背景：

相信每一個IT管理員都會時常碰到，員工私自把自己的無線路由器（AP模式）接入到公司網(wǎng)絡(luò)使得自己的無線設(shè)備可以連接上網(wǎng)。或者私自級聯(lián)交換機獲得等多的網(wǎng)絡(luò)端口。這種沒有得到授權(quán)的操作，給IT帶來了諸多的煩惱，例如 a.網(wǎng)絡(luò)出口帶寬被非業(yè)務(wù)流量長時間占用，導(dǎo)致正常業(yè)務(wù)用戶網(wǎng)絡(luò)緩慢。b. 無線頻段于公司無線頻段形成干擾，影響正常WiFi用戶使用無線

解決方案：

這里介紹一種禁止私自級聯(lián)交換機或路由器的解決方案，當(dāng)然這里的交換機是需要網(wǎng)管型的交換機才可以。

使用PORTFAST結(jié)合 BPDUGUARD功能禁止交換機端口在未經(jīng)授權(quán)下級聯(lián)

本例子中使用的是Cisco的設(shè)備，其他廠商設(shè)備也有類似功能，請自行查找廠商資料。

步驟：

1. 在交換機所有端口下配置spanning-tree portfast --設(shè)置交換機端口下聯(lián)的設(shè)備為終端設(shè)備（例如臺式機，筆記 本等）

Switch(config)#int fa0/1

Switch(config-if)#spanning-tree portfast

2. 在交換機端口下啟用bpduguard功能，-- 該功能啟用后，如果端口級聯(lián)了交換機或路由器，則該端口直接進入error-disabled 狀態(tài) （端口會雙down）

Switch(config-if)#spanning-tree bpduguard enable

效果：

當(dāng)端口fa 0/1 接入交換機等網(wǎng)絡(luò)設(shè)備時，端口立即接入error-disabled狀態(tài)，雙down。是的該端口無法使用。

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.

%PM-4-ERR_DISABLE: bpduguard error detected on 0/1, putting 0/1 in err-disable state

Switch#sh int fa0/1

FastEthernet0/1 is down, line protocol is down (err-disabled)

這樣就可以禁止用戶私自將交換機無線路由器等網(wǎng)絡(luò)設(shè)備，私自非授權(quán)的接入公司網(wǎng)絡(luò)中。