浅谈bpduguard安全特性
Posted 吃豆人~
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了浅谈bpduguard安全特性相关的知识,希望对你有一定的参考价值。
Bpduguard安全特性
1、概述
-
作用:防止黑客DOS攻击(短时间内发送大量的BPDU或ARP请求),一般应用于portfast接口
-
DOS攻击(简单理解):此时SW1为根桥;PC1为黑客,短时间内它向SW3发送大量BPDU报文且优先级小于32768,这就导致生成树重新收敛,PC1成为根桥;PC1成为根桥以后,它会继续向SW3发送BPDU报文且优先级大于32768,生成树又一次重新收敛,SW1成为根桥;就这样生成树一直处于收敛状态,而生成树在收敛过程中不转发用户数据帧,导致网络瘫痪
-
SW3(config)#int f0/0
SW3(config-if)#spanning-tree bpduguard enable
SW3(config-if)#exit
接口下配置bpduguard,此接口(如上面0/0接口)一旦收到BPDU报文会自动把此接口置为Err-disable状态,Err-disable相当于接口down状态, 如果想把此接口重新启用需要进入这个接口先执行shutdown再执行no shutdown;此命令一般用在连接PC或者服务器的接口上面启用 -
sw3(config)#spanning-tree portfast bpduguard default //全局模式 ----- 在所有Portfast接口启用bpduguard特性
2、验证
-
在SW2的f0/2接口下执行 “spanning-tree bpduguard enable” ,由于SW3会向SW2发送BPDU报文,所以f0/2接口会处于Err-disable状态,下面配置命令进行验证:
SW2#sho interfaces f0/2 //查看接口状态
FastEthernet0/2 is down, line protocol is down (err-disabled)
...... -
进入f0/2接口执行 “sh、no sh” ,虽然激活了接口但f0/2还会收到BPDU,再一次进入到Err-disable状态,除非执行下面命令:
SW2(config)#int f0/2
SW2(config-if)#spanning-tree bpduguard disable //端口默认就是不开启bpduguard,所以sho run时看不到,但可以看到enable
//SW2(config-if)#no spanning-tree bpduguard //这两条命令实现的效果一样
SW2(config-if)#sh
SW2(config-if)#no sh
SW2(config-if)#exit
以上是关于浅谈bpduguard安全特性的主要内容,如果未能解决你的问题,请参考以下文章