交换机STP的安全保护措施
本篇讲⼀下交换机⽣成树的安全保护措施,防⽌不法分⼦利⽤STP的特性来截取流量的⾛向和破坏⽹络的稳定性,也能有效的防⽌环路的形成。
安全原理
我们知道,STP的选举规则是在⼀个⼴播域中优先级⼩的选举为根桥,因此决定了流量的⾛向。那么只需在其对应的⽹络加⼊⼀台交换机,修改该交换机的优先级,使其抢占根桥,那么该⼴播域的流量⾛向将由该交换机决定,该交换机就能对流量进⾏监控等等⾮法活动。 那么我们对应的解决办法也是围绕着不能使其抢占根桥,从⽽不对我们原来的⽹络环境造成影响。
STP的保护措施及命令
胸针设计
BPDU保护:在对应的接⼝开启该功能,该功能会直接将收到BPDU的接⼝down掉。此时接⼝处于双down状态,并且若是想重新启动,则需先shutdown再no shutdown。原因是此时是处于err-disabled状态。也可以设置⼀段时间之后⾃动启动。 SW2(config)#int e0/0
SW2(config-if)#spanning-tree bpduguard enable //开启STP保护
SW2(cofig)#errdisable recovery cause bpduguard //开启BPUD导致的端⼝关闭恢复起来
SW2(cofig)#errdisable recovery interval 30 //设置接⼝恢复时间为30秒(最低30秒)
sw2(config)#spanning-tree portfast bpduguard default //在所有portfast接⼝开启BPDU保护,配置之前需配置好protfast接⼝ STP桥保护:在接⼝开启根桥保活后,若交换机的接⼝接收到了更优BPDU时,将该接⼝阻塞;直到该接⼝不再收到更优BPDU才恢复,从⽽保护根桥不会被抢。此时接⼝处于双UP,只是接⼝⽣成树状态为BKN。
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree guard root 接⼝开启根⽹保护
BPDU过滤:开启BPDU过滤后,若接⼊层接⼝收到BPDU信息,将仅丢弃BPDU数据帧,正常转发⽤户流量(不参与⽣成树)
sw2(config)#interface e0/0 接⼝开启或关闭
sw2(config-if)#spanning-tree bpdufilter enable
实例举例
配置前提:在SW2,SW3,SW4形成的⽣成树基础上,加⼊⼀个SW5,并修改SW5优先级为最⼩,使得SW5抢占根桥。
需求:要求对SW2做STP保护,使得SW5⽆法抢占根桥,即⽆法对SW2上⾯的链路造成影响。要求使⽤三种STP保护措施分别分析。
配置:
先将SW5得e0/0接⼝down掉,由于这⾥是EVE做测试,不⽀持热插拔。SW5(config)#spanning-tree vlan 1 priority 4096 //修改SW5优先级做保护之前,我们先来查看SW2与SW5的⽣成树状况。
可以看出,此时SW2作为(SW2,SW3,SW4)这个区域的根桥。
SW5作为(SW5)区域的根桥。
倘若将SW5的接⼝e0/0打开,SW5就会抢占根桥。
Interesting e0/0
no shutdown
关闭SW5接⼝e0/0,开始做STP配置
玻璃砖墙
第⼀种保护⽅式,BPDU保护:直接将收到BPDU的接⼝down掉。Interesting e0/0
no shutdown
SW2(config)#int e0/0
SW2(config-if)#spanning-tree bpduguard enable //开启STP保护
配置完成,将SW5的e0/0接⼝打开,查看是否能抢占根桥。
如何自制软玻璃
可以看到STP保护⽣效,由于检测在e0/0接⼝检测到BPDU报⽂,所以直接把e0/0接⼝直接down掉,并且SW5也⽆法抢占根桥。(这也是这种STP保护的特性)
补充配置:
sw2(config)#spanning-tree portfast bpduguard default //在所有portfast接⼝开启BPDU保护,配置之前需配置好protfast接⼝SW2(cofig)#errdisable recovery cause bpduguard //开启BPUD导致的端⼝关闭恢复起来
SW2(cofig)#errdisable recovery interval 30 //设置恢复时间30秒(最低30秒)
配置完成,我们等待30秒
可以看到,30秒后,SW2的f0/0将重新变为UP,但是由于SW5还是继续发BPDU问题,所以⼜变为DOWN,若是此时将SW5的e0/0接⼝关掉,可以清楚的看到SW2的接⼝重新UP起来。
第⼆种保护⽅式
STP桥保护:在接⼝开启根桥保活后,若交换机的接⼝接收到了更优BPDU时,将该接⼝阻塞;直到该接⼝不再收到更优BPDU才恢复,从⽽保护根桥不会被抢。
配置:
sw2(config)#interface e0/0
微丸机sw2(config-if)#spanning-tree guard root 接⼝开启根⽹保护
配置完成,来查看SW2的⽣成树状态
可以看出,SW5也⽆法抢到根桥,并且将e0/0直接给阻塞掉。但是这⾥不会down掉接⼝,与第⼀种⽅法⼜有所区别。
第三种⽅法
BPDU过滤:开启BPDU过滤后,若接⼊层接⼝收到BPDU信息,将仅丢弃BPDU数据帧,正常转发⽤户流量(不参与⽣成树)
虚拟机管理系统sw2(config)#interface e0/0 接⼝开启或关闭
sw2(config-if)#spanning-tree bpdufilter enable
sw2(config)#spanning-tree portfast bpdufilter default //在所有portfast接⼝开启BPDU过滤,配置之前需配置好protfast接⼝配置完成,打开接⼝SW5的e0/0接⼝,查看SW2⽣成树状态。
可以看出⽣成树没被抢,⽽且也没发⽣端⼝状态变化,这种STP保护⽅法就是启动过滤BPDU的效果。
最后
钨铜电触头
到此,三种STP保护⽅法介绍完毕,各有所长,重点看需求如何再考虑运⽤。感谢观看!谢谢!
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议