Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Принципы организации глобальных вычислительных сетей
Файл:
экз.docx
Скачиваний:
30
Добавлен:
10.04.2023
Размер:
4.97 Mб
Скачать
►Содержание►

Port security - предотвращение атаки “переполнение mac-table”

Теперь расскажем вкратце, как обеспечить безопасность сети на втором уровне OSI.

Для начала, следует упомянуть команду конфигурации интерфейса

  • switchport port-security, включающую защиту на определенном порту свича.

  • switchport port-security maximum 1 мы можем ограничить количество mac-адресов, связанных с данным портом (т.е., в нашем примере, на данном порту может работать только один mac-адрес).

  • switchport port-security mac-address адрес какой именно адрес разрешен: его можно задать вручную

  • switchport port-security mac-address sticky, закрепляющую за портом тот адрес, который в данный момент работает на порту.

  • Далее, задаем поведение в случае нарушения правила switchport port-security violation {shutdown | restrict | protect}: порт либо отключается, и потом его нужно поднимать вручную (shutdown), либо отбрасывает пакеты с незарегистрированного мака и пишет об этом в консоль (restrict), либо просто отбрасывает пакеты (protect).

BPDU Guard - если данная функция включена, то при получении BPDU порт блокируется, то есть переходит в состояние error-disable. Данная функция необходима для предотвращения изменения корневого коммутатора при подключении к сети нового коммутатора с более низким приоритетом. Рекомендуется использовать совместно с режимом PortFast на портах доступа.

Включается глобально на всем коммутаторе либо на отдельных портах. Рекомендуется сначала включить режим PortFast.

Root Guard – это функция, позволяющая предотвращать появление мошеннических коммутаторов и спуфинг.

Root Guard – это защитный механизм в ситуациях, когда вашей сети и сети вашего клиента необходимо сформировать один домен STP, но вы хотите иметь корневой мост STP в своей сетевой части, и не хотите, чтобы ваш клиент взял на себя выбор корневого коммутатора. В этих случаях вы должны поставить Root Guard на портах по направлению к клиенту.

Root Guard можно включить на всех портах коммутатора, которые не являются корневыми. Обычно эта функция включена на портах, подключенных к граничным коммутаторам, которые никогда не должны получать пакеты BPDU с более высоким BID. Каждый коммутатор должен иметь только один корневой порт, который является наилучшим путем к корневому коммутатору.

Функция STP Loop Guard обеспечивает дополнительную защиту от закольцовывания при передаче на уровне 2 (петель STP). Петля STP появляется, когда порт в состоянии блокировки STP в топологии с резервированием ошибочно переходит в состояние пересылки. Обычно это происходит из-за того, что один из портов топологии с физическим резервированием (необязательно порт с блокировкой STP) больше не получает пакеты STP BPDU. Если все порты находятся в состоянии пересылки (forwarding), то это приводит к появлению петель (закольцовывания). Если порт, на котором включена функция Loop Guard, перестает получать пакеты BPDU из назначенного порта в сегменте, он переходит в состояние loop inconsistent вместо перехода в состояние forwarding. Как правило, состояние loop inconsistent является блокирующим, поэтому никакой трафик не пересылается. Если порт снова обнаруживает пакеты BPDU, он автоматически восстанавливается и переходит в состояние блокировки (blocking). Функцию Loop Guard следует применять к неназначенным портам.

Соседние файлы в предмете Принципы организации глобальных вычислительных сетей
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности