背景:
相信每一个IT管理员都会时常碰到,员工私自把自己的无线路由器(AP模式)接入到公司网络使得自己的无线设备可以连接上网。或者私自级联交换机获得等多的网络端口。这种没有得到授权的操作,给IT带来了诸多的烦恼,例如 a.网络出口带宽被非业务流量长时间占用,导致正常业务用户网络缓慢。b. 无线频段于公司无线频段形成干扰,影响正常WiFi用户使用无线
解决方案:
这里介绍一种禁止私自级联交换机或路由器的解决方案,当然这里的交换机是需要网管型的交换机才可以。
使用PORTFAST结合 BPDUGUARD功能禁止交换机端口在未经授权下级联
本例子中使用的是Cisco的设备,其他厂商设备也有类似功能,请自行查找厂商资料。
步骤:
1. 在交换机所有端口下配置spanning-tree portfast --设置交换机端口下联的设备为终端设备(例如台式机,笔记 本等)
Switch(config)#int fa0/1
Switch(config-if)#spanning-tree portfast
2. 在交换机端口下启用bpduguard功能,-- 该功能启用后,如果端口级联了交换机或路由器,则该端口直接进入error-disabled 状态 (端口会双down)
Switch(config-if)#spanning-tree bpduguard enable
效果:
当端口fa 0/1 接入交换机等网络设备时,端口立即接入error-disabled状态,双down。是的该端口无法使用。
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.
%PM-4-ERR_DISABLE: bpduguard error detected on 0/1, putting 0/1 in err-disable state
Switch#sh int fa0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
这样就可以禁止用户私自将交换机无线路由器等网络设备,私自非授权的接入公司网络中。
……