任务3.3 生成树协议的安全配置

计算机网络安全管理技术项目三任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

子任务2BPDUGuard的配置

子任务3BPDUFilter的配置局域网的安全管理【任务目标】

1．学会正确配置ROOTGuard的操作方法2．学会正确配置BPDUGuard的操作方法3．学会正确配置BPDUFilter的操作方法项目三任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

子任务2BPDUGuard的配置

子任务3BPDUFilter的配置局域网的安全管理

【任务环境】1、主流PC机一台2、GNS3软件

任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置【网络拓扑图】

任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

【知识支撑】

ROOTGuard简介该防护的目的是为防止新加入的交换机影响一个已经稳定了的交换网络，阻止未经授权的交换机成为根网桥。其工作原理是如果一个端口启动了此特性，当它收到了一个比根桥优先值更优的BPDU包，则它会立即阻塞该端口，使之不能形成环路等情况。这个端口特性是动态的，当没有收到更优的包时，则此端口又会自己变成转发状态了。ROOTGuard需要配置在指定端口上。任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

【任务实施】1、绘制网络拓扑图2、设置SW3为生成树的根桥主要配置命令如下：SW3(config)#spanning-treevlan1priority8192//将SW3的桥优先级设置为8192，由于其余交换机的桥优先级都为默认值32768，所以SW3成为根桥任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置3、查看生成树的运行状态SW3#showspanning-treeVLAN0001SpanningtreeenabledprotocolieeeRootIDPriority8193Addressaabb.cc00.0300ThisbridgeistherootHelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority8193(priority8192sys-id-ext1)Addressaabb.cc00.0300HelloTime2secMaxAge20secForwardDelay15secAgingTime15sec……//从以上输出信息可以看出SW3已经成为根桥任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

4、在SW2上配置ROOTGuard主要配置命令如下：SW2(config)#inte0/3SW2(config-if)#spanning-treeguardroot//在SW2的e0/3端口上开启rootguard任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

4、验证ROOTGuard

1）更改SW1的桥优先级

主要配置命令如下：SW1(config)#spanning-treevlan1priority4096//将SW1的桥优先级设置为4096任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置2）在SW2上观察变化

（1）再次查看生成树的运行状态SW2#show

spanning-tree……InterfaceRoleStsCostPrio.NbrTypeEt0/3DesgBKN*100128.4Shr*ROOT_Inc……//以上输出信息可以看到当前SW2的e0/3端口已经处于阻塞状态任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

（2）查看生成树的不一致状态SW2#showspanning-treeinconsistentportsNameInterfaceInconsistency--------------------------------------------------------------VLAN0001Ethernet0/3RootInconsistentNumberofinconsistentports(segments)inthesystem:1//以上输出信息可以看到由于SW2从e0/3收到SW1发送的更优的BPDU，然而由于该端口上配置Rootguard，因此该端口进入阻塞状态任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置项目三任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

子任务2BPDUGuard的配置

子任务3BPDUFilter的配置局域网的安全管理

【任务环境】1、主流PC机一台2、GNS3软件

任务3.3生成树协议的安全配置

子任务2BPDUGuard的配置【网络拓扑图】

任务3.3生成树协议的安全配置

子任务2BPDUGuard的配置

【知识支撑】

BPDUGuard简介

该防护的目的是为了在把端口设置成Portfast时，在出现回路时，自动关闭端口，这样避免造成网络的瘫痪。因此BPDUGuard一般是和Portfast结合使用，当交换机配置了BPDUGuard，同时又在端口上启用了PortFast之后，如果此时该端口收到BPDU的时候，就进入err-disable状态。任务3.3生成树协议的安全配置

子任务2BPDUGuard的配置【任务实施】1、绘制网络拓扑图2、设置SW3为生成树的根桥

3、将SW2的e0/0端口配置成Postfast端口，主要配置命令如下：

SW2(config)#inte0/0SW2(config-if)#spanning-treeportfast//在SW2的e0/0端口上开启portfast任务3.3生成树协议的安全配置

子任务2BPDUGuard的配置4、配置BPDUGuard

主要配置命令如下：

SW2(config)#inte0/0SW2(config-if)#spanning-treebpduguardenable//在SW2的e0/0端口上开启BPDUGuard任务3.3生成树协议的安全配置

子任务2BPDUGuard的配置5、验证BPDUGuard在SW2上断开与PC1的连接，同时在e0/0端口上接入一台新交换机SW4，观察SW2上的变化，如下所示。

%SPANTREE-2-BLOCK_BPDUGUARD:ReceivedBPDUonportEt0/0withBPDUGuardenabled.Disablingport.%PM-4-ERR_DISABLE:bpduguarderrordetectedonEt0/0,puttingEt0/0inerr-disablestate%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/0,changedstatetodown%LINK-3-UPDOWN:InterfaceEthernet0/0,changedstatetodown//以上日志信息可以看到SW2的e0/0端口上收到从新交换机SW4上发送的BPDU报文，由于该端口上已经配置了BPDUGuard，所以该端口已经被置于err-disable状态，强行被关闭了，从而使原先的生成树环境得到保护任务3.3生成树协议的安全配置

子任务2BPDUGuard的配置同时查看此端口的信息，发现其状态的确变为了err-disable，如下所示。

类似于端口安全的恢复方法，此时如果要将该端口恢复到正常状态，首先将PC1重新连接至交换机SW2的e0/0端口上，然后在SW2上对e0/0端口进行关闭和开启端口的命令后即可恢复正常。SW2#showinte0/0Ethernet0/0isdown,lineprotocolisdown(err-disabled)……任务3.3生成树协议的安全配置

子任务2BPDUGuard的配置项目三任务3.3生成树协议的安全配置

子任务1ROOTGuard的配置

子任务2BPDUGuard的配置

子任务3BPDUFilter的配置局域网的安全管理

【任务环境】1、主流PC机一台2、GNS3软件

任务3.3生成树协议的安全配置

子任务3BPDUFilter的配置【网络拓扑图】

任务3.3生成树协议的安全配置

子任务3BPDUFilter的配置

【知识支撑】

BPDUFilter简介BPDUFilter特性和BPDUGuard特性非常类似，通过使用BPDUFilter，将能够防止交换机在启用了Portfast特性的端口上发送BPDU给主机。不同于BPDUGuard，BPDUFilter功能有所不同，当端口启用Postfast时，将不发送任何BPDU，并且把接收到的所有BPDU都丢弃，当端口在接收到任何BPDU时，将丢弃Portfast状态和BPDUFilter功能，更改回正常的STP端口。

任务3.3生成树协议的安全配置

子任务3BPDUFilter的配置【任务实施】1、绘制网络拓扑图2、设置SW3为生成树的根桥，并查看此时生成树的运行状态，主要配置命令如下：

SW3(config)#spanning-treevlan1priority8192//将SW3的桥优先级设置为8192SW3#showspanning-tree……

Thisbridgeistheroot……//从以上输出信息可以看出SW3已经成为根桥任务3.3生成树协议的安全配置

子任务3BPDUFilter的配置3、将SW2的e0/0端口配置成Postfast端口，并开启BPDUFilter，主要配置命令如下：

SW2(config)#inte0/0SW2(config-if)#spanning-treeportfast//在SW2的e0/0端口上开启PortfastSW2(config-if)#spanning-treebpdufilterenable//在SW2的e0/0端口上开启BpduFilter任务3.3生成树协议的安全配置

子任务3BPDUFilter的配置4、验证BPDUFilter1）在SW2上断开与PC1的连接，同时在e0/0端口上接入一台新交换机SW4

2）将SW4的桥优先级设置为4096，目的是强制将其置为根桥SW4(config)#spanning-treevlan1priority4096//将