STP加固指南

在讨论为了保护STP协议而需要注意的准则之前,让我们描述保护STP的重要性,以及如果攻击者更改STP拓扑会发生什么情况。

请记住:

  • STP通过接受来自相邻交换机的BPDU来构建拓扑。
  • 根网桥始终由最低的网桥ID确定。

低优先级的交换机可能被恶意或无意地安装在网络上,然后被选作根网桥。在这种情况下,STP拓扑将发生变化,并且经常会导致不稳定或次优拓扑。 保护STP拓扑的机制有以下四种: 

  • Rootguard
  • BPDU防护
  • BPDU过滤器
  • UDLD

默认情况下,所有这些机制都是禁用的。在本文中,将详细介绍每个功能。

Rootguard

Root Guard防止未经授权的交换机将自己宣传为Root Bridge。如果在启用了Root Guard的端口上接收到具有较低优先级的BPDU,则该端口将处于根不一致状态。在此状态下,端口实际上处于“阻塞”状态,并且不会转发帧。端口仍然可以侦听BPDU。一旦不再收到更好的BPDU,处于根不一致状态的端口可以自动恢复。端口将通过STP步骤更改为正常状态。

BPDU防护

回想一下,PortFast允许交换机端口绕过STP状态的正常进行。但是,PortFast不会在端口上禁用STP,而只是加速STP收敛。仅应在连接到主机的端口上启用PortFast。如果在连接到交换机的端口上启用了任何循环,则可能会导致广播风暴。

为避免这种情况,可以将BPDU Guard与PortFast结合使用。在正常情况下,与PortFast的端口启用了不应该得到一个消息,因为它是唯一专门用于hosts.BPDU卫队将放置一个端口的可禁止 如果接收到消息(错误禁用)状态。

应在启用了PortFast的任何端口上启用BPDU Guard。默认情况下禁用它,并且可以在每个接口上启用它。Errdisble端口可以通过执行关闭操作然后不关闭来手动恢复。请记住,启用了BPDU保护功能的BPDU数据包仍会从端口发送出去。

BPDU过滤

BPDU过滤会阻止BPDU从端口发送出去,并且必须与PortFast一起启用。如果在端口上接收到BPDU,则BPDU筛选将以以下两种方式之一进行响应,具体取决于其配置方式:

  • 如果全局启用了过滤,则收到的BPDU将禁用端口上的PortFast。然后,端口将在STP过程中正常过渡。
  • 如果基于每个接口启用了过滤,则会忽略收到的BPDU。

要在端口上启用BPDU筛选时请多加注意。由于端口将忽略收到的BPDU,因此STP实际上将被禁用。该端口将不会被错误禁用,也不会通过STP过程进行处理,因此交换网络可能会面临启用BDPU过滤的端口的第2层环路。

单向链路检测(UDLD)

通常,大多数网络通信都是 双向的,但有时硬件故障将导致流量仅在一个方向上传输或变为单向

光纤端口最容易发生此类故障。STP要求交换机双向交换BPDU。如果端口变为单向,则其中一台交换机将不会接收到BPDU。然后,该交换机可能会错误地将端口从阻塞状态转换为转发状态,从而造成环路。

思科开发了 单向链路检测(UDLD) 以确保维持双向通信。UDLD在端口上发出ID帧,并等待远程交换机使用其自己的ID帧进行响应。

如果远程交换机没有响应,则UDLD会认为该端口存在单向故障。在大多数思科平台上,默认情况下,UDLD每15秒发送一次ID帧。

保护STP UDLD

觉得文章有用?

点个广告表达一下你的爱意吧 !😁