注:无论是普通生成树还是其他生成树都有这些安全特性以及portfast特性(都需要配置)
但是从RSTP、MSTP都不需要uplinkfast技术、backbonefast技术,不用命令再次开启!!!
目录
一、bpduguard特性:
(1)讲解:
1.1 sw3(config-if)#spanning-tree bpduguard enable
接口下配置bpdugrard,此接口一旦受到BPDU报文会自动把此接口置为err-disable状态,err-disable相当于接口down状态,如果想把此接口重新启用需要进入这个接口执行shutdown再执行no shutdown;此命令一般用在连接PC或者服务器的接口上面启用
sw3(config)#spanning-tree portfast bpduguard default ——在所有Portfast接口自动启用bpdugrard特性
——————————————————————————————————————————————————————————
(2)案列:
一般情况下,须在sw4的f0/4接口启用Portfast技术(速端口),省略省略15秒侦听时间和15秒学习时间,直接进入到转发状态。
正常情况下,PC、服务器.....是不可能发送BPDU报文的,如果有黑客的恶意攻击行为,在PC上安装攻击软件(Yersinia攻击软件) 从而可以使PC发送BPDU报文,并且可以指定一定时间一定数量的BPDU报文,也可以把BPDU中BID中优先级修改。(假设每分钟10000个,则发送速率过大会导致二层广播风暴的产生 ,如果交换机性能差的话,还会导致整个网络的瘫痪。而且如果BID中优先级为1,则会使PC成为根桥(ROOT)而当BID中优先级假设更改为65535的话,PC又丧失了ROOT地位,生成树会重新选举(重新收敛){!!而在生成树收敛的时候所有接口是不能转发用户的数据帧,所以就形成了一种基于BPDU报文的拒绝访问式DOS攻击},使生成树时时刻刻处于收敛状态)而在生成树收敛的时候所有接口是不能转发用户的数据帧,相当于客户的整个内网就全部瘫痪了。还有一种DDOS攻击(分布式拒绝服务攻击)。
————————————————————————————————————————————————————————
(3)如何防御?
1、 sw3(config-if)#spanning-tree bpduguard enable//此命令一般用在连接PC或者服务器的接口上面启用(一般使用这个)
在f0/4接口启用bpduguard安全特性,一旦接口收到BPDU报文自动把此接口置为err-disable状态,err-disable相当于接口down状态,如果想把此接口重新启用需要进入这个接口执行shutdown再执行
2、 sw3(config)#spanning-tree portfast bpduguard default //在所有Portfast接口启用bpdugrard特性
3、sw3(config-if)#spanning-tree bpdufilter enable//接口下配置bpdufilter特性,此接口不转发不接收BPDU报文!
—————————————————————————————————————————————————————————
二、bpdufilter特性:
(1)讲解:
sw3(config-if)#spanning-tree bpdufilter enable
接口下配置bpdufilter特性,此接口不转发不接收BPDU报文!适用于两个交换网络采用二层链路互连,但是还要确保每个交换网络有自己独立的STP生成树,所以在两个交换网络边缘接口启用次特性
———————————————————————————————————————————————————————
(2)案列:
——————————————————————————————————————————————————————————
三、guard root特性:
(1)讲解:
sw3(config-if)#spanning-tree guard root
此接口收到一个比当前根桥更优的BPDU报文,为了保护根桥,把此接口置为err-disable状态,一般适用于我交换网络边界设备边缘接口上面启用
————————————————————————————————————————————————————————
(2)案列:
过程分析:如图,如果pc发送一个恶意BPDU报文,把BPDU报文中BID优先级设置为1,优先级最小,当f0/4接口启用guard root特性时,发现这个恶意的BPDU的优先级比我根桥还要优先,认为这是一种恶意的攻击行为,所以就会把0/4接口直接处于err-disable状态,也就是直接 shutdown,用于保护我当前的根桥,确保当前生成树的稳定性
——————————————————————————————————————————————————————————
四、loopguard技术
(46条消息) STP生成树——安全特性——单向环路故障——loopguard技术详细讲解、网线分类(附图,建议PC观看)_孤城286的博客-CSDN博客
———————————————————————————————————————————————————————————
五、拓展阅读:
DOS简介:
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。 [1]
DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果
DDOS简介:
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。 [1]
分布式拒绝服务攻击方式在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。