禁止员工私接网络设备到公司网络中

最新推荐文章于 2025-03-23 21:09:21 发布
最新推荐文章于 2025-03-23 21:09:21 发布
阅读量1.7k 收藏 7
点赞数
分类专栏: 网络安全 文章标签: 交换机 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44888911/article/details/113747309
版权
本文介绍了IT管理员如何应对员工私自将无线路由器或交换机接入公司网络的问题,阐述了这种行为可能导致的网络带宽占用和无线频段干扰,并提供了一种使用网管型交换机的PORTFAST和BPDUGUARD功能来禁止未经授权的设备级联的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

禁止员工私接网络设备到公司网络中

背景
相信每一个IT管理员都会时常碰到,员工私自把自己的无线路由器(AP模式)接入到公司网络使得自己的无线设备可以连接上网。或者私自级联交换机获得更多的网络端口。这种没有得到授权的操作,给IT带来了诸多的烦恼,例如 a.网络出口带宽被非业务流量长时间占用,导致正常业务用户网络缓慢。b. 无线频段与公司无线频段形成干扰,影响正常WiFi用户使用无线

解决方案
这里介绍一种禁止私自级联交换机或路由器的解决方案,当然这里的交换机是需要网管型的交换机才可以。
使用PORTFAST结合 BPDUGUARD功能禁止交换机端口在未经授权下级联
本例子中使用的是Cisco的设备,其他厂商设备也有类似功能,请自行查找厂商资料。

步骤

  1. 在交换机所有端口下配置spanning-tree portfast --设置交换机端口下联的设备为终端设备(例如台式机,笔记 本等)
    Switch(config)#int fa0/1
    Switch(config-if)#spanning-tree portfast
  2. 在交换机端口下启用bpduguard功能,-- 该功能启用后,如果端口级联了交换机或路由器,则该端口直接进入error-disabled 状态 (端口会双down)
    Switch(config-if)#spanning-tree bpduguard enable

效果:
当端口fa 0/1 接入交换机等网络设备时,端口立即接入error-

最低0.47元/天 解锁文章
大型企业网如何防止设备?(09-07)
xiaoli8748的专栏
09-07 443
后有安全风险,如果有一台中毒后,会通过广播传到其他终端,病毒感染,报文扩散。- 交换机规格:4,8,24,48口等 - 下游的中断设备在一起。- 终端: PC SERVER 打印机 摄像头等。- 内网/局域网 - 通过交换机网络。1.什么是内网路由器?
作为网络工程师,上司活,以公司项目安排的名义让你去干活,你干不干?
最新发布
网络技术联盟站
04-17 49
想象一下,你是一名网络工程师,某天上司找到你,说有一个“公司项目”需要你加班完成。然而,随着工作展开,你逐渐发现,这所谓的“公司项目”其实是上司活,只是披上了公司安排的外衣。面对这种情况,你会选择埋头苦干,还是果断拒绝?这不是一个简单的“是”“否”能回答的问题,它关乎你的职业道德、个人底线、职场关系,甚至未来的职业发展。本文将带你深入剖析这一困境,探讨其中的利弊得失,并提供实用的应对策略。
企业如何杜绝员工开热点、路由现象?
yuzijiang11111的博客
12-07 7913
随着企业移动化办公需求增加,网络终端准入类型越来越复杂化。因缺乏管理工具,员工开热点、路由现象屡禁不止,不仅给企业运维造成管理负担,还增加了企业信息资产泄漏的风险。
unbound DNSSEC配置与验证
qupeng
12-10 1260
实验用的是unbound1.12版本,配置开启DNSSEC并进行验证。 一、生成root.key unbound-anchor -a ./root.key chown root.root ./root.key # 这里根据自己配置的运行用户进行属组设置 二、添加配置项 在unbound.conf 中添加配置项auto-trust-anchor-file: /path/root.key 三、重启服务进行验证 dig sigok....
华为ENSP-禁止小路由发布DHCP
m0_67362887的博客
03-23 223
信任区主机发出discover包,没有收到路由offer包,被交换机过滤。vlan通过隔离冲突域禁止信任区外部路由发送信息给信任区内主机。snooping通过建立信任端口,只允许特定端口发出DHCP包。acl通过建立规则在客户端口禁止服务器发出的dhcp进入交换机。通过DHCP snooping禁止设服务器的DHCP报文。通过ACL访问控制列表,禁止用户区域DHCP服务器报文。小路由收到discover包,并发送offer包。通过vlan实现故障隔离。
DHCP 解决单位网络路由器的办法
90挂墙_运程员
10-16 7838
单位有多台华为交换机,核心交换机s9300系列,各楼栋交换机S5700。其中设置2台DHCP服务器一主一备,配置Dhcp-relay。 最近发现有人在办公室误将网线插入办公室的家用路由器lan口,并且还开启了家用路由器dhcp,造成该网段电脑收到的都是非法的路由器dhcp信息,无法正常上网,对办公影响很大。 经查找资料,发现启用交换机的DHCP Snooping功能,直屏蔽掉那个非法路由器就可以了。 dhcp snooping功能开启后,默认所有端口为非信任口,即忽略掉所有端口发送的dhcp报文。为了能正
防止私自交换机_【s5700交换机】防止用户设IP
weixin_42458128的博客
12-23 1556
设备类型:华为S5700系列交换机应用场景:在不靠vlan的情况下,实现端口IP隔离,防止入用户私自使用未分配的IP以下方法是 IP+MAC+端口 的绑定,这样可以使未绑定(分配)的IP不被非法使用。此方法需要用到DHCP Snooping 功能。1、先开启全局DHCP Snooping[HUAWEI] dhcp snooping enable2、配置端口所属vlan[HUAWEI] vla...
配置交换机端口安全:要求控制交换机端口安全禁止网络设备
彭淦淦的博客
04-25 2647
1.1 问题 1)要求控制交换机端口安全禁止网络设备 2)PC1可以ping通Server1,PC2无法ping通Server1 1.2 方案 实验拓扑如图-1所示,搭建实验环境时首先确保PC1正常通信,再加入PC2。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 1)在交换机LSW1上配置 interface Ethernet0/0/1 port-security enab...
公司网络使用管理制度.docx
06-21
网络设备操作方面,公司禁止员工私自拆装网络口、拉扯网线添加网络设备。任何网络设备的增加变动都必须通过正式渠道申请,并由综合管理部进行安装和管理。这是为了防止因非专业操作导致的网络故障,确保网络...
信息管理在企业网络安全中的作用.pdf
09-20
企业需要及时传递信息安全警告,教育员工不要打开可疑邮件访问不安全的网站,避免外网,确保每个员工都明白安全防护的重要性。同时,强化密码管理,设置复杂且符合安全标准的密码,定期检查和更新。进行安全...
华为企业交换机,用DHCP SNOOPING防止小路由实验
热门推荐
NeverGUM的博客
07-31 1万+
导语: 在企业中,数据的安全一向是重要的,为了防止客户端小路由影响企业内部网络,华为企业交换机有这样的命令 Dhcp snooping 思路: 合法的DHCP客户端使用,dhcp snooping trusted 不合法的DHCP客户端使用,dhcp snooping enable 实验: 我们假设这样的一个场景,在企业网络架构中。核心交换机(CORE)下交换机(A...
华为S5700 防止小路由器
qq_33876106的博客
05-17 4591
华为S5700 防止小路由器 使用DHCP Snooping功能 使用全局DHCP Snooping功能。 [Switch] dhcp enable [Switch] dhcp snooping enable 使能用户侧口的DHCP Snooping功能。 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/...
路由如何防范?怎样禁止内网路由器?
weixin_34406086的博客
04-28 5690
现在的便携式路由器非常的小巧轻便,而且即插即用,很受大家的喜爱。但是,对于局域网的网管人员来说,这个小东西造成的危害可不小,比如:设备绕开管控,占用大量带宽资源。导致IP地址冲突,影响网络正常运行。提供不合法的DHCP服务,使局域网其他客户机获取到错误的IP地址。我相信大部分网络管理人员都被它坑过。今天我就来分享下一些常见的解决方案。最根本的解决方法,是在交换机上进行限制...
防止私自交换机_交换机如何配置防止用户手动设IP
weixin_30466329的博客
12-23 1966
1)在交换机上开启dhcp snooping功能Ruijie>enableRuijie#configure terminalRuijie(config)#ip dhcp snooping ------> 开启DHCP snooping功能2)连DHCP服务器的口配置为可信任口Ruijie(config)#int FastEthernet0/24Ruijie(config-Fa...
华为交换机根据MAC地址禁止设备上网
吴四方的博客
12-07 1万+
此命令使用了黑洞表项,即将MAC地址加入到黑洞表项中,这样当交换机收到目的源为此MAC地址的帧时会将自动丢弃掉。借此实现禁止该MAC地址设备上网的功能。
华为交换使用技术防止非法的DHCP服务器
城下深蓝的博客
04-03 1670
华为交换使用技术防止非法的DHCP服务器
小型园区组网方案
weixin_45694481的博客
03-14 4535
1、入层交换机与核心交换机通过Eth-trunk组网保证可靠性; 2、每个部门业务划分到一个vlan中,部门间的业务在核心层上通过vlanif三层互通; 3、核心交换机作为DHCP server,为园区用户分配IP地址; 4、交换机配置DHCP snooping功能,防止内网用户小路由器分配IP地址;同时 配置IPSG功能,防止内网用户私自更改IP地址。 配置过程: 1、三层交换机配置...
生产网络做portfast等配置对网络的影响
weixin_34404393的博客
03-25 125
测试环境: 1,使用笔记本配置临时ip并插在ASW-A3-C2960的Gi0/3口,然后连续ping [url]www.163.com[/url] ;2,端口现有配置: interface GigabitEthernet0/3 switchport access vlan 200 switchport mode access end 测试步骤:1,...
外来设备禁止网络的配置方法
m0_57121953的博客
08-19 765
有些单位的网络管控很严格,无论是有线还是无线,凡是未经允许的设备,都是禁止联网的。一、先来说有线网络的配置方法:在交换机上做口限制,所有电脑从固定的口上线;并且,外来人员的电脑无法网络。IPSG是针对基于源IP的攻击提供的一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为,正适用于上述配置要求。IPSG配置方法:1、配置要求如下:只允许PC1上外网,擅自修改IP将无法网络;未经允...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值