生成樹協(xié)議與端口安全.ppt
《生成樹協(xié)議與端口安全.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《生成樹協(xié)議與端口安全.ppt(20頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
第四章生成樹協(xié)議與端口安全 4 1生成樹協(xié)議 4 1 1生成樹協(xié)議的作用功能強(qiáng)大 可靠的網(wǎng)絡(luò)需要有效地傳輸流量 提供冗余和故障的快速恢復(fù)功能 在第2層網(wǎng)絡(luò)中 路由協(xié)議不可用 生成樹協(xié)議通過從軟件層面修改網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)來構(gòu)建一個(gè)無環(huán)路邏輯轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu) 提供了物理線路的冗余連接 消除了網(wǎng)絡(luò)風(fēng)暴 從而提高網(wǎng)絡(luò)的穩(wěn)定性和減少網(wǎng)絡(luò)故障的發(fā)生率 4 1生成樹協(xié)議 4 1 2生成樹協(xié)議的原理生成樹協(xié)議 SpanningTreeProtocol 是在網(wǎng)絡(luò)有環(huán)路時(shí) 通過一定的算法將交換機(jī)的某些端口進(jìn)行阻塞 從而使網(wǎng)絡(luò)形成一個(gè)無環(huán)路的樹狀結(jié)構(gòu) 1 生成樹協(xié)議的工作過程采用三個(gè)規(guī)則來使某個(gè)端口進(jìn)入轉(zhuǎn)發(fā)狀態(tài) 生成樹協(xié)議選擇一個(gè)根網(wǎng)橋 根網(wǎng)橋的所有端口都處于轉(zhuǎn)發(fā)狀態(tài)每一個(gè)非根網(wǎng)橋選一個(gè)端口到根網(wǎng)橋中且管理成本最低的端口作為根端口 生成樹協(xié)議將使根端口處于轉(zhuǎn)發(fā)狀態(tài)當(dāng)網(wǎng)絡(luò)中有多個(gè)網(wǎng)橋時(shí) 它們會(huì)將其到根網(wǎng)橋的管理成本宣告出去 其中管理成本最低的網(wǎng)橋作為指定網(wǎng)橋 指定網(wǎng)橋中發(fā)送最低管理成本BPDU的端口為指定端口 該端口處于轉(zhuǎn)發(fā)狀態(tài) 所有其他端口被置為阻塞狀態(tài) 2 根網(wǎng)橋的選擇開始所有網(wǎng)橋都通過發(fā)送STP報(bào)文來聲明自己是根網(wǎng)橋 這些交換信息的數(shù)據(jù)成為網(wǎng)橋協(xié)議數(shù)據(jù)單元 BPDU BPDU包含以下內(nèi)容 根網(wǎng)橋的ID一個(gè)可設(shè)置的優(yōu)先級(jí)這是根網(wǎng)橋的優(yōu)先級(jí)到達(dá)根網(wǎng)橋的成本發(fā)送該BPDU的網(wǎng)橋ID根網(wǎng)橋的選擇條件 最小優(yōu)先級(jí)別的網(wǎng)橋?qū)⒊蔀楦W(wǎng)橋若優(yōu)先級(jí)別相同 則具有最小網(wǎng)橋ID的網(wǎng)橋成為根網(wǎng)橋注 網(wǎng)橋或交換機(jī)選擇地址池中的一個(gè)MAC地址作為網(wǎng)橋的ID 由于MAC地址的唯一性 所以網(wǎng)橋ID也是唯一的 用來標(biāo)識(shí)根網(wǎng)橋和優(yōu)先級(jí) 網(wǎng)橋ID和成本的報(bào)文成為hello數(shù)據(jù)包 STP就是通過hello數(shù)據(jù)包中的內(nèi)容來判斷網(wǎng)絡(luò)中是否有比自己更合適作為根網(wǎng)橋的網(wǎng)橋 如果有就停止并且轉(zhuǎn)發(fā)合適網(wǎng)橋的hello數(shù)據(jù)包 最終將有一臺(tái)網(wǎng)橋成為根網(wǎng)橋 3 根端口的選擇不是根網(wǎng)橋的交換機(jī)都選擇一個(gè)根端口 這是通過判斷出有最小根路徑成本的端口做到的 這個(gè)代價(jià)一直帶在BPDU上 沿途的每臺(tái)不是根網(wǎng)橋的交換機(jī)都把接收BPDU的端口的本地端口成本加上去 伴隨BPDU的產(chǎn)生 就累加出了根路徑成本 4 制定端口的選擇在每個(gè)網(wǎng)段上選擇一個(gè)交換機(jī)端口處理該網(wǎng)絡(luò)的流量 在網(wǎng)段內(nèi)最小根路徑成本的端口就為指定端口 5 刪除橋接環(huán)既不是根端口也不是指定端口的交換機(jī)端口被設(shè)為阻塞狀態(tài) 這一步斷開了不設(shè)置阻塞將會(huì)形成的所有橋接環(huán) 6 生成樹協(xié)議的端口狀態(tài)禁用 Disabled 關(guān)閉的端口 阻塞 Blocking 不能接收或傳輸數(shù)據(jù) 不能把MAC地址加入它的地址表 只能接收BPDU 監(jiān)聽 Listening 由根端口或指定端口擔(dān)任 不能接收或傳輸數(shù)據(jù) 不能把MAC地址加入它的地址表 只能接收或發(fā)送BPDU 學(xué)習(xí) Learning 在轉(zhuǎn)發(fā)延時(shí) ForwardDelay 計(jì)時(shí)時(shí)間 默認(rèn)15s 后 端口進(jìn)入學(xué)習(xí)狀態(tài) 不能傳輸數(shù)據(jù) 但可接收或發(fā)送BPDU 可學(xué)習(xí)MAC地址并加入它的地址表 轉(zhuǎn)發(fā) Forwarding 在下次轉(zhuǎn)發(fā)延時(shí) ForwardDelay 計(jì)時(shí)時(shí)間 默認(rèn)15s 后 端口進(jìn)入轉(zhuǎn)發(fā)狀態(tài) 能接收或傳輸數(shù)據(jù) 能學(xué)習(xí)MAC地址并加入它的地址表 也可接收或發(fā)送BPDU 4 1 3快速生成樹協(xié)議STP的缺陷 當(dāng)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí) 新的配置消息要經(jīng)過一個(gè)時(shí)延 ForwardDelay 默認(rèn)值為15s 才能傳播到整個(gè)網(wǎng)絡(luò) 此時(shí)拓?fù)浣Y(jié)構(gòu)中應(yīng)該停止轉(zhuǎn)發(fā)的端口若仍然在進(jìn)行轉(zhuǎn)發(fā)活動(dòng) 就有可能產(chǎn)生臨時(shí)環(huán)路 為解決此問題 生成樹使用了一種定時(shí)器策略 即在端口從阻塞狀態(tài)到轉(zhuǎn)發(fā)狀態(tài)之間加入一個(gè)只學(xué)習(xí)MAC地址但不參與轉(zhuǎn)發(fā)的中間狀態(tài) 兩次狀態(tài)切換的時(shí)間長(zhǎng)度都是ForwardDelay 這樣就保證了在拓?fù)浣Y(jié)構(gòu)變化時(shí)不會(huì)產(chǎn)生臨時(shí)環(huán)路的問題 但這個(gè)方法需要至少兩倍的ForwardDelay收斂時(shí)間 為解決STP協(xié)議的這個(gè)缺陷 IEEE推出了802 1W標(biāo)準(zhǔn) 作為對(duì)802 1D標(biāo)準(zhǔn)的補(bǔ)充 它定義了快速生成樹協(xié)議RSTP 此協(xié)議作了以下三點(diǎn)改進(jìn) 使收斂速度快了很多 最快1s以內(nèi) 改進(jìn)1 為根端口和指定端口設(shè)置了快速切換用的替換端口 AlternatePort 和備份端口 BackupPort 兩種角色 當(dāng)根端口 指定端口失效的情況下 替換端口 備份端口就會(huì)無時(shí)延地進(jìn)入轉(zhuǎn)發(fā)狀態(tài) 改進(jìn)2 在只連接了兩個(gè)交換端口的點(diǎn)對(duì)點(diǎn)鏈路中 指定端口只需與下游網(wǎng)橋進(jìn)行一次握手就可以無時(shí)延地進(jìn)入轉(zhuǎn)發(fā)狀態(tài) 改進(jìn)3 直接與終端相連而不是把其他網(wǎng)橋相連的端口定義為邊緣端口 EdgePort 邊緣端口可以直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài) 不需要任何延時(shí) 4 1 4VLAN快速生成樹協(xié)議每個(gè)VLAN都生成一棵樹是一種比較直接 而且最簡(jiǎn)單的解決方法 能夠保證每一個(gè)VLAN都不存在環(huán)路 但這種方式工作的生成樹協(xié)議 各廠商標(biāo)準(zhǔn)都不同 可能無法兼容 如Cisco的VLAN生成樹PVST PerVLANSpanningTree 和PVST 4 1 5多實(shí)例生成樹協(xié)議 MISTP 多實(shí)例生成樹協(xié)議是基于實(shí)例的 STP RSTP是基于端口的 PVST PVST 是基于VLAN的 所謂實(shí)例就是多個(gè)VLAN的一個(gè)集合 通過多個(gè)VLAN捆綁到一個(gè)實(shí)例中去的方法可以節(jié)省通信開銷和資源占用率 此協(xié)議的兼容性比較差 4 1 6生成樹協(xié)議的配置Sw 3550 config no spanning tree vlanvlan 默認(rèn)下VLAN都啟用STP 禁用STP后 就不能檢測(cè)到橋接環(huán)和避免橋接環(huán) 因此應(yīng)該啟用 Sw 3550 config spanning treevlanvlanpriority0該命令用于修改網(wǎng)橋的優(yōu)先級(jí) 若要設(shè)置根網(wǎng)橋 就應(yīng)該將其設(shè)置為比所在VLAN上的其它網(wǎng)橋的優(yōu)先級(jí)都低 Sw 3550 config spanning treepathcostmethod long short 若帶寬在10Gbps或更高的端口 應(yīng)該將網(wǎng)絡(luò)里每臺(tái)交換機(jī)上的端口代價(jià)值取為long 32位 Sw 3550 config if spanning treeguard root none 在端口或接口上啟用STPRootGuard功能 Sw 3550 config if spanning treeport priorityport priority設(shè)置所有VLAN的端口優(yōu)先級(jí) 其中port priority值的范圍是0 255 Sw 3550 config if spanning treevlanvlan listport prioritypriority設(shè)置每個(gè)VLAN的端口優(yōu)先級(jí) Sw 3550 config spanning treevlanvlanforward timedelay指定Vlan的轉(zhuǎn)發(fā)延遲時(shí)間 delay值默認(rèn)15s 4s 15s Sw 3550 config spanning treevlanvlanhello timeinterval指定Vlan的Hello 呼叫 計(jì)時(shí)器的時(shí)間 interval 1 10s 默認(rèn)2s Sw 3550 config spanning treevlanvlanmax ageagingtime指定Vlan的最大老化時(shí)間 agingtime 6 40s 默認(rèn)20s Sw 3550 config spanning treeportfast在端口上啟用portfast功能 以避免因端口上的狀態(tài)變化而產(chǎn)生拓?fù)浣Y(jié)構(gòu)變更通知的BPDUSw 3550 config spanning treeportfastbpduguard在全局狀態(tài)下啟動(dòng)portfastBPDU保護(hù)功能以提高STP的穩(wěn)定性Sw 3550 config spanning treeportfastbpdufilter在全局狀態(tài)下啟動(dòng)portfastBPDUfilter功能 使交換機(jī)停止發(fā)送BPDUSw 3550 config spanning treeuplinkfast max update ratepackets per second 4 1生成樹協(xié)議 Sw 3550 config spanning treebackbonefastSw 3550 showspanning tree active detail Sw 3550 showspanning tree backbonefast blockedports interface pathcostmethod summary totals uplinkfast Sw 3550 showspanning tree root address cost detail forward time hello time id max age port prioritysystem id vlanvlan list active detail blockedports bridge address detail forward time hello time id max age priority protocol detail active inconsistentports summary 4 1 7生成樹協(xié)議實(shí)例4 1 8生成樹協(xié)議總結(jié) 4 1生成樹協(xié)議 4 2端口安全 4 2 1端口安全的作用端口安全功能是通過對(duì)MAC地址表的配置 來實(shí)現(xiàn)在某一端口只允許一臺(tái)或者幾臺(tái)確定的設(shè)備訪問此臺(tái)交換機(jī)端口 從而減少交換機(jī)被黑客攻擊 增強(qiáng)交換機(jī)的安全性 提高局域網(wǎng)的安全性 4 2 1端口安全的原理端口安全是根據(jù)MAC地址表來確定允許訪問網(wǎng)絡(luò)的設(shè)備 其中MAC地址表記錄的是MAC地址與交換機(jī)端口的映射 可對(duì)交換機(jī)的任一端口進(jìn)行端口安全配置 共有三種方法 手工設(shè)置一個(gè)或幾個(gè)固定的MAC地址限制端口的最大MAC地址的數(shù)量任何MAC地址都可以通過此端口訪問網(wǎng)絡(luò) 此為默認(rèn)設(shè)置 交換機(jī)通過學(xué)習(xí)獲得MAC地址和轉(zhuǎn)發(fā)與過濾數(shù)據(jù)包的過程 交換機(jī)在重新啟動(dòng)或手工清除MAC地址表后 MAC地址表沒有任何MAC地址的記錄 如圖所示 假設(shè)主機(jī)A向主機(jī)C發(fā)送數(shù)據(jù)包 因?yàn)楝F(xiàn)在MAC地址表為空 所以端口E0將從數(shù)據(jù)包中提取源MAC地址 將此MAC地址記錄到MAC地址表中 同時(shí)向其它所有的端口發(fā)送此數(shù)據(jù)包 如果某一主機(jī)在接收到此數(shù)據(jù)包后 將提取目標(biāo)MAC地址 并與自己網(wǎng)卡的MAC地址進(jìn)行比較 如果相等 則接收此數(shù)據(jù)包 否則丟棄此數(shù)據(jù)包 如圖所示 如果主機(jī)A B C D都已經(jīng)向其它主機(jī)發(fā)送數(shù)據(jù)包 則MAC地址表將會(huì)有4條記錄 如圖所示 現(xiàn)在假設(shè)主機(jī)A向主機(jī)C發(fā)送數(shù)據(jù)包 交換機(jī)會(huì)提取數(shù)據(jù)包的目的MAC地址 通過查找MAC地址表 有一條記錄的MAC地址與目的MAC地址相等 而且知道此目的MAC所對(duì)應(yīng)的端口為E2 此時(shí)E0端口會(huì)將數(shù)據(jù)包直接轉(zhuǎn)發(fā)到E2端口 如圖所示 4 2 2端口安全的配置端口安全就是指定允許接入到端口 并利用該端口訪問網(wǎng)絡(luò)設(shè)備的MAC地址 sw 3550 config if switchportport security啟用端口安全功能sw 3550 config if switchportport securitymaximumvalue指定MAC地址的數(shù)量sw 3550 config if switchportport securitymac addressmac address手工指定可靠的MAC地址sw 3550 config if switchportport securityviolation protect shutdown restrict 指定端口所采取的措施sw 3550 showportsecurity interfaceinterface id address 顯示端口安全配置- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 生成 協(xié)議 端口 安全
鏈接地址:http://www.hcyjhs8.com/p-3923228.html