交换网络中简单的两个安全技巧

在生产环境中，若是对LAN的安全要求不高，不想配置太多的安全技术，有如下两种技术能够用到网络中，以利于网络的安全性及稳定性，它们分别是：BPDU保护、DHCP-Snooping两种技术。那么它们分别能实现什么样的功能呢？

1、 BPDU保护

谈到BPDU保护技术就须要先说到STP技术，STP技术是一种二层防环技术，用于防止环路的产生，若是生产环境交换机支持STP，那么很是建议开启STP，不论是STP仍是RSTP仍是MSTP，华为设备上默认开启了MSTP。

开启了STP之后，交换机的接口都处于STP的拓扑中，当端口进入转发状态后，会引发STP的从新收敛，这样会致使网络的震荡，那么怎么样使得：交换机开启STP，而一些常常须要UP/DOWN的端口（接主机）不参与STP的计算呢，这时就出现了边缘端口（思科叫portfast），这种端口是由管理员手工定义的，它们不参与STP的计算，能直接进入转发状态。这里还有一个好处就是用户没必要要通过30秒的等待时间才能与网络通讯。我入职过的一家公司就出现过这个问题，网管员没有开启edged-port功能，致使用户需30S才能接入网络，致使用户不满意。

举个例子：公司的核心是77系列的交换机，接入是5700LI的交换机，从5700LI上接了一条网线到会议室，用于会议室的上网。 有一天，公司将会议室换成了办公室，有5我的在那里办公，领导决定在会议室里部署一个傻瓜交换机，用于这几个用户的办公。若是上接入层5700上没有配置STP技术，当有一天，用户掉线了，他去将8口小交换机的线整了一下，不当心将一条网线链接了8口小交换机的5口和6口，这样就造成了一个环路。

若是你全网的交换机没有开启STP技术，这样会致使三个问题：广播风暴、多帧复制以及MAC地址表不稳定。 最终的结果其实就是网络慢、丢包、断网。因此网络中颇有必要部署STP的技术。  那么，BPDU保护又是怎么样一回事呢， BPDU保护是指，当一个接口开启了BPDU保护，若是它接收到了BPDU的帧，那么，交换机会将接口置为err-disabled状态，这个状态等效于shutdown状态，这样就能够防止环路的产生。

接下来，咱们看看须要在哪些端口上部署成为边缘端口，哪些端口须要开启BPDU保护?     所谓边缘端口是指由管理员手工指定的，用于链接主机的端口，在正常状况下，这些端口不会链接交换机，不会接收到BPDU，不会产生环路。哪些端口须要开启BPDU保护：边缘端口，华为的设备只须要在全局开启BPDU保护便可。

配置：

1. 全局开启STP和BPDU保护

stp mode rstp
stp bpdu-protection

2. 接口开启边缘端口

interface GigabitEthernet0/0/1
  stp edged-port enable

2、 DHCP-Snooping

这里介绍的基础的DHCP-Snooping技术，是为了防止恶意的DHCP服务器出现，致使网络中的用户获取到错误的IP地址，从而不能正常使用网络，在没有×××的状况下，何时会出现伪造的DHCP呢？ 咱们常见的小路由就会出现这种状况，好比，用户为了将公司的网络从有线转成无线，弄个家用无线路由过来，若是他不当心将无线路由的LAN接口链接到了现网中，那么现网中的用户就有可能获取到错误的IP。接下来，咱们分两个步骤来看看怎么解决这个问题

（一）、查找无线路由器

                1. 第一步，确定会有用户告诉你他没法上网了，你到了现场会去PING正确的网关，发现PING不通。 接下来，你会查看用户的IP地址，发现他获取了一个错误的IP，那么你确定须要找出提供DHCP的无线路由器

                2.  第二步，在获取到错误IP地址的电脑上，查看ARP表，找到网关的MAC地址，通常来说，这个MAC地址就是无线路由器的MAC地址  （ARP -a）

                3. 第3步，登陆交换机，查找这个MAC地址，若是找到这个MAC地址属于哪一个接入交换机的非上行接口，那确定就是这个接口链接了无线路由，将接口 shutdown，用户就不会获取到错误的IP地址了。   （这里的小窍门就是：这个无线路由确定是这个VLAN中，若是你知道这个VLAN一共有多少交换机，一台一台看也行；  若是不知道，从核心开始看，看核心的哪一个端口学习到了这个MAC，再往下一层，即核心学习到了这个MAC的端口链接的是哪一个交换机。 这样，就能够找出来无线路由在哪里了）  display mac-address | include  XXXX.XXXX.XXXX        思科的交换机就是show mac-address这个命令了

（二）、使用DHCP-Snooping使伪造的路由器没法提供IP给用户

            DHCP-Snooping的做用是，当你在交换机开启了DHCP Snooping技术之后，默认全部的接口都是非信任接口，这些接口都不能发送DHCP-Offer和DHCP-ACK的报文，使得非信任接口上链接的DHCP服务器不能提供IP地址给用户，而且，开启了DHCP Snooping的交换机还会造成一张IP-MAC-VLAN-Port-lease时间的绑定表。 咱们通常在接入层交换机上开启DHCP Snooping技术。

<netoffice-0605>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease          
--------------------------------------------------------------------------------
192.168.58.62    3c97-0e44-fff5  58  /--  /--    GE0/0/13       2018.09.16-08:05
192.168.58.47    507b-9d53-3e88  58  /--  /--    GE0/0/24       2018.09.16-08:12
192.168.58.67    3c97-0e72-0b3b  58  /--  /--    GE0/0/46       2018.09.16-08:20

那么如何配置DHCP  Snooping呢？

分三个步骤：

1. 全局开启dhcp

2. 全局开启DHCP snooping

3. 在接口下开启DHCP snooping 或者在VLAN下开启DHCP snooping,在vlan 下开启了DHCP snooping，等效于交换机上属于这个VLAN的接口都开启了dhcp snooping

4. 将上行接口设置为信任接口

配置：

dhcp enable
#
dhcp snooping enable ipv4
#
vlan 58
  dhcp snooping enable
#

interface GigabitEthernet0/0/52          
  dhcp snooping trusted
#

现网中，通过这两个步骤的配置，就能防止一些常见的故障了，能解决环路和非法DHCP服务器带来的问题了。