در ابتدا میخوام یکم راجع به STP حرف بزنیم و از انواع پروتکل STP نام ببریم و بگوییم که دلیل بوجود آمدن این پروتکل چه می باشد. و در ادامه به فیچرهای امنیتی آن بپردازیم .
این پروتکل با یک طرفه کردن پورت های Redundant می آید از ایجاد لوپ در شبکه جلوگیری می کند.به تعریفی دیگر برای جلوگیری از لوپ در شبکه های لایه 2 استفاده می شود چون در شبکه های لایه 3 ما چیزی به اسم broadcast نداریم.پس به طور کلی ساختار موازی در شبکه های لایه 3 مجاز ولی در شبکه های لایه 2 غیرمجاز می باشد. هسته اصلی این پروتکل بسته های BPDU می باشد که در کل شبکه گردش دارنند و از وضعیت شبکه با خبر هستند.و به محض ایجاد مشکل این بسته ها هستند که مشکل را سریع در شبکه پخش می کنند.
هر سوئیچ در STP دارای یک Bridge-ID می باشد.و سوئیچی که Bridge-ID کمتری داشته باشد به عنوان Root-bridge انتخاب خواهد شد.تا قبل از انتخاب این سوئیچ همه سوئیچ ها بسته های BPDU یکدیگر را ارسال و دریافت می کنند.به محض انتخاب Root-bridge همه ی سوئیچ ها،دیگر BPDU های این سوئیچ را ارسال دریافت می کنند.بعد از مشخص شدن وضیت سوئیچ ها سراغ وضعیت پورت ها خواهیم رفت.
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
در این قسمت ما میآییم به چند فیچر مهم امنیتی می پردازیم:
این را میدانیم که نیازی نیست روی پورت های متصل به نودهای پایانی بسته های BPDU ارسال و دریافت شوند.چون اگر یک اتکر بیاید بسته های Super BPDU ارسال کند سمت شبکه می تواند توپولوژی STP را برهم زده و خود را جای Root-bridge معرفی کند و اهداف خود را پیش ببرد.و اگر یه سوئیچ به این پورت متصل شود اون پورت به حالت errdisable خواهد رفت و از ایجاد لوپ جلوگیری خواهد شد.و این نکته را نیز به یاد داشته باشیم که این فیچر در راستای فیچر Port fast خواهد آمد.حال با دستورات زیر می توانیم این ارسال و دریافت بسته هارا روی پورت های پایانی قطع کنیم.
Global Switch (config) #spanning-tree bpdu-guard default Interface Switch (config) #interface type <mod/num> Switch (config-if) #spanning-tree bpdu-guard enable
این فیچر را می آییم روی پورت هایی که احتمال دارد اتکر به آن متصل شود اجرا می کنیم.این فیچر می گوید من با دریافت BPDU هیچ مشکلی ندارم من با دریافت Super BPDU مشکل دارم و آن را اجازه عبور نمیدهم این بسته از طرف اتکر برای Root-bridge شدن ارسال می شود .در این صورت احتمال رخ داد اتک man in the middle را ازبین میبریم.پورتی که از آن Super BPDU دریافت شود به حالت root inconsistent خواهد رفت و تا متوقف شدن این جریان ارسال بسته ها، پورت به همان وضعیت باقی خواهد ماند.در مثال واقعی روی پورت هایی که ISP به مشتریان می دهد این فیچر فعال می شود.
<Switch (config) #interface type <mode/num Switch (config-if) #spanning-tree guard root
این فیچر زمانی کارایی پیدا می کند که می خواهیم کنتذل جریان BPDU رادر پورت کنترل کنیم.مثلا BPDU ارسال کند اما دریافت نکند.یا برالعکس مثل پورت های انتهایی.این فیچر در دو سطح پیاده سازی می شود.یکی در سطح اینترفیس و دیگری در سطح گلوبال.در سطح اینترفیس اگر پیاده سازی کنیم روی آن پورت دیگر نه BPDU ارسال ونه دریافت می شود.
<Switch (config) # interface type <mod/num Switch (config-if) #spanning-tree bpdu filter enable
درسطح گلوبال اگر پیکربندی شود،در این صورت می آید 10تا پیام Hello ارسال می کند.اگر جوابی برای اون پورت دریافت کرد اون پورت را فیلتر نمی کند در غیر این صورت آن را فیلتر خواهد کرد.
Switch (config) # spanning-tree bpdu filtering default
کارشناس ICT و علاقه مند به امنیت و فایروال
حسن صفری فارغ التحصیل مقطع کارشناسی در رشته ICT با بیش از 3 سال سابقه کاری در پارک علم و فناوری دانشگاه آزاد، دارای مدارک تخصصی شبکه در حوزه ی سیسکو و پیکربندی و اجرای مباحث امنیتی، عیب یابی فایروال هایASA و اعمال HA و همچنین شرکت در مباحث علمی مربوط به شبکه، خواندن کتب، مقالات علمی لاتین و.......
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود