由在哪裏了）  display mac-address | include  XXXX.XXXX.XXXX        思科的交換機就是show mac-address這個命令了

（二）、使用DHCP-Snooping使僞造的路由器沒法提供IP給用戶

            DHCP-Snooping的做用是，當你在交換機開啓了DHCP Snooping技術之後，默認全部的接口都是非信任接口，這些接口都不能發送DHCP-Offer和DHCP-ACK的報文，使得非信任接口上鍊接的DHCP服務器不能提供IP地址給用戶，而且，開啓了DHCP Snooping的交換機還會造成一張IP-MAC-VLAN-Port-lease時間的綁定表。 咱們通常在接入層交換機上開啓DHCP Snooping技術。

<netoffice-0605>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease          
--------------------------------------------------------------------------------
192.168.58.62    3c97-0e44-fff5  58  /--  /--    GE0/0/13       2018.09.16-08:05
192.168.58.47    507b-9d53-3e88  58  /--  /--    GE0/0/24       2018.09.16-08:12
192.168.58.67    3c97-0e72-0b3b  58  /--  /--    GE0/0/46       2018.09.16-08:20

那麼如何配置DHCP  Snooping呢？

分三個步驟：

1. 全局開啓dhcp

2. 全局開啓DHCP snooping

3. 在接口下開啓DHCP snooping 或者在VLAN下開啓DHCP snooping,在vlan 下開啓了DHCP snooping，等效於交換機上屬於這個VLAN的接口都開啓了dhcp snooping

4. 將上行接口設置爲信任接口

配置：

dhcp enable
#
dhcp snooping enable ipv4
#
vlan 58
  dhcp snooping enable
#

interface GigabitEthernet0/0/52          
  dhcp snooping trusted
#

現網中，通過這兩個步驟的配置，就能防止一些常見的故障了，能解決環路和非法DHCP服務器帶來的問題了。