Тюнинг протокола STP: как настроить безопасность в коммутируемой сети (Root Guard, Loop Guard)

Новости

Рассмотрим как настроить безопасность STP в коммутируемой сети (Root Guard, Loop Guard). Исследуемая топология состоит из четырех коммутаторов Cisco Catalyst 3560 и 2960 под управлением Cisco IOS 15.0(2)SE6. Допускается использование других коммутаторов и версий Cisco IOS.

 

Схема топологии следующая:

 

 

Видео инструкция на нашем YouTube канале:

 

Сценарий

Протокол STP работает по умолчанию в коммутируемой сети и обеспечивает расчет кратчайших маршрутов без петель в зарезервированной коммутируемой локальной сети предприятия. При этом протокол, изначально описанный в стандарте IEEE 802.1d имеет ряд недостатков, которые решаются двумя способами: путем выпуска обновленных стандартов (например, RSTP — IEEE 802.1w и MST — IEEE 802.1s) и путем тонких настроек дополнительных функций (PortFast, UplinkFast, BackboneFast, BPDU Guard, BPDU Filter, Root Guard, Loop Guard и других).

В этой статье будет показана настройка Root Guard и Loop Guard.

Root Guard – это функция, позволяющая предотвращать появление мошеннических коммутаторов и спуфинг.

Root Guard — это защитный механизм в ситуациях, когда вашей сети и сети вашего клиента необходимо сформировать один домен STP, но вы хотите иметь корневой мост STP в своей сетевой части, и не хотите, чтобы ваш клиент взял на себя выбор корневого коммутатора. В этих случаях вы должны поставить Root Guard на портах по направлению к клиенту.

Root Guard можно включить на всех портах коммутатора, которые не являются корневыми. Обычно эта функция включена на портах, подключенных к граничным коммутаторам, которые никогда не должны получать пакеты BPDU с более высоким BID. Каждый коммутатор должен иметь только один корневой порт, который является наилучшим путем к корневому коммутатору.

Функция STP Loop Guard обеспечивает дополнительную защиту от закольцовывания при передаче на уровне 2 (петель STP). Петля STP появляется, когда порт в состоянии блокировки STP в топологии с резервированием ошибочно переходит в состояние пересылки. Обычно это происходит из-за того, что один из портов топологии с физическим резервированием (необязательно порт с блокировкой STP) больше не получает пакеты STP BPDU. Если все порты находятся в состоянии пересылки (forwarding), то это приводит к появлению петель (закольцовывания). Если порт, на котором включена функция Loop Guard, перестает получать пакеты BPDU из назначенного порта в сегменте, он переходит в состояние loop inconsistent вместо перехода в состояние forwarding. Как правило, состояние loop inconsistent является блокирующим, поэтому никакой трафик не пересылается. Если порт снова обнаруживает пакеты BPDU, он автоматически восстанавливается и переходит в состояние блокировки (blocking). Функцию Loop Guard следует применять к неназначенным портам.

 

Задачи

  • Часть 1. Проверка работы протокола STP по умолчанию.
  • Часть 2. Настройка и проверка дополнительных функций STP Root Guard и Loop Guard.

 

Конфигурации DLS1 после Части 1
hostname DLS1
no ip domain-lookup

line con 0
exec-timeout 0 0
logging synchronous
exit

spanning-tree vlan 1 root primary

interface range fa 0/7 - 10
spanning-tree guard root
end

 

 

Конфигурации DLS2 после Части 1
hostname DLS2
no ip domain-lookup

line con 0
exec-timeout 0 0
logging synchronous
exit

spanning-tree vlan 1 root secondary
end

 

 

Конфигурации ALS1 после Части 1
hostname ALS1
no ip domain-lookup

line con 0
exec-timeout 0 0
logging synchronous
exit

 

 

Конфигурации ALS2 после Части 1
hostname ALS2
no ip domain-lookup

line con 0
exec-timeout 0 0
logging synchronous
exit

 

 

Конфигурации ALS1 после Части 2
spanning-tree vlan 1 root priority 4096

interface f0/11
spanning-tree bpdufilter enable
spanning-tree bpdufilter disable
end
Конфигурации DLS1 после Части 2
interface range fa 0/7 - 10
spanning-tree guard root
end
Конфигурации DLS2 после Части 2
interface range fa 0/7 - 10
spanning-tree guard root
end
Конфигурации DLS2 после Части 2
interface fa 0/12
spanning-tree guard loop
end

 

 

Конфигурации ALS1 после Части 2
interface range fa 0/8 - 10
spanning-tree guard loop
end
Конфигурации ALS2 после Части 2
interface range fa 0/7 - 8
spanning-tree guard loop
exit
interface range fa 0/10 - 12
spanning-tree guard loop
end
Команды для проверки настроек STP
show spanning-tree
show spanning-tree inconsistentports
debug spanning-tree events

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ)

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

Обнаружены уязвимости в составе Vertiv Avocent MergePoint EMS BMC, информационная безопасность курсы повышения квалификации Санкт-Петербург

Обнаружены уязвимости в составе Vertiv Avocent MergePoint EMS BMC, информационная безопасность курсы повышения квалификации Санкт-Петербург

106
0
Недавно специалисты из Eclypsium смогли обнаружить существенные уязвимости, которые мешали работе Gigabyte и Lenovo. В этих компаниях была нарушена информационная…
Защита информации: использование уязвимостей

Защита информации: использование уязвимостей, обучение техническая защита информации Санкт-Петербург

75
0
Самый распространенный способ проникновения злоумышленника в операционную систему компьютера или смартфона — это использование уязвимостей. Существует даже специальное обучение техническая…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
Меню