【实战中提升自己】内网安全部署之STP的安全技术部署
1 1拓扑
「模拟器、工具合集」复制整段内容
链接:https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil1 STP的安全技术部署
说明:为什么需要注意STP的安全呢,在二层中其实存在很多不安全的因素,物理上面的环路这点就得依靠STP来解决,如果STP被恶意破坏,或者不是按照管理员定义的进行运行,那么整个网络会出现很大的问题。
(1)STP根保护机制
我们都知道STP是有根跟备份根的,如果根的位置改变了的话,流量的引向是会发生变化的。
所以我们需要部署根的保护机制,防止根被后续的影响。
[Core-A]port-group 1
[Core-A-port-group-1]group-member g0/0/24
[Core-A-port-group-1]group-member g0/0/23
[Core-A-port-group-1]group-member g0/0/21
[Core-A-port-group-1]stp root-protection
[Core-B]port-group 1
[Core-B-port-group-1]group-member g0/0/22 to g0/0/24
[Core-B-port-group-1]stp root-protection说明:该技术只需要在核心层或者汇聚层部署即可,也就是跟部署了VRRP技术的,防止跟VRRP的Master不一致即可,否则容易出现一些路径不优的情况。
(2)BPDU包含【可以防止私接交换机功能】
说明:有时候用户不懂网络知识,习惯性的自己自己带的交换机连接进来, 而且很有可能是环路的连接,这样的话就容易出现广播风暴,所以这时候需要杜绝该情况发生。
接入层都需要部署
[FKT]stp bpdu-protection测试当一台交换机连接到访客厅的时候
由于该接口收到bpdu,自动down,注意这里只会对配置了边缘端口的才会生效该功能,也就是说默认上层链路之间不受影响的。
自动恢复机制
默认情况下必须管理任何开启该端口,但是这样总归很麻烦,所以可以开启一个动态开启机制。
[FKT]error-down auto-recovery cause bpdu-protection interval 30
它的意思是因为BPDU-Protection造成的接口donw,在30s后开启。
