Bpduguard安全特性
1、概述
-
作用:防止黑客DOS攻擊(短時間內發送大量的BPDU或ARP請求),一般應用于portfast介面
-
DOS攻擊(簡單理解):此時SW1為根橋;PC1為黑客,短時間內它向SW3發送大量BPDU報文且優先級小于32768,這就導致生成樹重新收斂,PC1成為根橋;PC1成為根橋以后,它會繼續向SW3發送BPDU報文且優先級大于32768,生成樹又一次重新收斂,SW1成為根橋;就這樣生成樹一直處于收斂狀態,而生成樹在收斂程序中不轉發用戶資料幀,導致網路癱瘓
-
SW3(config)#int f0/0
SW3(config-if)#spanning-tree bpduguard enable
SW3(config-if)#exit
介面下配置bpduguard,此介面(如上面0/0介面)一旦收到BPDU報文會自動把此介面置為Err-disable狀態,Err-disable相當于介面down狀態, 如果想把此介面重新啟用需要進入這個介面先執行shutdown再執行no shutdown;此命令一般用在連接PC或者服務器的介面上面啟用 -
sw3(config)#spanning-tree portfast bpduguard default //全域模式 ----- 在所有Portfast介面啟用bpduguard特性
2、驗證
-
在SW2的f0/2介面下執行 “spanning-tree bpduguard enable” ,由于SW3會向SW2發送BPDU報文,所以f0/2介面會處于Err-disable狀態,下面配置命令進行驗證:
SW2#sho interfaces f0/2 //查看介面狀態
FastEthernet0/2 is down, line protocol is down (err-disabled)
...... -
進入f0/2介面執行 “sh、no sh” ,雖然激活了介面但f0/2還會收到BPDU,再一次進入到Err-disable狀態,除非執行下面命令:
SW2(config)#int f0/2
SW2(config-if)#spanning-tree bpduguard disable //埠默認就是不開啟bpduguard,所以sho run時看不到,但可以看到enable
//SW2(config-if)#no spanning-tree bpduguard //這兩條命令實作的效果一樣
SW2(config-if)#sh
SW2(config-if)#no sh
SW2(config-if)#exit
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/283041.html
標籤:其他