防止私接小路由器

电脑获取到IP地址不是DHCP服务器的IP地址段，导致整个公司网络瘫痪，这些故障现象通常80%原因是私接小路由器导致的，以下防止私接小路由器措施。

一、交换机配置DHCP Sooping

DHCP snooping是一种DHCP安全特性，用于防止非法设备获取DHCP分配的IP地址。在一个带有多个交换机的网络中，可以配置交换机以便它们对DHCP数据包进行监听和记录。

配置思路：用户终端接口开启DNCP Snooping功能，配置信任接口只接收DHCP服务器报文，这样用户终端即使接私接小路由，也无法发送DHCP报文。

配置参考如下：

1、全局开启DHCP

[Sw1] dhcp enable

2、使能用户侧接口的DHCP Snooping功能，假设3口为用户终端端口

[Sw1] interface ge 1/0/3

[Sw1-ge1/0/3] dhcp snooping enable

3、配置信任接口，假设该口接DHCP服务器，以2口为例

[Sw1] interface ge 0/0/2
[SSw1-ge0/0/2] dhcp snooping trusted

二、交换机配置端口安全

端口安全是根据MAC地址对网络流量进行控制和管理的安全功能，该功能不仅将MAC地址与端口绑定，还可以限制端口学到的MAC地址的数量。端口安全功能可以阻止非法用户通过本端口和交换机通信，从而增强网络的安全性。

思路：用户终端侧接口开启终端安全并只允许学习一个MAC地址，发现私接小路由器后，接口学习到2个MAC地址，就自动shutdown，减少对现网影响。

配置参考如下：

1、在用户终端侧端口配置端口安全

[Sw1] interface ge1/0/3

[Sw1-ge1/0/3] port-security enable

2、限制端口学习MAC地址数量：

[Sw1-ge1/0/3] port-security mac-address sticky

3、安全MAC地址限制数量为1

[Sw1-ge1/0/3] port-security max-mac-num 1

4、发现非法接入设备，直接关闭端口并告警

[Sw1-ge1/0/3]port-security protect-action shutdown

三、交换机配置ACL访问控制

ACL（Access Control List，访问控制列表）是一种基于包过滤的访问控制技术，主要用于对网络流量进行控制和管理。ACL限制非法DHCP服务器接入的思路：DHCP 客户端使用源端口68发送数据包，服务端使用源端口67发送数据包，可限制用户终端接口67端口。

配置思路：通过ACL限制用户终端接口发送DHCP报文，进而即使私接小路由器也不会对现网产生影响。

配置参考如下：

1、配置ACL 3000

[SW1]acl 3000

2、配置规则，拒绝UDP 67端口

[SW1-acl-adv-3000]rule 5 deny udp source-port eq 67

[SW1-acl-adv-3000]rule 10 permit ip

3、ACL规则在用户终端接口应用

[SW1-acl-adv-3000]port-group group-member ge1/0/3 to ge1/0/4

[SW1-acl-adv-3000]traffic-filter inbound acl 3000

四、交换机配置Vlan隔离

VLAN 隔离技术根据特定的策略，把物理上形成的局域网（Local Area Network，LAN）划分成不同的逻辑子网，把数据链路层广播报文隔离在逻辑子网之内，形成各自的广播域，每个逻辑子网就是一个“虚拟的局域网（Virtual LAN）”每个接入至支持 VLAN 的交换机的终端设备，都属于一个特定的 VLAN，不同 VLAN 中的终端设备无法直接通过数据链路层通信。VLAN 技术有效限制了广播报文的传输范围，一定程度上抑制了广播风暴，提高了网络的安全性。

思路：将终端用户接口互相隔离，防止非法DHCP服务器对现网其他终端造成影响。

配置思路：开启vlan隔离，即使用户终端接口私接小路由器，也不会影响其他终端。

参考配置如下：

1、进入接口视图,以3口举例

[SW1]interface ge1/0/3

2、配置VLAN 10为隔离VLAN，只允许VLAN 10的数据通过，假设用户终端vlan 10

[SW1-ge1/0/3] port isolate enable vlan 10