25.內網安全部署之STP的安全技術部署
拓撲
拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可)
STP的安全技術部署
說明:為什麼需要注意STP的安全呢,在二層中其實存在很多不安全的因素,物理上面的環路這點就得依靠STP來解決,如果STP被惡意破壞,或者不是按照管理員定義的進行執行,那麼整個網路會出現很大的問題。
(1)STP根保護機制 我們都知道STP是有根跟備份根的,如果根的位置改變了的話,流量的引向是會發生變化的。 所以我們需要部署根的保護機制,防止根被後續的影響。 [Core-A]port-group 1 [Core-A-port-group-1]group-member g0/0/24 [Core-A-port-group-1]group-member g0/0/23 [Core-A-port-group-1]group-member g0/0/21 [Core-A-port-group-1]stp root-protection
[Core-B]port-group 1 [Core-B-port-group-1]group-member g0/0/22 to g0/0/24 [Core-B-port-group-1]stp root-protection 說明:該技術只需要在核心層或者匯聚層部署即可,也就是跟部署了VRRP技術的,防止跟VRRP的Master不一致即可,否則容易出現一些路徑不優的情況。
(2)BPDU包含【可以防止私接交換機功能】 說明:有時候使用者不懂網路知識,習慣性的自己自己帶的交換機連線進來, 而且很有可能是環路的連線,這樣的話就容易出現廣播風暴,所以這時候需要杜絕該情況發生。 接入層都需要部署 [FKT]stp bpdu-protection 測試當一臺交換機連線到訪客廳的時候
由於該介面收到bpdu,自動down,注意這裡只會對配置了邊緣埠的才會生效該功能,也就是說預設上層鏈路之間不受影響的。
自動恢復機制 預設情況下必須管理任何開啟該埠,但是這樣總歸很麻煩,所以可以開啟一個動態開啟機制。
[FKT]error-down auto-recovery cause bpdu-protection interval 30 它的意思是因為BPDU-Protection造成的介面donw,在30s後開啟。