el 09-23-2021 04:11 PM
你好
我们都知道使用 BPDU 过滤器命令防止用户端口中传出 BPDU,我们也知道此命令如何禁用应用端口中的 STP,使此端口不受 STP 攻击。那么,我们如何在不禁用 STP 和损害边境网络的情况下限制这些即将离任的 BPDUs 呢?
问候。
¡Resuelto! Ir a solución.
正如devils_advocate提到的,您可以使用 跨树端口快速 bpdu 过滤器默认 命令在全球级别上配置 BPDU 过滤器。在此配置中,BPDU 过滤器仅适用于支持端口的端口,并导致它们发送 11 个 BPDU,然后停止执行此功能,直到端口收到 BPDU。这种激活 BPDU 过滤器的方法不会与 BPDU 防护装置冲突,并且可以同时使用 - 在这种情况下,如果端口收到 BPDU,BPDU 防护装置将使其失效。
应该提到的是,在我看来,从BPDUs"泄漏"的信息是微不足道的。您可以学到的是根开关的基本 MAC 地址及其优先级、最近开关的基本 MAC 地址及其优先级,也许是您所处的 VLAN - 就是这样。您个人是否看到任何滥用这些信息的方法?
此致敬意彼得
Ver la solución en mensaje original publicado
由于以下原因,我担心禁用即将离任的 BPD 没有意义:
你为什么要禁用即将离任的 BPDUs 呢?BPDU 过滤器功能具有不同的用途 - 停止在 PortFast 启用的端口上发送 BPDU,因为在大多数情况下,在此类端口上发送 BPDU 是一种努力,或者根据每个端口有效地禁用 STP,允许将网络划分为独立的 STP 域(这些域的无环互连属于 STP 不会由网络管理员负责)能够在这里救他)。
嗨,彼得,
我的目标是保护 STP 使用 BPDU 防护系统对传入 BPDU 进行保护,同时通过阻止即将离任的 BPDU 来避免在最终主机端口泄漏 STP 信息。由于应用这两个命令不起作用,因为 BPDU 过滤器禁用 BPDU 防护装置,我想知道哪个是有效的解决方案。
干杯。
如果您不想从每个主机连接的边缘端口泄漏 STP 信息,则使用 BPDUFilter。
如果收到 BPDU,它仍然会错误地禁用端口,但也不会发送任何端口。
请记住,使用 BPDU 过滤器会增加 STP 循环的风险。
就我个人而言, 我宁愿把 Bpdus 送出一个端口, '泄漏 Stp 信息', 也不愿冒 Stp 循环的风险。
谢谢彼得
这就是我要找的。我会测试它。
el 09-23-2021 04:12 PM
最好的方法是在接口级别上而不是全球级别上使用 BPDU 过滤器。
它将忽略传入的 BPDU 框架,以及停止出站 BPDU..通过这种方式,您可以防止 STP 泄漏
你指的是什么样的 "STP 攻击" ?
BPDUFilter 将停止发送 BPDU 的端口,如果收到 BPDU,将禁用该端口。
BPDUGuard 仍将发送 BPDU 的,但如果收到 BPDU,则会禁用该端口。
大多数人使用波特法斯特和BPDUGuard的组合在他们的主机连接的边缘端口。
您还可以更进一步,实现其他一些安全功能,如 DHCP 窥探、ARP 检查和 IP 源防护。
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Inicie sesión en la Comunidad
浏览社区快速链接并以您的母语获取个性化内容:
