Link
Wiki

Welcome to My Blog, A documentary of Life.

Search

交换网络安全

目录

  1. 1. SPAN
  2. 2. RSPAN
  3. 3. Spanning-tree 安全
    1. 1.BPDU Guard
    2. 2.BPDU Filter
    3. 3.Root Guard
    4. 4.Loop Guard(生成树技术)
  4. 4.UDLD(链路防环技术)

1. SPAN

Switch Port Analyzer 交换端口分析器,目的是将某个端口的数据复制一份,发往指定端口进行监测(可以接IDS之类)

monitor session 1 source int f1/0/1,f1/0/23
monitor session 1 source vlan 11,22
monitor session 1 source interface port-channel 12, f1/0/1
monitor session 1 destination int f1/0/24

! Trunk 口不要设置SPAN,否则所有数据无法通行
!设置为SPAN destination 的端口只能用来接收数据,不能有其他用途

监视 Trunk 口中指定数据:

Switch(config)# monitor session 2 source interface fastethernet0/48 rx
Switch(config)# monitor session 2 filter vlan 100 - 102 //指定受控的VLAN范围
Switch(config)# monitor session 2 destination interface fastethernet0/30
! 监控F0/48这个接口,只监控VLAN100-102中的流量

删除:

no monitor session 1

检查:

show monitor session 1

2. RSPAN

RSPAN(Remote SPAN),即远程SPAN,和SPAN类似,但可以跨越交换网络为多层交换机提供远程监控。

SW1:

vlan 999
remote-span
exit
moniter session 1 source interface f1/0/20
moniter session 1 destination remote vlan 999

SW2:

vlan 999
remote-span
exit
moniter session 1 source remote vlan 999
moniter session 1 destination interface f1/0/21

3. Spanning-tree 安全

1.BPDU Guard

BPDU guard:如何在一个接口上部署了BPDU guard特性,这个接口如果收到了BPDU报文,那么此接口将会进入err-disable(等同逻辑性shutdown)状态。

1)全局下实施:

spanning-tree portfast bpduguard default    --->针对portfast口生效

spanning-tree portfast default   --->针对access口生效

2)接口下实施:

interface fastethernet0/10
spanning-tree bpduguard enable    --->针对所有模式生效

2.BPDU Filter

BPDU filter:如果在一个接口上部署了BPDU filter特性,这个接口如果收到了BPDU报文,那么此接口将会过滤掉BPDU报文。

1)全局下实施:

spanning-tree portfast bpdufilter default    --->针对portfast口生效
spanning-tree portfast default   --->针对access口生效

2)接口下实施:

interface fastethernet0/10
spanning-tree bpdufilter enable    --->针对所有模式生效

3.Root Guard

spanning-tree vlan 1 priority 0  --->此交换机将会成为vlan 1的根,其它交换机有可能抢走根位置。

root guard:如果在一个接口上部署了 root guard 特性,这个接口如果收到了抢根BPDU(比当前网络中根交换机的BPDU还优),那么此接口会进入ROOT_Inconsistent(根不一致状态)等同于 err-disable。

实施:

interface fastethernet0/10
spanning-tree guard root

4.Loop Guard(生成树技术)

1)全局下实施:

spanning-tree loopguard default   --->针对所有接口开启loop guard特性

2)接口下实施:

interface fastethernet0/10
spanning-tree gurad loop

4.UDLD(链路防环技术)

UDLD有两种模式:

  • 1)normal模式 :只支持光纤链路
  • 2)aggressive(积极)模式:支持光纤链路和双绞线链路

实施:

1)全局下实施:

udld enable  --->开启UDLD,默认工作在光纤链路上
udld aggressive  --->使用积极模式

2)接口下实施:

interface g1/0/1
udld port      --->开启
udld port disable  --->关闭
nterface f1/0/1
udld port aggressive --->开启
no udld port aggressive --->关闭