Кому-то в голову пришло, что spanning-tree можно использовать не только для построения кольцевых топологий, но и для обнаружения потенциальных петель на пользовательских портах. Возможно, тогда это казалось нормальным. Да и сейчас обладателям коммутаторов cisco и juniper настраивать spanning-tree придется в любом случае. Зато другие производители подсуетились и решили слать в пользовательские порты Loopback Detection (LBD) фреймы, но сейчас не об этом.
Условно коммутаторы можно поделить на три типа:
1. Ничего, кроме spanning-tree нет и spanning-tree на порту отключить нельзя. Это cisco.
2. Ничего, кроме spanning-tree нет, можно отключить spanning-tree глобально или на порту. Это juniper networks.
3. Можно использовать spanning-tree, можно LBD, можно отключить spanning-tree глобально или на порту. Это eltex, dlink, qtech (dcn). Про хуавей не помню, не настраивал stp на них.
Коммутаторы с отключенным глобально или на порту spanning-tree могут принимать BPDU-фреймы и передавать их дальше как обычный мультикастовый трафик с адресом назначения 01:80:C2:00:00:00. Это обязательно произойдет при передаче «нестандартных» BPDU от Cisco PVST на адрес 01:00:0C:CC:CC:CD. Был случай как-то, когда я не мог настроить MSTP между коммутаторами cisco и juniper. Оказалось, что коммутатор cisco получал через порт juniper’а помимо BPDU от MSTP еще и BPDU от Cisco PVST, которые juniper принимал на порту, где stp был отключен. Таким образом, на коммутаторах недостаточно отключить spanning-tree глобально или на порту, необходимо еще и фильтровать BPDU на адреса 01:80:C2:00:00:00 и 01:00:0C:CC:CC:CD.
Huawei. Настройка VLAN. Trunk, access.
На всех коммутаторах есть такой функционал «bpdufilter», но реализация у всех разная.
cisco bpdufilter и bpduguard
Bdpufilter фильтрует в обе стороны, т.е. коммутатор отбрасывает все входящие BPDU и не отправляет BPDU в порт. Логично фильтр повесить на порты, которые никак не участвуют в кольцевой топологии, с которых никогда не придет BPDU, например, на порт подключения сервера, на порт подключения маршрутизатора, на стык с провайдером. Особо странный провайдер включает на порту клиента bpduguard и отключит порт при получении bpdu от вашего коммутатора. Поэтому на операторских стыках необходимо вешать фильтр всегда.
interface GigabitEthernet1/0/1
description Server
switchport access vlan 100
switchport mode access
spanning-tree portfast edge
spanning-tree bpdufilter enable
interface GigabitEthernet1/0/2
description Router
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast edge trunk
spanning-tree bpdufilter enable
interface GigabitEthernet1/0/3
description Internet
switchport access vlan 5000
switchport mode access
spanning-tree portfast edge
spanning-tree bpdufilter enable
Чтобы при изменении топологии данные порты не проходили все возможные фазы blocking, listening, learning, а переходили сразу в forwarding, необходимо включать portfast. Да, этой дури бы не было, если можно было бы просто отключить spanning-tree на порту. Необходимо учесть, что включенный spanning-tree portfast на транковом порту работать не будет. Тут нужен spanning-tree portfast trunk или spanning-tree portfast edge trunk как в этом примере.
как открыть порт на модеме Huawei HG8245
Очень часто видел вот такую вот конструкцию:
interface GigabitEthernet1/0/4
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
В этом примере bpduguard — лишняя команда, так как она работать не будет по причине отработавшего ранее фильтра. Но так только в cisco.
Вот самый распространенный пример, когда используется bpduguard.
interface GigabitEthernet1/0/5
description User
switchport access vlan 200
switchport mode access
spanning-tree portfast edge
spanning-tree bpduguard enable
Для автоматического включения порта необходимо настроить errdisable.
errdisable recovery cause bpduguard
errdisable recovery interval 120
Нужен ли spanning-tree на порту пользователя? Нет не нужен. Но в данном примере протокол spanning-tree циской используется для того чтобы послать BPDU в порт и при получении его по какой-то причине обратно отключить порт. В случае, когда на пользовательской стороне BPDU фильтруются или потерялись, bpduguard не отработает.
Увы, никакой другой альтернативы циска не предлагает, поэтому возможна такая ерундистика, когда колец нет в принципе и на всех транках настроен portfast и bpdufilter, а в сторону пользователей — bpduguard. Нормальное такое применение протокола. Круче только ситуация, когда из-за невозможности глобального отключения stp приходится настроить mstp, включить везде bpdufilter и portfast.
juniper bpdufilter и bpduguard
Я не знаю, фильтруют ли производители своими bpdufilter’ами цисковский 01:00:0C:CC:CC:CD или нет. В общем случае, рекомендуется написать фильтр с указанием двух мак-адресов и повесить по входу, например, такой:
firewall family inet filter bpdufilter term discard-bpdu from destination-mac-address 01:80:c2:00:00:00/48;
01:00:0c:cc:cc:cd/48;
>
>
then discard;
count BPDU_FILTER;
>
>
term allow-other then accept;
>
>
>
>
Согласно документации, на мелких коммутаторах, кроме ex9200, можно глобально включить фильтр для портов, где spanning-tree отключен. В примере ниже для всех интерфейсов отключен spanning-tree и включена фильтрация bpdu.
ex2200> show configuration protocols mstp
configuration-name abc;
revision-level 1;
bridge-priority 28k;
interface all disable;
>
msti 1 bridge-priority 28k;
vlan 1-4094;
>
ex2200> show configuration ethernet-switching-options bpdu-block
interface xstp-disabled drop;
>
Настроить bpduguard на ex2200 можно прописав пользовательские порты диапазоном, в настройках используемого протокола stp указать для созданного диапазона портов тип edge и там же включить функционал bpdu-block-on-edge. Ниже аналог цисковского конфига.
ex2200# show | compare
[edit interfaces]
+ interface-range Users + member-range ge-0/0/20 to ge-0/0/30;
+ unit 0 + family ethernet-switching + port-mode access;
+ vlan + members 200;
+ >
+ >
+ >
+ >
[edit protocols mstp]
+ interface Users + edge;
+ >
[edit protocols mstp]
+ bpdu-block-on-edge;
[edit ethernet-switching-options bpdu-block]
+ disable-timeout 120;
На juniper’е настройка spanning-tree получилась более гуманной. Там, где необходимости настраивать stp, его можно вовсе отключить, но не забыть зафильтровать возможные bpdu.
eltex bpdufilter и bpduguard
Тут все просто. Можно выключить spanning-tree глобально и все bpdu зафильтровать. Не уверен насчет цисковских только.
mes2124p(config)#no spanning-tree
mes2124p(config)#spanning-tree bpdu
filtering Specify that when spanning tree is disabled on an
interface, BPDU packets would be filtered.
flooding Specify that when spanning tree is disabled on an
interface, untagged BPDU packets would be flooded
unconditionally (Without applying VLAN rules), to all
ports with spanning tree disabled. Tagged BPDU packets
would be filtered.
mes2124p(config)#spanning-tree bpdu filtering
mes2124p(config)#exit
mes2124p#sh spanning-tree
*********************************** Process 0 ***********************************
Spanning tree disabled (BPDU filtering) mode MSTP
Default port cost method: long
Loopback guard: Disabled
Вот, собственно, что и послужило поводом к статье. Конструкция ниже заблокировала порт, так как bpduguard отрабатывает раньше, чем фильтр. Да и сам фильтр фильтрует только входящие bpdu.
mes2124p#sh run int gi1/0/23
interface gigabitethernet 1/0/23
switchport mode trunk
spanning-tree bpdu filtering
spanning-tree bpduguard enable
Источник: prosto-seti.blogspot.com
Пример настройки безопасности порта на коммутаторах Huawei серии Sx300
Безопасность порта изменяет динамические MAC-адреса, распознанные на интерфейсе, на безопасные MAC-адреса (включая динамические и статические защищенные MAC-адреса и липкие MAC-адреса). Эта функция не позволяет неавторизованным пользователям обмениваться данными с коммутатором с использованием этого интерфейса. Как правило, безопасность портов настраивается на устройствах доступа для привязки пользователей к интерфейсам и контроля доступа пользователей на интерфейсах.
По сравнению с записью статического MAC-адреса и user-bind, используемым для статической привязки пользователей, безопасность порта динамически привязывает пользователей к интерфейсам.
По сравнению с DHCP snooping, который также динамически привязывает пользователей к интерфейсу, безопасность портов проще настроить. Кроме того, безопасность портов может ограничить количество пользователей доступа.
Примечания по конфигурированию
- После того, как ограничение MAC-адреса настроено на интерфейсе, безопасность порта не может быть настроена на интерфейсе.
- Этот пример применим ко всем версиям всех коммутаторов серии S.
Требования к сети
Как показано на рисунке ниже, PC1, PC2 и PC3 подключаются к сети компании через коммутатор. Для повышения безопасности доступа пользователей на интерфейсе коммутатора включена защита порта, чтобы внешние пользователи не могли использовать свои ПК для доступа к сети компании.
Схема настройки
Схема настройки выглядит следующим образом:
- Создайте VLAN для реализации пересылки второго уровня.
- Настройте защиту порта и включите функцию липких MAC, чтобы записи MAC-адреса не потерялись после сохранения конфигурации устройства и перезагрузки устройства.
Конфигурация
Создайте VLAN на коммутаторе и добавьте интерфейсы к VLAN. Настройки GE1/0/2 и GE1/0/3 аналогичны настройкам 1/0/1, и здесь не упоминаются. system-view [Quidway] sysname Switch [Switch] vlan 10 //Создайте VLAN 10. [Switch-vlan10] quit [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type access //Тип связи интерфейса, подключенного к ПК, должен быть доступ. Тип связи интерфейса по умолчанию не является доступом, поэтому необходимо вручную настроить тип связи интерфейса. [Switch-GigabitEthernet1/0/1] port default vlan 10 [Switch-GigabitEthernet1/0/1] quit Настройте защиту порта на GE1/0/1. Настройки GE1/0/2 и GE1/0/3 аналогичны настройкам GE1/0/1, и здесь не упоминаются. [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port-security enable //Включите защиту портов. [Switch-GigabitEthernet1/0/1] port-security mac-address sticky //Функция липких MAC может быть включена только после включения защиты портов. [Switch-GigabitEthernet1/0/1] port-security max-mac-num 1 //После включения защиты порта интерфейс по умолчанию может узнать только одну безопасную запись MAC-адреса. Если один пользователь должен быть ограничен, игнорируйте эту конфигурацию.
Примечание:
По умолчанию интерфейс может распознать только одну запись защищенного MAC-адреса. Если несколько компьютеров подключаются к сети компании с использованием одного интерфейса, запустите команду port-security max-mac-num, чтобы изменить максимальное количество защищенных MAC-адресов.
Если ПК подключается к коммутатору с помощью IP-телефона, установите 3 для максимального количества защищенных MAC-адресов, поскольку IP-телефон занимает две записи MAC-адреса, а ПК занимает одну запись MAC-адреса. Идентификаторы VLAN в двух записях MAC-адреса, используемых IP-телефоном, различны. Две VLAN используются для передачи голосовых пакетов и пакетов данных соответственно.
3. Проверьте конфигурацию.Если PC1, PC2 и PC3 заменяются другими ПК, ПК не могут получить доступ к сети компании.
Пример конечного вида конфигурации
# sysname Switch # vlan batch 10 # interface GigabitEthernet1/0/1 port link-type access port default vlan 10 port-security enable port-security mac-address sticky # interface GigabitEthernet1/0/2 port link-type access port default vlan 10 port-security enable port-security mac-address sticky # interface GigabitEthernet1/0/3 port link-type access port default vlan 10 port-security enable port-security mac-address sticky # return
Источник: telegra.ph
eucariot
При настроенном на порту STP edged-port (аналог portfast у Cisco) через него продолжают передаваться STP BPDU.
Неочевидно это потому, что edge port предполагает подключение в него конечных хостов, а также то, что порт не будет получать STP BPDU и потому участвовать в построении топологии STP.
Это действительно так — не нужно каждый раз флудить по домену STP TC и заставлять ишачить все коммутаторы новую топологию, если дело только в том, что у кого-то компьютер перезагрузился. Компьютер опять же не будет генерировать STP BPDU, кроме случая злого умысла
Что если клиент закоротит на коммутаторе два порта? Допустим, случайно это сделать трудновато, но он ведь может и по злоботе душевной, затаив обиду на инженера провайдера, уволокшего на выпускном его девушку у него из под носа.
Для случая если петля окажется на одном порту у нас есть loopback-detect — он посылает в порт тестовый пакет и, если получит его обратно в этот же порт, то блокирует его (или уведомляет NMS). А вот для разных портов непонятно — Storm-control позволит ограничить широковещательный трафик, но CPU по-прежнему может быть под ударом.
И вот тут кажется совершенно логичным, чтобы Edge-port продолжал слать BPDU — если тот ревнивец закоротит два клиентских порта, то один из них получит BPDU и заблокируется — удобно.
Интересно, что в документации об этом нигде не говорится и пришлось проверить догадку на симуляторе ENSP.
Однако есть и ещё одна тонкость в работе Edged-port (portfast).
Вы можете надеяться, что за ним находится компьютер, но реальность такова, что там может оказаться что угодно, в том числе коммутатор. Просто так игнорировать BPDU коммутатор не имеет морального права.
На полученные BPDU может быть две реакции:
1) Заблокировать этот порт от греха подальше (если включет BPDU protection (он же BPDU Guard).
2) Перевести порт в режим non-edge и пересчитать топологию — это действие по умолчанию.
То есть мы заведомо считаем, что хакеров там нет, а новое подключение легитимное.
Portfast на циске работает аналогично, как меня заверила Наташа Самойленко.
Источник: eucariot.livejournal.com