T2600G/L2/STP/Security: Unterschied zwischen den Versionen
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
== STP Security == | == STP Security == | ||
Port Protect wird verwendet, um | [[File:T2600gL2StpSecurity.png|mini|400px]] | ||
Port Protect wird verwendet, um einen [[Switch]] gegen STP-Angriffe zu schützen | |||
; Port Protect | ; Port Protect | ||
Port-Protect-Funktion anzeigen und konfigurieren | Port-Protect-Funktion anzeigen und konfigurieren | ||
{| class="wikitable | {| class="wikitable options" | ||
|- | |||
! Funktion !! Beschreibung | |||
|- | |||
| Port || Zu konfigurierender Port | |||
|- | |||
| Loop Protect || Empfohlen an Root-Ports und alternativen Ports | |||
|- | |||
| Root Protect || Empfohlen auf designierten Ports der Root-Bridge | |||
|- | |||
| TC Guard || Empfohlen an Ports von Nicht-Root-Switches | |||
|- | |||
| BPDU Protect || Empfohlen an Edge-Ports | |||
|- | |- | ||
| BPDU Filter || Empfohlen für Edge-Ports | |||
|- | |- | ||
| | | BPDU Forward || Wirksam, wenn Spanning-Tree global deaktiviert | ||
|- | |- | ||
| | | LAG || [[LAG]] des Ports anzeigen | ||
|} | |||
== STP Security == | |||
Port Protect wird verwendet, um das Gerät gegen STP-Angriffe zu schützen | |||
; Port Protect | |||
Port-Protect-Funktion anzeigen und konfigurieren | |||
| Port || Ports zur Konfiguration auswählen | |||
| Loop Protect || | |||
* Wenn es im Netzwerk zu Verbindungsüberlastungen oder Verbindungsausfällen kommt, empfängt der Switch BPDUs vom Upstream-Gerät nicht rechtzeitig | * Wenn es im Netzwerk zu Verbindungsüberlastungen oder Verbindungsausfällen kommt, empfängt der Switch BPDUs vom Upstream-Gerät nicht rechtzeitig | ||
* Loop Protect wird verwendet, um in dieser Situation eine durch die Neuberechnung verursachte Schleife zu vermeiden | * Loop Protect wird verwendet, um in dieser Situation eine durch die Neuberechnung verursachte Schleife zu vermeiden | ||
* Wenn die Loop Protect-Funktion aktiviert ist, geht der Port vorübergehend in einen blockierenden Zustand über, wenn er nicht rechtzeitig BPDUs empfängt | * Wenn die Loop Protect-Funktion aktiviert ist, geht der Port vorübergehend in einen blockierenden Zustand über, wenn er nicht rechtzeitig BPDUs empfängt | ||
| Root Protect || | | Root Protect || | ||
* Switches mit fehlerhaften Konfigurationen können BPDUs mit höherer Priorität als die der Root-Bridge erzeugen, und diese Situation führt zu einer Neuberechnung des Spanning Tree | * Switches mit fehlerhaften Konfigurationen können BPDUs mit höherer Priorität als die der Root-Bridge erzeugen, und diese Situation führt zu einer Neuberechnung des Spanning Tree | ||
* Root Protect wird verwendet, um sicherzustellen, dass die gewünschte Root-Bridge ihre Position im obigen Szenario nicht verliert | * Root Protect wird verwendet, um sicherzustellen, dass die gewünschte Root-Bridge ihre Position im obigen Szenario nicht verliert | ||
* Bei aktiviertem Root-Protect geht der Anschluss vorübergehend in den blockierenden Zustand über, wenn er BDPUs mit höherer Priorität empfängt | * Bei aktiviertem Root-Protect geht der Anschluss vorübergehend in den blockierenden Zustand über, wenn er BDPUs mit höherer Priorität empfängt | ||
* Wenn der Anschluss nach zwei Weiterleitungsverzögerungen keine weiteren BDPUs höherer Priorität empfängt, geht er in den normalen Zustand über | * Wenn der Anschluss nach zwei Weiterleitungsverzögerungen keine weiteren BDPUs höherer Priorität empfängt, geht er in den normalen Zustand über | ||
| TC Guard || | | TC Guard || | ||
* Die TC Guard-Funktion wird verwendet, um zu verhindern, dass der Switch die MAC-Adresstabelle häufig ändert | * Die TC Guard-Funktion wird verwendet, um zu verhindern, dass der Switch die MAC-Adresstabelle häufig ändert | ||
* Wenn die TC Guard-Funktion aktiviert ist, verarbeitet der Switch beim Empfang von TC-BPDUs die TC-BPDUs nicht auf einmal | * Wenn die TC Guard-Funktion aktiviert ist, verarbeitet der Switch beim Empfang von TC-BPDUs die TC-BPDUs nicht auf einmal | ||
* Der Switch wartet eine bestimmte Zeit und verarbeitet die TC-BPDUs zusammen, nachdem er die erste TC-BPDU empfangen hat, und startet dann das Timing neu | * Der Switch wartet eine bestimmte Zeit und verarbeitet die TC-BPDUs zusammen, nachdem er die erste TC-BPDU empfangen hat, und startet dann das Timing neu | ||
| BPDU Protect || | | BPDU Protect || | ||
* Edge-Ports im Spanning Tree werden für die Verbindung zu den Endgeräten verwendet und empfangen in der normalen Situation keine BPDUs | * Edge-Ports im Spanning Tree werden für die Verbindung zu den Endgeräten verwendet und empfangen in der normalen Situation keine BPDUs | ||
* Wenn Edge-Ports BPDUs empfangen, kann es sich um einen Angriff handeln | * Wenn Edge-Ports BPDUs empfangen, kann es sich um einen Angriff handeln | ||
Zeile 36: | Zeile 55: | ||
* Bei aktivierter BPDU-Schutzfunktion werden die Edge-Ports abgeschaltet, wenn sie BPDUs empfangen, und melden diese Fälle an den Administrator | * Bei aktivierter BPDU-Schutzfunktion werden die Edge-Ports abgeschaltet, wenn sie BPDUs empfangen, und melden diese Fälle an den Administrator | ||
* Nur der Administrator kann den Zustand der Ports wiederherstellen | * Nur der Administrator kann den Zustand der Ports wiederherstellen | ||
| BPDU Filter || | | BPDU Filter || | ||
* Wenn die BPDU-Filterfunktion aktiviert ist, empfängt der Port keine BPDUs und leitet sie auch nicht weiter, sondern sendet seine eigenen BPDUs aus | * Wenn die BPDU-Filterfunktion aktiviert ist, empfängt der Port keine BPDUs und leitet sie auch nicht weiter, sondern sendet seine eigenen BPDUs aus | ||
* Der BPDU-Filter kann verhindern, dass der Switch wie bei BPDU Protect angegriffen wird | * Der BPDU-Filter kann verhindern, dass der Switch wie bei BPDU Protect angegriffen wird | ||
| BPDU Forward || | | BPDU Forward || | ||
* Bei aktivierter BPDU-Weiterleitung kann der Anschluss weiterhin Spanning-Tree-BPDUs weiterleiten, wenn die Spanning-Tree-Funktion deaktiviert ist | * Bei aktivierter BPDU-Weiterleitung kann der Anschluss weiterhin Spanning-Tree-BPDUs weiterleiten, wenn die Spanning-Tree-Funktion deaktiviert ist | ||
| LAG | | LAG | ||
[[Kategorie:T2600G/L2/STP]] | [[Kategorie:T2600G/L2/STP]] |
Aktuelle Version vom 5. Februar 2024, 10:08 Uhr
STP Security
Port Protect wird verwendet, um einen Switch gegen STP-Angriffe zu schützen
- Port Protect
Port-Protect-Funktion anzeigen und konfigurieren
Funktion | Beschreibung |
---|---|
Port | Zu konfigurierender Port |
Loop Protect | Empfohlen an Root-Ports und alternativen Ports |
Root Protect | Empfohlen auf designierten Ports der Root-Bridge |
TC Guard | Empfohlen an Ports von Nicht-Root-Switches |
BPDU Protect | Empfohlen an Edge-Ports |
BPDU Filter | Empfohlen für Edge-Ports |
BPDU Forward | Wirksam, wenn Spanning-Tree global deaktiviert |
LAG | LAG des Ports anzeigen |
STP Security
Port Protect wird verwendet, um das Gerät gegen STP-Angriffe zu schützen
- Port Protect
Port-Protect-Funktion anzeigen und konfigurieren
| Port || Ports zur Konfiguration auswählen
| Loop Protect ||
- Wenn es im Netzwerk zu Verbindungsüberlastungen oder Verbindungsausfällen kommt, empfängt der Switch BPDUs vom Upstream-Gerät nicht rechtzeitig
- Loop Protect wird verwendet, um in dieser Situation eine durch die Neuberechnung verursachte Schleife zu vermeiden
- Wenn die Loop Protect-Funktion aktiviert ist, geht der Port vorübergehend in einen blockierenden Zustand über, wenn er nicht rechtzeitig BPDUs empfängt
| Root Protect ||
- Switches mit fehlerhaften Konfigurationen können BPDUs mit höherer Priorität als die der Root-Bridge erzeugen, und diese Situation führt zu einer Neuberechnung des Spanning Tree
- Root Protect wird verwendet, um sicherzustellen, dass die gewünschte Root-Bridge ihre Position im obigen Szenario nicht verliert
- Bei aktiviertem Root-Protect geht der Anschluss vorübergehend in den blockierenden Zustand über, wenn er BDPUs mit höherer Priorität empfängt
- Wenn der Anschluss nach zwei Weiterleitungsverzögerungen keine weiteren BDPUs höherer Priorität empfängt, geht er in den normalen Zustand über
| TC Guard ||
- Die TC Guard-Funktion wird verwendet, um zu verhindern, dass der Switch die MAC-Adresstabelle häufig ändert
- Wenn die TC Guard-Funktion aktiviert ist, verarbeitet der Switch beim Empfang von TC-BPDUs die TC-BPDUs nicht auf einmal
- Der Switch wartet eine bestimmte Zeit und verarbeitet die TC-BPDUs zusammen, nachdem er die erste TC-BPDU empfangen hat, und startet dann das Timing neu
| BPDU Protect ||
- Edge-Ports im Spanning Tree werden für die Verbindung zu den Endgeräten verwendet und empfangen in der normalen Situation keine BPDUs
- Wenn Edge-Ports BPDUs empfangen, kann es sich um einen Angriff handeln
- BPDU Protect wird verwendet, um den Switch vor dem oben erwähnten Angriff zu schützen
- Bei aktivierter BPDU-Schutzfunktion werden die Edge-Ports abgeschaltet, wenn sie BPDUs empfangen, und melden diese Fälle an den Administrator
- Nur der Administrator kann den Zustand der Ports wiederherstellen
| BPDU Filter ||
- Wenn die BPDU-Filterfunktion aktiviert ist, empfängt der Port keine BPDUs und leitet sie auch nicht weiter, sondern sendet seine eigenen BPDUs aus
- Der BPDU-Filter kann verhindern, dass der Switch wie bei BPDU Protect angegriffen wird
| BPDU Forward ||
- Bei aktivierter BPDU-Weiterleitung kann der Anschluss weiterhin Spanning-Tree-BPDUs weiterleiten, wenn die Spanning-Tree-Funktion deaktiviert ist
| LAG