当前位置:   article > 正文

禁止员工私接网络设备到公司网络中_华为交换机禁止私接路由命令

华为交换机禁止私接路由命令

禁止员工私接网络设备到公司网络中

背景
相信每一个IT管理员都会时常碰到,员工私自把自己的无线路由器(AP模式)接入到公司网络使得自己的无线设备可以连接上网。或者私自级联交换机获得更多的网络端口。这种没有得到授权的操作,给IT带来了诸多的烦恼,例如 a.网络出口带宽被非业务流量长时间占用,导致正常业务用户网络缓慢。b. 无线频段与公司无线频段形成干扰,影响正常WiFi用户使用无线

解决方案
这里介绍一种禁止私自级联交换机或路由器的解决方案,当然这里的交换机是需要网管型的交换机才可以。
使用PORTFAST结合 BPDUGUARD功能禁止交换机端口在未经授权下级联
本例子中使用的是Cisco的设备,其他厂商设备也有类似功能,请自行查找厂商资料。

步骤

  1. 在交换机所有端口下配置spanning-tree portfast --设置交换机端口下联的设备为终端设备(例如台式机,笔记 本等)
    Switch(config)#int fa0/1
    Switch(config-if)#spanning-tree portfast
  2. 在交换机端口下启用bpduguard功能,-- 该功能启用后,如果端口级联了交换机或路由器,则该端口直接进入error-disabled 状态 (端口会双down)
    Switch(config-if)#spanning-tree bpduguard enable

效果:
当端口fa 0/1 接入交换机等网络设备时,端口立即接入error-disabled状态,双down。是的该端口无法使用。

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.

%PM-4-ERR_DISABLE: bpduguard error detected on 0/1, putting 0/1 in err-disable state

Switch#sh int fa0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)

这样就可以禁止用户私自将交换机无线路由器等网络设备,私自非授权的接入公司网络中。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/凡人多烦事01/article/detail/279387
推荐阅读
相关标签
  

闽ICP备14008679号