BPDU Guard

-


BPDU Guard


BPDU – Bridge Protocol Data Unit, пакеты, которыми обмениваются коммутаторы для выбора корневого (root) устройства при реализации протокола STP (Spanning Tree Protocol).
Чтобы гарантировать безопасность сети и неприкосновенность статуса root избранного устройства, на всех коммутаторах уровня доступа настраивается функция BPDU guard, которая препятствует подключению к сети любого устройства, активно отсылающего в нее BPDU пакеты. Таким образом BPDU guard защищает неизменность топологии сети, а главное препятствует злоумышленнику подключить устройство с низким приоритетом, чтобы заставить остальных коммутаторов думать, что в сети появился новый root и перестроить всю топологию относительно атакующего устройства, тем самым позволив ему пропускать через себя все данные, предоставляя злоумышленнику такую информацию как: IP адреса, пароли и т.п.
Подобно функции Port-security, правильно настроенный BPDU guard заблокирует порт в тот момент, когда обнаружит попытку передачи в сеть несанкционированного пакета BPDU через него. Настройка BPDU guard начинается с команды spanning-tree portfast, которая прописывается на всех интерфейсах коммутаторов уровня доступа, предназначенных для подключения оконечных устройств. Далее есть два пути:
  1. Включить BPDU guard в режиме глобальной конфигурации командой spanning-tree portfast bpduguard, которая включает защиту на всех интерфейсах с функцией spanning-tree portfast.
  2. Включить BPDU guard на каждом интерфейсе по отдельности командой spanning-tree bpduguard enable.
Когда сработает защита и порт заблокируется, привести его в рабочее состояние можно будет только вручную, поочередно прописав на интерфейсе команды shut и no shut. При желании можно автоматизировать этот процесс и воспользоваться командой errdisable recovery cause bpduguard, которая включит порт через 300 секунд. Изменить длительность таймера можно командой errdisable recovery interval 400, где 400 – количество секунд из дипазона от 30 до 86400.

Пример:
#interface range gig0/1 - 24
#spanning-tree portfast
#spanning-tree bpduguard enable
#errdisable recovery cause bpduguard
#errdisable recovery interval 400
 
http://telecombook.ru/archive/network/cisco/directory/63-port-security 

Comments

Post a Comment

Popular posts from this blog

Петли L2, методы борьбы (PortFast, LoopGuard, BPDU guard, BPDU filter)

-
Петли в сетях Петли в коммутируемой сети могут возникнуть по нескольким причинам: Отключен STP; PVST BPDU передает идентификатор VLAN. Если на access-интерфейсе полученный идентификатор VLAN'а не совпадает с VLAN ID в котором было получено BPDU, то порт переводится в заблокированное состояние для этого VLAN; Различные версии STP; Разные native VLAN'ы на концах транка; Слишком маленькие таймеры STP; Большое количество хопов в топологии STP.  Опциональные настройки STP Loop Guard BPDU Guard Root Guard PortFast BPDU Filter UDLD Функции PortFast, BPDU guard, BPDU filtering, EtherChannel guard, root guard или loop guard могут быть настроены в режиме PVST+, rapid PVST+ или MSTP. Функции UplinkFast, BackboneFast или cross-stack UplinkFast могут быть настроены в режиме rapid PVST+ или MSTP, но они будут оставаться выключенными (inactive) до тех пор пока режим не будет изменен на PVST+ (так как они уже вшииы в rapid pvst+) Port Fast Portfast ...
Read more

Проброска static маршрута в OSPF

-
Image
У нас есть лакальная и внешняя сеть. Надо пинговать 8.8.8.8 с R4. Все роутеры, кроме R3 работают по OSPF 1) Чтоб попадать во внешнюю (9.147.10.0/23) сеть с локальной, нам надо прописать PAT на интерфейсе роутера R2 (F0/0), смотрящего во внешнюю сеть. Теперь пинги с любой внутренней сети будут идти во внешнюю с ip адресом 9.147.11.220 2) Чтоб мы могли пинговать адрес 8.8.8.8 с R2, на нем надо прописать gateway - R3. Есть несколько вариантов - ip route 0.0.0.0 0.0.0.0 9.147.10.4 - ip default-network 9.147.10.0 - ip default-gateway 9.147.10.4 Проблема: ○ ip route - статический маршрут, и не передаётся по OSPF, т.е. с R0 и R4 пакеты не будут уходить, так как по OSPF этот                  маршрут не передатся ○ ip default-network так же не передаётся по OSPF ○ ip-default gateway работает, только когда выключен ip routing Решение: 1. Default-information oroginate Пробросить статический ...
Read more

PUTTY lifehack

-
Image
Увеличение количества строк терминала Часто в результате каких-то действий в консоль выводится большое количество информации, и вам необходимо её пролистать. Однако, настройки по умолчанию ограничивают вывод двумя сотнями последних строк. Для изменения этого параметра откройте окно настроек, перейдите в категорию Window и измените параметр Lines of scrollback на подходящее вам значение, к примеру, 5000.   Полезные горячие клавиши Копирование и вставка текста Для копирования текста из консоли PuTTY нужно просто выделить текст - он автоматически скопируется в буфер обмена. Для вставки текста в консоль используется сочетание клавиш Shift+Insert, либо можно просто нажать в консоли правой кнопкой мыши. Редактирование вводимой команды Ctrl+A – переместить курсор в начало вводимой строки Ctrl+E – переместить курсор в конец вводимой строки Alt+F – переместить курсор к следующему слову во вводимой строке Alt+B – переместить курсор к предыдущему слову во в...
Read more