小白网-奉贤部落－奉贤免费信息发布平台

标题: 私接路由器的后果(怎么防止私接路由器) [打印本页]

作者: [db:作者] 时间: 2025-7-26 12:42
标题: 私接路由器的后果(怎么防止私接路由器)
在多年的IT运维过程中，出现过很多听起来很严重，解决起来很麻烦的客户网络故障。不过说到底问题不大，私有路由器是比较常见的一种。
如果网络环境中充满了傻瓜交换机，要找到它将是一场斗争。每次被发现后，私接路由器的人肯定会成为整个单位的目标。所以，我吃过几次免费的涮羊肉，真的是福也是祸。
别说是我。几乎所有的同行都遇到过私接网络设备导致的网络故障。有时候，他们在讨论这些问题时充满了苦涩。
相对来说，私接网络交换机一般不会造成网络故障，但是很多单位不允许私接扩展网络——很容易造成数据泄露。
私有路由器导致的网络故障可以通过DHCP Snooping技术来防止，这一点在上一篇文章中已经写过；那么如何防止用户私自连接网络交换机呢？DHCP Snooping显然超出了它的能力范围，所以我们需要配合其他技术来防止用户私自扩展网络接口。
这就是我今天要和大家讨论的——港口安全技术。
1.概述通过在交换机的指定接口上配置端口安全，可以限制接口的MAC地址学习次数，从而防止未经授权的网络端口扩展；[*]端口通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和粘性MAC)，可以防止非法用户通过该接口与交换机通信，从而增强网络的安全性；这个概念听起来有点别扭，但其实意思是:1。交换机的每个接口只允许接入一台电脑，第二台是通过扩展PBX连接的，无法通信，会发现告警；2.有时候，员工可以换个地点私下上网，这也是可以禁止的；
二。配置1。要求:图中三个接口都激活了端口安全功能；将学习到的MAC地址转换成粘性MAC；；
一旦发现非法访问，给予警告，直接断开接口；
2.分析:发现非法接入后，有三种可选的处罚措施，分别是:
protect——只丢弃源MAC地址不存在的报文，不报警，即合法设备仍正常通信，非法设备无法通信，但没有报警信息；
restrict——华为交换机的默认选项，即丢弃源MAC地址不存在的报文并报警。说白了就是合法设备正常通信，非法设备无法通信，会有报警信息；
关机——最严厉的惩罚，也是这个例子的要求，就是发现非法接入设备，直接关闭端口。
3.命令:
端口组组成员千兆以太网0/0/1到千兆以太网0/0/8//创建一个成员端口为1-3的端口组。命令都是一样的，所以将3个端口组成一组。只需输入一次命令。偷懒；
端口安全启用//开放端口安全；
Port-security max-MAC-num 1 //接口学习到的安全MAC地址数量为1，表示一个接口只允许一个设备；
port-security MAC-address Sticky//开启接口的Sticky MAC功能；
端口-安全保护-动作关闭//如果发现非法接入设备，直接关闭端口并报警。
请注意，默认情况下，接口关闭后不会自动恢复，只能由网络管理员使用接口视图中的restart命令恢复。
经过上述配置后，只有一台设备(计算机或网络打印机等。)可以连接到交换机的每个端口。如果谁敢私自接入网络交换机，和别人共享网络，那就连他自己也不能马上上网，只能要求它重新开放端口。这对一部分人应该有一定的震慑作用。莫名其妙的和人为的网络故障应该排除和避免。

欢迎光临小白网-奉贤部落－奉贤免费信息发布平台 (http://www.ts-xiangyue.com/)