交换安全 STP生成树

最新推荐文章于 2024-04-27 16:18:37 发布
最新推荐文章于 2024-04-27 16:18:37 发布
阅读量4.7k 收藏 7
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40511641/article/details/96886108
版权

交换安全----局域网安全
主要攻击手段:
1)MAC洪范攻击----攻击者通过不断发送合法的MAC地址,致使二层交换机的MAC表满溢,使本应单播的流量洪范,这样攻击者就可以得到想要窃取的内容
2)中间人攻击----将其他接口连接的主机MAC地址通过另一个接口发给交换机,毒化MAC表,使交换机错误的转发数据,从而窃取数据
3)MAC地址漂移----指一个MAC地址有两个出接口,后学习到的接口会覆盖原有的出接口,使MAC地址表象的出接口发生了变更

**

端口安全

**

维护一个合法的端口与MAC对应关系,通过关闭不使用的接口、设置最大记录mac地址数量、静态绑定mac地址方式来防御攻击
在这里插入图片描述
第5行命令默认只能绑定一个MAC-----switchport port-security
第6行命令表示绑定第一个通过接口的源MAC----switchport port-security maximum 1
如果不符合实际情况,第7行命令表明惩罚措施----switchport port-security violation shutdown
第8行命令表示绑定用户想要绑定的MAC—switchport port-security mac-address 00d0.bab2.2611

惩罚机制:
1.protect:当新计算接入时,如果该端口的mac条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息;
2.restrict:当新计算接入时,如果该端口的mac条目超过最大数量,则这个新的计算机将无法接入,并且交换机将发送警告信息,警告频率过大时会影响交换机的性能;
3.shutdown:当新计算接入时,如果该端口的mac条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该接口下使用shutdown和 no shutdown命令重新打开端口。
被惩罚的接口show inter x/x 状态呈现errdisable
errdisable recovery cause psecure-violation ///允许交换机自动恢复因端口安全而关闭的端口
errdisable recovery interval 60 ///配置交换机60s后自动恢复端口

粘滞安全mac地址
静态安全MAC地址可以使交换机的接口(f0/1)只能接入某一固定的计算机,然而需要使用switchport portsecurity mac-address 00d0.bab2.2611命令,这样就需要一一查出计算机的mac地址,这是一个工作量巨大的工作,粘滞安全MAC地址可以解决这个问题。
在这里插入图片描述
Switchport protected 端口隔离:将本接口从本交换机中隔开,使本端口与其他端口通过二层协议无法通信,只能与网关通信(在公共场所的共用网络基本都要做)
VLAN隔离的本质是切割VLAN看表,将接口划入VLAN后该接口只能查本VLAN的接口看表,查不到其他接口的看表,此时本接口就被独立出来࿰

最低0.47元/天 解锁文章
钓鱼ing
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
思科 Spanning Tree Protocol(STP)生成树
yuchencn_mao的博客
07-12 5841
什么是STP STPSpanning Tree Protocol)即IEEE 802.1D,其作用主要有三个,第一是eliminate logical loops消除逻辑环,第二自动选取最有效的网络路径,第三是当某条链路失效时,自动切换到备份链路,实 现所谓的failover功能。STP协议有很多种类,可分为STP(802.1D)、RSTP(802.1W)、MSTP(802.1S)、 PVST/PVST+ PVRST/PVRST+。STP的基本原理是通过在交换机之间传递一种特殊的协议报文,网桥协议数 .
STP-4-每VLAN生成树和Trunk上的STP
weixin_30257433的博客
04-04 465
如果在有冗余链路且有多个VLAN的交换网络中只使用STP实例,那么在稳定状态中,仍会有一些端口处于阻塞状态不被使用,冗余链路实际上变成了备份链路。 PVST+特性能为每个VLAN创建一个STP实例。通过调整配置可使每个STP实例使用不同的根交换机,阻塞不同的端口。因此,可以用到所有可用链路实现流量的负载分担。 非cisco交换机只支持CST(通用生成树)。网络中只运行一个STP实例,对所有v...
生成树基础
孑然的博客
09-16 1284
详细介绍各种生成树协议
Cisco 交换机 spaning-tree portfast 什么意思
weixin_33772645的博客
12-06 577
这个是用于接入口的,一个正常的交换接口从down到up要经过:Down,listening,learning,fowarding几个状态,一共耗时为30秒,从而决定此端口是blocking还是fowarding的,也是交换机的防止环路的机制。但是对于直接接入PC这样的终端设备的接口就没有必要经过这几步了,也就是从down直接进入fowarding的状态。 基本的...
STP普通生成树安全特性— bpduguard特性 + bpdufilter特性 + guard root 特性 III loopguard技术( 详解+配置)
qq_62311779的博客
08-01 5553
一、bpduguard特性: (1)讲解: 1.1 sw3(config-if)#spanning-tree bpduguard enable 接口下配置bpdugrard,此接口一旦受到BPDU报文会自动把此接口置为err-disable状态,err-disable相当于接口down状态,如果想把此接口重新启用需要进入这个接口执行shutdown再执行no shutdown;此命令一般用在连接PC或者服务器的接口上面启用 sw3(config)#spanning-tree portfast bpdugu
STP生成树协议工作原理
04-07
STP生成树协议工作原理 STPSpanning Tree Protocol,生成树协议)是一种二层网络协议,用于防止网络中的环路和广播风暴。STP 协议的主要作用是逻辑上断开环路,防止广播风暴的产生,在一个交换网络中有可能会出现...
STP生成树实例详解.docx
06-12
STP生成树协议详解】 STPSpanning Tree Protocol,生成树协议)是一种网络协议,主要用于解决在分层网络中由于冗余链路可能导致的流量环路问题。冗余链路虽然提高了网络的容错性,但在网络拓扑结构形成环路时,...
stp生成树详解
04-01
STP生成树协议)是局域网中用于防止循环路径和由此引发的广播风暴的一种重要技术。在具有多条物理连接的交换网络中,如果不进行管理,可能会形成环路,导致数据包在网络中无休止地循环,破坏网络稳定性。STP通过...
STP生成树详解
10-17
### STP生成树详解 #### 一、生成树简介 ##### 1.1.1 STP简介 **生成树协议(Spanning Tree Protocol, STP)**是一种用于防止局域网(LAN)中的环路的技术。它通过创建一个无环路的网络拓扑结构来避免广播风暴的...
STP生成树协议
01-02
### STP生成树协议详解 #### 一、引言 随着网络规模的不断扩大和技术的不断发展,网络中的冗余连接成为了确保网络稳定性和可靠性的关键因素之一。然而,冗余连接虽然能够有效避免单点故障的问题,但同时也可能带来...
Spanning-treeportfast接口会发送bpdu吗
funnycoffee123的博客
09-30 2108
会正常发
锐捷交换机二层 笔记
最新发布
normanhere的博客
04-27 787
1、如果把一个接口分配给一个不存在的 VLAN,那么这个 VLAN 将自动被创建。2、在 VLAN 配置模式下,add interface { interface-id | range interface-range } 批量修改,对于两种形式的接口加入 VLAN 命令,配置生效的原则是后配置的命令覆盖前面配置的命令。
STP——生成树协议
bashui2708的博客
07-13 477
STP——生成树协议 STP--spanning tree protocol--生成树协议,是IEEE定义的一个802.1d标准,用于解决交换机中得人一系列环路问题。 为什么要使用STP?在大型的网络当中,为了避免单点故障和实现网络的高可用性以及负载均衡,通常会在两台交换机之间以网线相连,形成冗余的链路环境。但是冗余的链路环境为形成环路,会对整个网络中的资源消耗和设备损耗造成很大的负担。所以提出了...
锐捷生成树STP命令
weixin_42707622的博客
06-06 1415
锐捷stp命令
交换安全——详述
HC博客
11-21 774
一、端口安全技术 将 MAC 地址固定在该接口上,如果进入该接口的数据和绑定的 MAC 地址不符合就阻塞该 端口,这样可以防止 MAC 地址洪泛攻击和 MAC 中间人攻击 sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1 静态安全 MAC 地址 sw1(config)#int f0/1 sw1(config-if...
PortFast/UplinkFast/BackboneFast三者比较
samtaoys的博客
08-03 3178
PortFast可以使交换端口状态直接跳过listening和learning状态而直接达到forwarding状态,PortFast特性必须配置在连接终端或者服务器的端口,PortFast只能配置在接入层交换机中,PortFast还能配合BPDU Guard和BPDU Filter进行应用。(默认的50秒减少到优化后的几秒) 可在端口/全局模式下进行配置 spanning-tree portf...
CCNP-STP
fa_nei_kuang_tu的博客
01-01 851
2022.1.1 I like the simple pleasures in life--我喜欢生活中那些简单的乐趣 BPDU的分类 ·拓扑变更BPDU:TCN BPDU,所有交换机都有资格发送该BPDU,使用该BPDU发给根桥。 ·配置BPDU:TC BPDU,用于STP计算,当根桥收到TCN BPDU时使用该BPDU通知该域内所有交换机。 Port Fast (速端口) ????交换机启动后,端口需等待30秒才能转发数据 ????跳过STP的计算,从而直接过渡到forwarding
73、STP安全配置实验之BPDU Filtering
weixin_34146410的博客
12-24 245
1、BPDU Filtering解析为了保护Spanningtree的稳定性,BPDU Filtering配置于交换机接非交换机的端口上,当配置了BPDU Filtering的接口上收到BPDU后,将其丢弃。配置方法:全局配置模式:spanning-tree portfast bpdufilter default接口配置模式:spanning-tree bpdufilter ...
STP-16-根防护,BPDU防护和BPDU过滤
weixin_30902675的博客
05-29 2550
网络设计者很可能并不打算让终端用户在用于连接终端用户设备的Access端口上连接交换机。然而,这种事情有时却会发生——例如,有人可能需要大厅的会议室里有更多的端口,于是他觉得他可以把一个小的便宜的交换机接到墙上的端口中 STP拓扑可能会因为这些意外增加到网络中的交换机而发生变化。例如,新交换机可能拥有最低的网桥ID并成为根。为了避免这种情况,工程师可以在Access端口上启用BPD...
理解Catalyst交换网络中的生成树协议STP
生成树协议(Spanning Tree Protocol,STP)是网络设计中的关键组件,特别是在构建冗余交换网络时,它旨在防止因物理线路环路而导致的数据包无限循环。STP通过算法选择网络中的一个根桥,并根据根桥的位置来确定其他...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值