办公室里突然有人私接路由器,结果整个网络变慢,IP地址还老冲突。这种情况不少见,尤其是在共享网络环境里。其实交换机上有个很实用的组合功能——端口安全搭配DHCP监听,用好了能有效防止乱接设备和IP冒用。
端口安全:限制谁可以接入
端口安全(Port Security)是交换机端口的一项功能,主要用来控制哪些MAC地址可以使用这个接口。比如,你把某台电脑接到交换机的Fa0/1口,可以设置只允许这台电脑的MAC地址通过,别的设备插上来直接被封掉。
常见配置方式是“sticky MAC”,第一次接入时自动学习并记录合法MAC地址:
interface fa0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security maximum 1
switchport port-security violation restrict这样一旦有人拔掉原电脑,换上自己的笔记本,就会被限制通信,甚至触发告警。
DHCP监听:防伪造DHCP服务器
有些人为了上网方便,顺手从家里带个路由器插到公司网口,结果这台路由器自带DHCP服务,开始给周围设备分配错误的IP。轻则上不了网,重则造成IP冲突,影响整片区域。
DHCP监听(DHCP Snooping)就是干这个的。它会监听经过交换机的DHCP报文,建立一张“可信”的客户端IP-MAC绑定表,并且只允许管理员指定的端口转发DHCP响应(比如连接合法DHCP服务器的那个口)。
开启DHCP监听的基本操作:
ip dhcp snooping
ip dhcp snooping vlan 10
interface gi0/1
ip dhcp snooping trust这里gi0/1是连着正规DHCP服务器的端口,标记为“信任”,其他口默认不信任,如果收到DHCP Offer或ACK报文,直接丢弃。
两者配合:双重防护更安心
单独用端口安全,能防MAC泛洪和非法设备接入;单独用DHCP监听,能防私设DHCP服务器。但两者合起来,还能实现更精细的控制。
比如,在启用了DHCP监听的环境下,可以将端口安全绑定动态学到的DHCP记录。也就是说,只有通过合法DHCP流程获取IP的设备,才允许在该端口通信。
有些高端交换机支持这样的联动机制:当DHCP监听生成了客户端条目后,自动注入到端口安全策略中,相当于“只有成功拿到IP的设备才能联网”,进一步杜绝静态IP伪装攻击。
实际场景中,会议室的网口最危险,谁都可能插一下。这时候把端口安全设成最多允许一个设备接入,再配合DHCP监听阻止私接小路由,基本就能杜绝大多数网络乱象。
家庭用户可能用不上这么复杂的配置,但在中小企业、学校机房、办公区等环境中,这种基础安全策略花不了多少时间,却能省下大量排错精力。