背景：

相信每一個(gè)IT管理員都會(huì)時(shí)常碰到，員工私自把自己的無(wú)線路由器（AP模式）接入到公司網(wǎng)絡(luò)使得自己的無(wú)線設(shè)備可以連接上網(wǎng)?；蛘咚阶约?jí)聯(lián)交換機(jī)獲得等多的網(wǎng)絡(luò)端口。這種沒(méi)有得到授權(quán)的操作，給IT帶來(lái)了諸多的煩惱，例如 a.網(wǎng)絡(luò)出口帶寬被非業(yè)務(wù)流量長(zhǎng)時(shí)間占用，導(dǎo)致正常業(yè)務(wù)用戶網(wǎng)絡(luò)緩慢。b. 無(wú)線頻段于公司無(wú)線頻段形成干擾，影響正常WiFi用戶使用無(wú)線

解決方案：

這里介紹一種禁止私自級(jí)聯(lián)交換機(jī)或路由器的解決方案，當(dāng)然這里的交換機(jī)是需要網(wǎng)管型的交換機(jī)才可以。

使用PORTFAST結(jié)合 BPDUGUARD功能禁止交換機(jī)端口在未經(jīng)授權(quán)下級(jí)聯(lián)

本例子中使用的是Cisco的設(shè)備，其他廠商設(shè)備也有類似功能，請(qǐng)自行查找廠商資料。

步驟：

1. 在交換機(jī)所有端口下配置spanning-tree portfast --設(shè)置交換機(jī)端口下聯(lián)的設(shè)備為終端設(shè)備（例如臺(tái)式機(jī)，筆記 本等）

Switch(config)#int fa0/1

Switch(config-if)#spanning-tree portfast

2. 在交換機(jī)端口下啟用bpduguard功能，-- 該功能啟用后，如果端口級(jí)聯(lián)了交換機(jī)或路由器，則該端口直接進(jìn)入error-disabled 狀態(tài) （端口會(huì)雙down）

Switch(config-if)#spanning-tree bpduguard enable

效果：

當(dāng)端口fa 0/1 接入交換機(jī)等網(wǎng)絡(luò)設(shè)備時(shí)，端口立即接入error-disabled狀態(tài)，雙down。是的該端口無(wú)法使用。

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.

%PM-4-ERR_DISABLE: bpduguard error detected on 0/1, putting 0/1 in err-disable state

Switch#sh int fa0/1

FastEthernet0/1 is down, line protocol is down (err-disabled)

這樣就可以禁止用戶私自將交換機(jī)無(wú)線路由器等網(wǎng)絡(luò)設(shè)備，私自非授權(quán)的接入公司網(wǎng)絡(luò)中。