生成树协议(Spanning Tree Protocol,STP)是一种用于防止网络中出现环路的协议。然而,STP 也存在一些安全隐患,例如 BPDU 攻击。BPDUGuard 是一种生成树安全特性,可以帮助保护网络免受 BPDU 攻击。
BPDUGuard 特性可以在接口上启用,一旦接口收到 BPDU 报文,就会自动将该接口置为 err-disable 状态。err-disable 状态相当于接口 down 状态,需要进入该接口执行 shutdown 再执行 no shutdown 命令才能重新启用该接口。一般情况下,BPDUGuard 特性用于连接 PC 或服务器的接口上。
在正常情况下,PC 和服务器等设备不会发送 BPDU 报文。但是,如果有黑客的恶意攻击行为,在 PC 上安装攻击软件(如 Yersinia 攻击软件),就可以使 PC 发送 BPDU 报文。这些 BPDU 报文可能会导致生成树的不稳定,甚至会使整个网络瘫痪。
如何防御 BPDU 攻击
- 在连接 PC 或服务器的接口上启用 BPDUGuard 特性。
- 在所有 Portfast 接口上启用 BPDUGuard 特性。
- 在接口上配置 BPDUFilter 特性,使该接口不转发和接收 BPDU 报文。
在err-disable状态下,可以执行哪些命令来重新启用接口?
在 err-disable 状态下,可以执行以下命令来重新启用接口:
- 输入
shutdown命令,将接口关闭。 - 输入
no shutdown命令,重新启用接口。
BPDUGuard 特性是一种生成树安全特性,可以帮助保护网络免受 BPDU 攻击。在网络规划和配置中,应该合理使用 BPDUGuard 和 BPDUFilter 特性,以提高网络的安全性和稳定性。同时,还应该加强网络安全管理,防止黑客的恶意攻击行为。
BPDUFilter 特性
BPDUFilter 特性可以在接口上启用,使该接口不转发和接收 BPDU 报文。这样可以防止 BPDU 报文在网络中传播,从而提高网络的安全性。
BPDUGuard和BPDUFilter
BPDU Guard(桥协议数据单元防护)和 BPDU Filter(桥协议数据单元过滤)是生成树协议中的两种安全特性,用于增强网络的稳定性和安全性。
BPDU Guard 的主要功能是在端口收到任何 BPDU(桥协议数据单元)时,将该端口立即设置为 Error-Disabled 状态。在正常情况下,下联端口不会收到 BPDU,因为 PC 和非网管交换机不支持 STP,不会收发 BPDU。当端口下存在自回环的环路时,它发出的 BPDU 会在非网管交换机上回环并被自己接收,此时 BPDU Guard 会将该端口立即设置为 Error-Disabled 状态,切断环路,保护整个网络。
BPDU Guard 特性可以全局启用或基于接口启用,两种方法稍有不同。在启用了 Port Fast 特性的端口收到 BPDU 后,BPDU Guard 特性将关闭该端口。端口处于 Error-Disabled 状态时,必须手动才能将其恢复为正常状态。
BPDU Filtering 的作用是防止交换机在启用了 Port Fast 特性的端口上发送 BPDU 给主机。如果全局配置了 BPDU Filtering,当某个端口接收到 BPDU 时,交换机将把端口更改回正常的 STP 状态,并禁用 Port Fast 和 BPDU Filtering 特性。需要注意的是,如果在连接到其他交换机的端口上配置了 BPDU Filtering,可能会导致层 2 环路。此外,如果在与启用了 BPDU Filtering 的相同端口上配置了 BPDU Guard 特性,那么起作用的将是 BPDU Filtering。
总结
BPDUGuard 是一种重要的生成树安全特性,可以帮助保护网络免受 BPDU 攻击。在网络规划和配置中,应该合理使用 BPDUGuard 和 BPDUFilter 特性,以提高网络的安全性和稳定性。同时,还应该加强网络安全管理,防止黑客的恶意攻击行为。
