争怎路由网/路由器百科/内容

防范员工私接网络设备到公司网络中

路由器百科2024-03-05 阅读

背景

相信每一个IT管理员都会时常碰到,员工私自把自己的无线路由器(AP模式)接入到公司网络使得自己的无线设备可以连接上网。或者私自级联交换机获得等多的网络端口。这种没有得到授权的操作,给IT带来了诸多的烦恼,例如 a.网络出口带宽被非业务流量长时间占用,导致正常业务用户网络缓慢。b. 无线频段于公司无线频段形成干扰,影响正常WiFi用户使用无线


解决方案

这里介绍一种禁止私自级联交换机或路由器的解决方案,当然这里的交换机是需要网管型的交换机才可以。

使用PORTFAST结合 BPDUGUARD功能禁止交换机端口在未经授权下级联

本例子中使用的是Cisco的设备,其他厂商设备也有类似功能,请自行查找厂商资料


步骤:


1. 在交换机所有端口下配置spanning-tree portfast --设置交换机端口下联的设备为终端设备(例如台式机,笔记 本等)

Switch(config)#int fa0/1

Switch(config-if)#spanning-tree portfast

2. 在交换机端口下启用bpduguard功能,-- 该功能启用后,如果端口级联了交换机或路由器,则该端口直接进入error-disabled 状态 (端口会双down)

Switch(config-if)#spanning-tree bpduguard enable


效果:

当端口fa 0/1 接入交换机等网络设备时,端口立即接入error-disabled状态,双down。是的该端口无法使用。


%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up


%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.


%PM-4-ERR_DISABLE: bpduguard error detected on 0/1, putting 0/1 in err-disable state


Switch#sh int fa0/1

FastEthernet0/1 is down, line protocol is down (err-disabled)


这样就可以禁止用户私自将交换机无线路由器等网络设备,私自非授权的接入公司网络中。



……

相关阅读