在多年的IT运维过程中,曾经有多个客户的网络发生过听上去很严重、解决起来也很麻烦的故障,但是,归根结底,其实并不是什么大问题,私接路由器算是其中比较常见的了。
如果在全是傻瓜交换机的网络环境里,找起来那叫一个费劲,每次找出来之后,那个私接路由器的人必将成为整个单位的千夫所指,我也因此吃到过几次免费的羊肉火锅,真可谓祸兮福所倚。
别说是我了,每个同行几乎都碰到过私接网络设备引起的网络故障,有时候讨论起来,都是一肚子苦水。
相对路由器而言,私接网络交换机,一般不会引发网络故障,但是私自扩展网络,在很多单位是不被允许的——很容易引发数据外泄。
私接路由器引起的网络故障,可以用DHCP Snooping技术来防范,前面有文章已经写到过了;那么用户私接网络交换机又该怎么防范呢?DHCP Snooping显然力不从心的,所以,我们还需要配合其他技术来阻止用户私自扩展网络接口。
这就是今天要和大家讨论的——端口安全技术。
一、概述
通过在交换机的指定接口上配置端口安全,可以限制接口的MAC地址学习数量,从而防止未经允许的网络端口扩展行为;
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强网络的安全性;
概念听上去有些拗口,其实意思就是说:1、交换机每个接口只允许接入一台电脑,第二台以扩展小交换机的方式接入,是无法通讯的,而且会发现警告;2、有时候,员工私自换个位置上网,也可以被禁止;
二、配置
1、需求:图中3个接口,全部激活端口安全功能;学习到的MAC地址转换为Sticky MAC;
一旦发现非法接入,发出警告,并且直接断开接口;
2、分析:发现非法接入后,有3种可选的惩罚措施,分别是:
protect—— 只丢弃源MAC地址不存在的报文,不上报告警,也就是合法设备仍旧正常通信,非法设备无法通信,但是没有告警信息;
Restrict——华为交换机默认选项,即丢弃源MAC地址不存在的报文并上报告警,说白了,就是合法设备正常通信,非法设备无法通信,而且将有告警信息;
Shutdown——最严厉的惩罚,也就是本例的要求,发现非法接入设备,直接关闭端口。
3、命令:
port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/8 //创建端口组,成员端口1-3,命令都是一样的,所以3个端口弄成一个组,命令打一遍就行了,偷个懒;
port-security enable //开启端口安全;
port-security max-mac-num 1 //接口学习的安全MAC地址限制数量为1,就是一个接口只允许一个设备的意思;
port-security mac-address sticky //开启接口Sticky MAC功能;
port-security protect-action shutdown //发现非法接入设备,直接关闭端口,并上报告警。
注意,默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令进行恢复。
经过以上配置,交换机的每个端口只允许接入一台设备(电脑或者网络打印机等),如果谁敢私自接入网络交换机,把网络分享给别人,那么马上就连他自己都无法上网,只能求IT重开端口,这样应该对某些人有一定的威慑力了吧,莫名其妙的、人为的网络故障,应该能够排除和避免了。
领取专属 10元无门槛券
私享最新 技术干货