Spanning Tree Protocol 1 Tính dễ bị tổn thương

Một phần của tài liệu ACisco.Press.Router.Security.Strategies.Jan.2008 ppt (Trang 30 - 31)

10.1 Tính dễ bị tổn thương

Spanning Tree Protocol (STP), cũng đựoc biết đến là 802.1q, là 1 giao thức lớp 2 đựoc thiết kế để chống lại Loop trong mạng Switch. Loop có thể xuất hiện khi mạng dự phòng được cấu hình để chắc chắn cso thể phục hồi. Một cách cơ bản, STP trải qua 1 số tình trạng(block, listen, learn, and forward) trước khi 1 port có thể chuyển traffic. Tiến trình này có thể mất khoảng 30 hoặc 50 giây. Trong trừong hợp 1 máy đơn được kết nối đến 1 port và nó không có cơ hội cho việc sinh ra Loop, tính năng STP Portfast có thể thực hiện 1 cách tức thời chuyển port sang trạng thái forwarding. Tuy nhiên, nó sẽ vẫn tham gia vào việc tính toán STP và chuyển vể trạng thái blocked nếu mạng bị Loop

Một khả năng dễ bị tổn thương liên kết với STP là 1 hệ thống với mạng có thể chủ động chỉnh sửa mô hình STP. Nó thì không có chứng thực để chống lại như là 1 hành động. Bridge ID một sự kết hợp của 2 byte Priority và 6 byte địa chỉ MAC, phân tích để tìm ra Root Bridge. Bridge ID càng thấp thì dễ để bầu chọn làm Root Bridge. Một Switch với Bridge ID thấp nhất có thể trở thành Root Bridge, do đó nó sẽ ảnh hưởng đến dòng trafic và làm tăng sự ảnh hwongr đến mạng

10.2 Giải pháp

10.2.1 STP Portfast Bridge Protocol Data Unit (BPDU) Guard

STP Portfast BPDU Guard cho phép người quản trị mạng áp đặt mô hình STP trên những port đã được bật với tính năng Portfast. Những hệ thống gắn các port với tính năng Portfast BPDU Guard được bật lên sẽ không cho phép chỉnh sửa mô hình STP. Để chống lại việc nhân các thong điệp BPDU, các Port sẽ bị disable và dung chuyển traffic trong mạng

Đặc tính này có thể được bật lên ở cả toàn cục hay cục bộ trên những port cấu hình tính portfast.Mặc định, STP BPDU guard bị tắt. Lệnh sau đây bật tính năng này trên mode global của dòng Switch Cisco 3550.

Sử dụng lệnh sau để kiểm tra việc cấu hình

show spanning-tree summary totals

Switch> …

t BPDU Guard is enabled by default. PortFas …

Để bật đặt tính này trên interface của dòng Switch Cisco 3550, sử dụng lệnh sau: Switch(config-if)# spanning-tree bpduguard enable

Khi STP BPDU guard bị disable trên 1 port của Switch nó có thể được cấu hình để hồi phục một cách tự động hoặc nó có thể được cấu hình bằng tay để bật lại bởi người quản trị. Lệnh sau có thể được sử dụng để câu hình cho 1 port 1 cách tự động khi nó ở tình trang disable. Khoảng thời gian timeout có thể được chỉnh từ 30 đến 86400 giây, với khoảng thời gian mặc định là 300 giây. Trong hình ví dụ bên dưới, 1 port được đặt ở tình trạng error-disabled sẽ phục hồi lại sau 400 giây

Switch(config)# errdisable recovery cause bpduguard Switch(config)# errdisable recovery interval 400

10.2.2 STP Root Guard

Đặc tính STP Root Guard là 1 cơ chế khác được sử dụng để bảo vệ mô hình STP. Không giống như BPDU Guard, STP Root Guard cho phép sự tham gia trong STP miễn là khi gắn vào hệ thống thì không cố gắng trở thành Root. Nếu Root Guard được bật lên, khi đó port sẽ tự động phục hồi sau khi từ bỏ nhận những BPDU tốt hơn thì nó sẽ làm root. Root Guard có thể được áp lên 1 hay nhiều port của những Switch biên và những Switch nội trong mạng. Một cách tổng quát, việc áp những đặc tính này đến những port trên mỗi Switch nên được dùng cho những con không phải là Switch

Lệnh sau sử dụng trên mode interface để bật STP Root Guard trên dòng switch Cisco 3550

Switch(config-if)# spanning-tree guard root

Một phần của tài liệu ACisco.Press.Router.Security.Strategies.Jan.2008 ppt (Trang 30 - 31)

Tải bản đầy đủ (DOC)

(65 trang)
w