STP Security之BPDU Filter、BPDU Guard、Root Guard

最新推荐文章于 2022-08-01 10:46:44 发布
最新推荐文章于 2022-08-01 10:46:44 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: 网络安全架构与部署 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40644809/article/details/105201242
版权
本文详细介绍了STP安全措施,包括BPDU Filter的定义、原理和部署方法,旨在防止黑客通过access接口发送伪造BPDU攻击。接着讨论了BPDU Guard,它在检测到非法BPDU时会立即将接口置于err-disabled状态,提供更强的防护。最后,阐述了Root Guard的机制,当检测到高优先级BPDU时会阻止攻击,保护网络稳定性。三种方法各有侧重,共同保障STP网络的安全。
摘要由CSDN通过智能技术生成

STP Security

BPDU Filter

定义

BPDU 过滤,用于实现对接口 < access > 的 BPDU 过滤。

原理

存在这样一种攻击方式,有一名黑客使用一台攻击机,通过交换机的 access 口接入到交换网络中,伪装成优先级高的交换机,向交换网络发送 BPDU 包并将其优先级修改为 0,将会导致同一 vlan 涉及的设备中原本一条链路断掉;或者不断地修改优先级,导致链路抖动。

部署

第一种方法
spanning-tree portfast edge bpdufilter default

第二种方法
Int f0/0
spanning-tree bpdufilter enable

show spanning-tree summary totals //查看 STP 的高级特性

BPDU Guard

定义

BPDU 保护,用于实现对接收到 BPDU 数据包的端口进行防护。

原理

一旦在某指定接口接收到本不应存在的 BPDU 包,直接将该接口断掉,使其呈现为软关闭 err-disabled 状态。相较于过滤,该方法防护手段更加强硬。

部署

第一种方法
spanning-tree portfast edge bpduguard default

第二种方法
Int f0/0

最低0.47元/天 解锁文章
Goallegoal
关注
专栏目录
BPDU Gard / BPDU Filter / Root Guard
JackZhang的专栏
01-22 2824
介绍STP的3个特性:BPDU GuardBPDU FilterRoot Guard
73、STP安全配置实验之BPDU Filtering
weixin_34146410的博客
12-24 258
1、BPDU Filtering解析为了保护Spanningtree的稳定性,BPDU Filtering配置于交换机接非交换机的端口上,当配置了BPDU Filtering的接口上收到BPDU后,将其丢弃。配置方法:全局配置模式:spanning-tree portfast bpdufilter default接口配置模式:spanning-tree bpdufilter ...
BPDU Guard, BPDU Filter, Root Guard, Loop Guard & UDLD
剪刀石头布
05-11 2481
BPDU Guard:防止将交换设备意外连接到启用PortFast的端口。 将交换机连接到启用了PortFast的端口可能会导致第2层环路或拓扑更改。 BPDU filtering:限制交换机向Access端口发送不必要的BPDURoot Guard: 防止连接在配置为Access端口上的交换机成为根交换机。 Loop Guard:Loop Guard STP功能通过防止桥接环路来提...
STP普通生成树安全特性— bpduguard特性 + bpdufilter特性 + guard root 特性 III loopguard技术( 详解+配置)
qq_62311779的博客
08-01 5895
一、bpduguard特性: (1)讲解: 1.1 sw3(config-if)#spanning-tree bpduguard enable 接口下配置bpdugrard,此接口一旦受到BPDU报文会自动把此接口置为err-disable状态,err-disable相当于接口down状态,如果想把此接口重新启用需要进入这个接口执行shutdown再执行no shutdown;此命令一般用在连接PC或者服务器的接口上面启用 sw3(config)#spanning-tree portfast bpdugu
STP安全特性——bpduguard特性、 bpdufilter特性、guard root 特性、loopguard技术总结与案列(附图,建议PC观看)
qq_62311779的博客
01-25 3124
-------------------------------------------------------------------------------------- 一、bpduguard特性: 总结: 1.1 sw3(config-if)#spanning-tree bpduguard enable 接口下配置bpdugrard,此接口一旦受到BPDU报文会自动把此接口置为err-disable状态,err-disable相当于接口down状态,如果想把此接口重新启用需要进入这个接口执行..
思科交换机stp 安全配置
最新发布
06-09
2. 启用 BPDU Filter 功能:配置全局 BPDU Filter 功能,以便在交换机接收到异常 BPDU 时,将 BPDU 丢弃,避免对网络造成不必要的干扰。 ``` Switch(config)# spanning-tree portfast bpdufilter default ``` 3. ...
CCIE R&S v5 Advanced Technology Labs - LAN Switching
LinuxKernelCiscoIOS的博客
10-23 386
CCIE R&S v5 Advanced Technology Labs - LAN Switching Layer 2 Access Switchports Layer 2 Dynamic Switchports 802.1q Dynamic Trunking 802.1q Native VLAN DTP Negotiation VTP Domain VTP Transparent VT...
cisco switch端口安全cisco
08-30
配置BPDU GuardRoot Guard可以防止此类攻击。 5. **DHCP Starvation**:攻击者通过发送大量无效的DHCP请求,耗尽DHCP服务器的IP地址池,阻止合法用户获取IP地址。启用DHCP Snooping可以检测和丢弃非法DHCP请求。 ...
CCNP基础知识-交换技术
LZH_1108的博客
07-19 2604
CCNP 交换基础 一、回顾在CCNA中学到的交换技术 1.交换机的启动过程 a)开启设备后全部灯开启,然后熄灭,此过程是检查交换机或路由器的硬件情况 b)将flash中的IOS加载到RAM(内存)中 c) 加载系统配置到RAM中 其中: ROM:只读存储器,不可写入数据。 RAM:随机访问存储器,可读可写,断电后数据消失。 NVRAM:非易失性(或非发挥性)随机访问存储器,断电后数据保留。 FL...
理解BPDU Guard的意义(BPDU Guard在全局配置与接口配置上的区别)
weixin_33755847的博客
07-04 1208
理解BPDU Guard的意义(BPDU Guard在全局配置与接口配置上的区别)  本文截自于博主CCNP交换技术稿件内容  BPDU GuardBPDU保护),简单的讲它的意义就是一个不该接收BPDU的端口,比如被启动了portfast的端口,一旦收到BPDU报文,那么BPDU保护功能将会立即关闭该端口,并将端口状态置为error-disabled状态。BPDU Guard的配置分为全局型的...
72、STP安全配置实验之BPDU Guard
weixin_33853827的博客
12-24 388
1、BPDU Guard解析为了保护Spanningtree的稳定性,BPDU Guard配置于交换机接非交换机的端口上,当配置了BPDU Guard的接口上收到BPDU后,接口状态就会变为err-disabled,此时接口的物理、链路状态都为down。配置方法:全局配置模式:spanning-tree portfast bpduguard default接口配置模式:spa...
bpduguardbpdufitler
somayuki的专栏
10-04 383
1.首先两个都是针对porfast的(只有启用了这个特性,BPDU guardBPDU Filter才有用) 不同的是: 当在启用了Port Fast特性的端口收到了BPDU后,BPDU Guard将关闭 该端口,使该端口处于err-disable状态,这时必须手动才能把此端口回复为正常状态 如果全局配置了BPDU Filtering,当某个Port Fast端口接收到了BPDU,那么交换机将禁用Port Fast和BPDU Filtering特性,把端口更改回正常的STP状态. 如果在单独的Port
学习stp个人笔记portfast、Bpdu GuardBpdu Filter
weixin_34128237的博客
12-11 483
PortFast :加快主机连接入stp网络的收敛速度.一个端口如果设置为Portfast,该端口不参与生成树计 算。主要用在在交换机与主机相连的端口, 不应该在交换机与交换机,路由器,hub互连的网络设备的端口使用。 在STP中,port有5个状态:disable、blocking、listening、learning、forwarding。 只有forwarding...
BPDU Guard 與 Edge Port Protection
stevenliu008的专栏
08-08 1642
BPDU GUARD (2010-03-24 14:29:01) 转载▼ 标签: 杂谈 分类: cisco&huawei From: http://blog.sina.com.cn/s/blog_4923cd5f0100anhh.html BPDU GUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disab
24-BPDU FilterBPDU GuardBPDU过滤和防护) //IOU模拟
weixin_34221775的博客
07-07 509
一、实验拓扑:二、命令部署:1、SW1、SW2、SW3部署Trunk和VTP:ESW1(config)#int range f1/0 - 1ESW1(config-if-range)#no shutdown ESW1(config-if-range)#switchport trunk encapsulation dot1q ESW1(config-if-range)#switchport mode...
BPDU guardbpdufilter的一些介绍
weixin_34071713的博客
09-01 243
BPDU guardbpdufilter的一些介绍 BPDU GUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态。我们知道,当交换机STP功能启用的时候,默认所有端口都 会参与STP,并发送和接受BPDU,当BPDU GUARD开启后,在正常情况下,一个下联的端口是不会收到任何BPDU的,因为PC和非网管换机都不支持STP,所以不会收...
浅谈bpduguard安全特性
孙志超的博客
05-04 2940
Bpduguard安全特性 1、概述 作用:防止黑客DOS攻击(短时间内发送大量的BPDU或ARP请求),一般应用于portfast接口 DOS攻击(简单理解):此时SW1为根桥;PC1为黑客,短时间内它向SW3发送大量BPDU报文且优先级小于32768,这就导致生成树重新收敛,PC1成为根桥;PC1成为根桥以后,它会继续向SW3发送BPDU报文且优先级大于32768,生成树又一次重新收敛,SW1成为根桥;就这样生成树一直处于收敛状态,而生成树在收敛过程中不转发用户数据帧,导致网..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值