計算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項目三任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

子任務(wù)2BPDUGuard的配置

子任務(wù)3BPDUFilter的配置局域網(wǎng)的安全管理【任務(wù)目標(biāo)】

1．學(xué)會正確配置ROOTGuard的操作方法2．學(xué)會正確配置BPDUGuard的操作方法3．學(xué)會正確配置BPDUFilter的操作方法項目三任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

子任務(wù)2BPDUGuard的配置

子任務(wù)3BPDUFilter的配置局域網(wǎng)的安全管理

【任務(wù)環(huán)境】1、主流PC機(jī)一臺2、GNS3軟件

任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

【知識支撐】

ROOTGuard簡介該防護(hù)的目的是為防止新加入的交換機(jī)影響一個已經(jīng)穩(wěn)定了的交換網(wǎng)絡(luò)，阻止未經(jīng)授權(quán)的交換機(jī)成為根網(wǎng)橋。其工作原理是如果一個端口啟動了此特性，當(dāng)它收到了一個比根橋優(yōu)先值更優(yōu)的BPDU包，則它會立即阻塞該端口，使之不能形成環(huán)路等情況。這個端口特性是動態(tài)的，當(dāng)沒有收到更優(yōu)的包時，則此端口又會自己變成轉(zhuǎn)發(fā)狀態(tài)了。ROOTGuard需要配置在指定端口上。任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

【任務(wù)實施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、設(shè)置SW3為生成樹的根橋主要配置命令如下：SW3(config)#spanning-treevlan1priority8192//將SW3的橋優(yōu)先級設(shè)置為8192，由于其余交換機(jī)的橋優(yōu)先級都為默認(rèn)值32768，所以SW3成為根橋任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置3、查看生成樹的運行狀態(tài)SW3#showspanning-treeVLAN0001SpanningtreeenabledprotocolieeeRootIDPriority8193Addressaabb.cc00.0300ThisbridgeistherootHelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority8193(priority8192sys-id-ext1)Addressaabb.cc00.0300HelloTime2secMaxAge20secForwardDelay15secAgingTime15sec……//從以上輸出信息可以看出SW3已經(jīng)成為根橋任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

4、在SW2上配置ROOTGuard主要配置命令如下：SW2(config)#inte0/3SW2(config-if)#spanning-treeguardroot//在SW2的e0/3端口上開啟rootguard任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

4、驗證ROOTGuard

1）更改SW1的橋優(yōu)先級

主要配置命令如下：SW1(config)#spanning-treevlan1priority4096//將SW1的橋優(yōu)先級設(shè)置為4096任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置2）在SW2上觀察變化

（1）再次查看生成樹的運行狀態(tài)SW2#show

spanning-tree……InterfaceRoleStsCostPrio.NbrTypeEt0/3DesgBKN*100128.4Shr*ROOT_Inc……//以上輸出信息可以看到當(dāng)前SW2的e0/3端口已經(jīng)處于阻塞狀態(tài)任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

（2）查看生成樹的不一致狀態(tài)SW2#showspanning-treeinconsistentportsNameInterfaceInconsistency--------------------------------------------------------------VLAN0001Ethernet0/3RootInconsistentNumberofinconsistentports(segments)inthesystem:1//以上輸出信息可以看到由于SW2從e0/3收到SW1發(fā)送的更優(yōu)的BPDU，然而由于該端口上配置Rootguard，因此該端口進(jìn)入阻塞狀態(tài)任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置項目三任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

子任務(wù)2BPDUGuard的配置

子任務(wù)3BPDUFilter的配置局域網(wǎng)的安全管理

【任務(wù)環(huán)境】1、主流PC機(jī)一臺2、GNS3軟件

任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)2BPDUGuard的配置【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)2BPDUGuard的配置

【知識支撐】

BPDUGuard簡介

該防護(hù)的目的是為了在把端口設(shè)置成Portfast時，在出現(xiàn)回路時，自動關(guān)閉端口，這樣避免造成網(wǎng)絡(luò)的癱瘓。因此BPDUGuard一般是和Portfast結(jié)合使用，當(dāng)交換機(jī)配置了BPDUGuard，同時又在端口上啟用了PortFast之后，如果此時該端口收到BPDU的時候，就進(jìn)入err-disable狀態(tài)。任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)2BPDUGuard的配置【任務(wù)實施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、設(shè)置SW3為生成樹的根橋

3、將SW2的e0/0端口配置成Postfast端口，主要配置命令如下：

SW2(config)#inte0/0SW2(config-if)#spanning-treeportfast//在SW2的e0/0端口上開啟portfast任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)2BPDUGuard的配置4、配置BPDUGuard

主要配置命令如下：

SW2(config)#inte0/0SW2(config-if)#spanning-treebpduguardenable//在SW2的e0/0端口上開啟BPDUGuard任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)2BPDUGuard的配置5、驗證BPDUGuard在SW2上斷開與PC1的連接，同時在e0/0端口上接入一臺新交換機(jī)SW4，觀察SW2上的變化，如下所示。

%SPANTREE-2-BLOCK_BPDUGUARD:ReceivedBPDUonportEt0/0withBPDUGuardenabled.Disablingport.%PM-4-ERR_DISABLE:bpduguarderrordetectedonEt0/0,puttingEt0/0inerr-disablestate%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/0,changedstatetodown%LINK-3-UPDOWN:InterfaceEthernet0/0,changedstatetodown//以上日志信息可以看到SW2的e0/0端口上收到從新交換機(jī)SW4上發(fā)送的BPDU報文，由于該端口上已經(jīng)配置了BPDUGuard，所以該端口已經(jīng)被置于err-disable狀態(tài)，強(qiáng)行被關(guān)閉了，從而使原先的生成樹環(huán)境得到保護(hù)任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)2BPDUGuard的配置同時查看此端口的信息，發(fā)現(xiàn)其狀態(tài)的確變?yōu)榱薳rr-disable，如下所示。

類似于端口安全的恢復(fù)方法，此時如果要將該端口恢復(fù)到正常狀態(tài)，首先將PC1重新連接至交換機(jī)SW2的e0/0端口上，然后在SW2上對e0/0端口進(jìn)行關(guān)閉和開啟端口的命令后即可恢復(fù)正常。SW2#showinte0/0Ethernet0/0isdown,lineprotocolisdown(err-disabled)……任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)2BPDUGuard的配置項目三任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)1ROOTGuard的配置

子任務(wù)2BPDUGuard的配置

子任務(wù)3BPDUFilter的配置局域網(wǎng)的安全管理

【任務(wù)環(huán)境】1、主流PC機(jī)一臺2、GNS3軟件

任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)3BPDUFilter的配置【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)3BPDUFilter的配置

【知識支撐】

BPDUFilter簡介BPDUFilter特性和BPDUGuard特性非常類似，通過使用BPDUFilter，將能夠防止交換機(jī)在啟用了Portfast特性的端口上發(fā)送BPDU給主機(jī)。不同于BPDUGuard，BPDUFilter功能有所不同，當(dāng)端口啟用Postfast時，將不發(fā)送任何BPDU，并且把接收到的所有BPDU都丟棄，當(dāng)端口在接收到任何BPDU時，將丟棄Portfast狀態(tài)和BPDUFilter功能，更改回正常的STP端口。

任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)3BPDUFilter的配置【任務(wù)實施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、設(shè)置SW3為生成樹的根橋，并查看此時生成樹的運行狀態(tài)，主要配置命令如下：

SW3(config)#spanning-treevlan1priority8192//將SW3的橋優(yōu)先級設(shè)置為8192SW3#showspanning-tree……

Thisbridgeistheroot……//從以上輸出信息可以看出SW3已經(jīng)成為根橋任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)3BPDUFilter的配置3、將SW2的e0/0端口配置成Postfast端口，并開啟BPDUFilter，主要配置命令如下：

SW2(config)#inte0/0SW2(config-if)#spanning-treeportfast//在SW2的e0/0端口上開啟PortfastSW2(config-if)#spanning-treebpdufilterenable//在SW2的e0/0端口上開啟BpduFilter任務(wù)3.3生成樹協(xié)議的安全配置

子任務(wù)3BPDUFilter的配置4、驗證BPDUFilter1）在SW2上斷開與PC1的連接，同時在e0/0端口上接入一臺新交換機(jī)SW4

2）將SW4的橋優(yōu)先級設(shè)置為4096，目的是強(qiáng)制將其置為根橋SW4(config)#spanning-treevlan1priority4096//將