T2600G/L2/STP/Security: Unterschied zwischen den Versionen

Aus Foxwiki
 
(13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== STP Security ==
== STP Security ==
Port Protect wird verwendet, um das Gerät gegen STP-Angriffe zu schützen
[[File:T2600gL2StpSecurity.png|mini|400px]]
Port Protect wird verwendet, um einen [[Switch]] gegen STP-Angriffe zu schützen
; Port Protect
; Port Protect
Port-Protect-Funktion anzeigen und konfigurieren
Port-Protect-Funktion anzeigen und konfigurieren
Zeile 6: Zeile 7:
{| class="wikitable options"
{| class="wikitable options"
|-
|-
! Funktion !! Beschreibung
! Funktion !! Beschreibung  
|-
| Port || Zu konfigurierender Port
|-
| Loop Protect || Empfohlen an Root-Ports und alternativen Ports
|-
| Root Protect || Empfohlen auf designierten Ports der Root-Bridge
|-
| TC Guard || Empfohlen an Ports von Nicht-Root-Switches
|-
| BPDU Protect || Empfohlen an Edge-Ports
|-
| BPDU Filter || Empfohlen für Edge-Ports
|-
|-
| BPDU Forward || Wirksam, wenn Spanning-Tree global deaktiviert
|-
| LAG || [[LAG]] des Ports anzeigen
|}
== STP Security ==
Port Protect wird verwendet, um das Gerät gegen STP-Angriffe zu schützen
; Port Protect
Port-Protect-Funktion anzeigen und konfigurieren
| Port || Ports zur Konfiguration auswählen
| Port || Ports zur Konfiguration auswählen
|-
 
| Loop Protect || '''Empfohlen an Root-Ports und alternativen Ports'''
| Loop Protect ||  
* Wenn es im Netzwerk zu Verbindungsüberlastungen oder Verbindungsausfällen kommt, empfängt der Switch BPDUs vom Upstream-Gerät nicht rechtzeitig
* Wenn es im Netzwerk zu Verbindungsüberlastungen oder Verbindungsausfällen kommt, empfängt der Switch BPDUs vom Upstream-Gerät nicht rechtzeitig
* Loop Protect wird verwendet, um in dieser Situation eine durch die Neuberechnung verursachte Schleife zu vermeiden
* Loop Protect wird verwendet, um in dieser Situation eine durch die Neuberechnung verursachte Schleife zu vermeiden
* Wenn die Loop Protect-Funktion aktiviert ist, geht der Port vorübergehend in einen blockierenden Zustand über, wenn er nicht rechtzeitig BPDUs empfängt
* Wenn die Loop Protect-Funktion aktiviert ist, geht der Port vorübergehend in einen blockierenden Zustand über, wenn er nicht rechtzeitig BPDUs empfängt
|-
 
| Root Protect || '''Empfohlen auf designierten Ports der Root-Bridge'''
| Root Protect ||
* Switches mit fehlerhaften Konfigurationen können BPDUs mit höherer Priorität als die der Root-Bridge erzeugen, und diese Situation führt zu einer Neuberechnung des Spanning Tree
* Switches mit fehlerhaften Konfigurationen können BPDUs mit höherer Priorität als die der Root-Bridge erzeugen, und diese Situation führt zu einer Neuberechnung des Spanning Tree
* Root Protect wird verwendet, um sicherzustellen, dass die gewünschte Root-Bridge ihre Position im obigen Szenario nicht verliert
* Root Protect wird verwendet, um sicherzustellen, dass die gewünschte Root-Bridge ihre Position im obigen Szenario nicht verliert
* Bei aktiviertem Root-Protect geht der Anschluss vorübergehend in den blockierenden Zustand über, wenn er BDPUs mit höherer Priorität empfängt
* Bei aktiviertem Root-Protect geht der Anschluss vorübergehend in den blockierenden Zustand über, wenn er BDPUs mit höherer Priorität empfängt
* Wenn der Anschluss nach zwei Weiterleitungsverzögerungen keine weiteren BDPUs höherer Priorität empfängt, geht er in den normalen Zustand über
* Wenn der Anschluss nach zwei Weiterleitungsverzögerungen keine weiteren BDPUs höherer Priorität empfängt, geht er in den normalen Zustand über
|-
 
| TC Guard || '''Empfohlen an Ports von Nicht-Root-Switches'''
| TC Guard ||
* Die TC Guard-Funktion wird verwendet, um zu verhindern, dass der Switch die MAC-Adresstabelle häufig ändert
* Die TC Guard-Funktion wird verwendet, um zu verhindern, dass der Switch die MAC-Adresstabelle häufig ändert
* Wenn die TC Guard-Funktion aktiviert ist, verarbeitet der Switch beim Empfang von TC-BPDUs die TC-BPDUs nicht auf einmal
* Wenn die TC Guard-Funktion aktiviert ist, verarbeitet der Switch beim Empfang von TC-BPDUs die TC-BPDUs nicht auf einmal
* Der Switch wartet eine bestimmte Zeit und verarbeitet die TC-BPDUs zusammen, nachdem er die erste TC-BPDU empfangen hat, und startet dann das Timing neu
* Der Switch wartet eine bestimmte Zeit und verarbeitet die TC-BPDUs zusammen, nachdem er die erste TC-BPDU empfangen hat, und startet dann das Timing neu
|-
 
| BPDU Protect || '''Empfohlen an Edge-Ports'''
| BPDU Protect ||
* Edge-Ports im Spanning Tree werden für die Verbindung zu den Endgeräten verwendet und empfangen in der normalen Situation keine BPDUs
* Edge-Ports im Spanning Tree werden für die Verbindung zu den Endgeräten verwendet und empfangen in der normalen Situation keine BPDUs
* Wenn Edge-Ports BPDUs empfangen, kann es sich um einen Angriff handeln
* Wenn Edge-Ports BPDUs empfangen, kann es sich um einen Angriff handeln
Zeile 32: Zeile 55:
* Bei aktivierter BPDU-Schutzfunktion werden die Edge-Ports abgeschaltet, wenn sie BPDUs empfangen, und melden diese Fälle an den Administrator
* Bei aktivierter BPDU-Schutzfunktion werden die Edge-Ports abgeschaltet, wenn sie BPDUs empfangen, und melden diese Fälle an den Administrator
* Nur der Administrator kann den Zustand der Ports wiederherstellen
* Nur der Administrator kann den Zustand der Ports wiederherstellen
|-
 
| BPDU Filter || '''Empfohlen für Edge-Ports'''
| BPDU Filter ||
* Wenn die BPDU-Filterfunktion aktiviert ist, empfängt der Port keine BPDUs und leitet sie auch nicht weiter, sondern sendet seine eigenen BPDUs aus
* Wenn die BPDU-Filterfunktion aktiviert ist, empfängt der Port keine BPDUs und leitet sie auch nicht weiter, sondern sendet seine eigenen BPDUs aus
* Der BPDU-Filter kann verhindern, dass der Switch wie bei BPDU Protect angegriffen wird
* Der BPDU-Filter kann verhindern, dass der Switch wie bei BPDU Protect angegriffen wird
|-
 
| BPDU Forward || '''Wirksam, wenn Spanning-Tree global deaktiviert'''
| BPDU Forward ||
* Bei aktivierter BPDU-Weiterleitung kann der Anschluss weiterhin Spanning-Tree-BPDUs weiterleiten, wenn die Spanning-Tree-Funktion deaktiviert ist
* Bei aktivierter BPDU-Weiterleitung kann der Anschluss weiterhin Spanning-Tree-BPDUs weiterleiten, wenn die Spanning-Tree-Funktion deaktiviert ist
|-
 
| LAG || [[LAG]] des Anschlusses anzeigen
| LAG
|}


[[Kategorie:T2600G/L2/STP]]
[[Kategorie:T2600G/L2/STP]]

Aktuelle Version vom 5. Februar 2024, 10:08 Uhr

STP Security

Port Protect wird verwendet, um einen Switch gegen STP-Angriffe zu schützen

Port Protect

Port-Protect-Funktion anzeigen und konfigurieren

Funktion Beschreibung
Port Zu konfigurierender Port
Loop Protect Empfohlen an Root-Ports und alternativen Ports
Root Protect Empfohlen auf designierten Ports der Root-Bridge
TC Guard Empfohlen an Ports von Nicht-Root-Switches
BPDU Protect Empfohlen an Edge-Ports
BPDU Filter Empfohlen für Edge-Ports
BPDU Forward Wirksam, wenn Spanning-Tree global deaktiviert
LAG LAG des Ports anzeigen

STP Security

Port Protect wird verwendet, um das Gerät gegen STP-Angriffe zu schützen

Port Protect

Port-Protect-Funktion anzeigen und konfigurieren

| Port || Ports zur Konfiguration auswählen

| Loop Protect ||

  • Wenn es im Netzwerk zu Verbindungsüberlastungen oder Verbindungsausfällen kommt, empfängt der Switch BPDUs vom Upstream-Gerät nicht rechtzeitig
  • Loop Protect wird verwendet, um in dieser Situation eine durch die Neuberechnung verursachte Schleife zu vermeiden
  • Wenn die Loop Protect-Funktion aktiviert ist, geht der Port vorübergehend in einen blockierenden Zustand über, wenn er nicht rechtzeitig BPDUs empfängt

| Root Protect ||

  • Switches mit fehlerhaften Konfigurationen können BPDUs mit höherer Priorität als die der Root-Bridge erzeugen, und diese Situation führt zu einer Neuberechnung des Spanning Tree
  • Root Protect wird verwendet, um sicherzustellen, dass die gewünschte Root-Bridge ihre Position im obigen Szenario nicht verliert
  • Bei aktiviertem Root-Protect geht der Anschluss vorübergehend in den blockierenden Zustand über, wenn er BDPUs mit höherer Priorität empfängt
  • Wenn der Anschluss nach zwei Weiterleitungsverzögerungen keine weiteren BDPUs höherer Priorität empfängt, geht er in den normalen Zustand über

| TC Guard ||

  • Die TC Guard-Funktion wird verwendet, um zu verhindern, dass der Switch die MAC-Adresstabelle häufig ändert
  • Wenn die TC Guard-Funktion aktiviert ist, verarbeitet der Switch beim Empfang von TC-BPDUs die TC-BPDUs nicht auf einmal
  • Der Switch wartet eine bestimmte Zeit und verarbeitet die TC-BPDUs zusammen, nachdem er die erste TC-BPDU empfangen hat, und startet dann das Timing neu

| BPDU Protect ||

  • Edge-Ports im Spanning Tree werden für die Verbindung zu den Endgeräten verwendet und empfangen in der normalen Situation keine BPDUs
  • Wenn Edge-Ports BPDUs empfangen, kann es sich um einen Angriff handeln
  • BPDU Protect wird verwendet, um den Switch vor dem oben erwähnten Angriff zu schützen
  • Bei aktivierter BPDU-Schutzfunktion werden die Edge-Ports abgeschaltet, wenn sie BPDUs empfangen, und melden diese Fälle an den Administrator
  • Nur der Administrator kann den Zustand der Ports wiederherstellen

| BPDU Filter ||

  • Wenn die BPDU-Filterfunktion aktiviert ist, empfängt der Port keine BPDUs und leitet sie auch nicht weiter, sondern sendet seine eigenen BPDUs aus
  • Der BPDU-Filter kann verhindern, dass der Switch wie bei BPDU Protect angegriffen wird

| BPDU Forward ||

  • Bei aktivierter BPDU-Weiterleitung kann der Anschluss weiterhin Spanning-Tree-BPDUs weiterleiten, wenn die Spanning-Tree-Funktion deaktiviert ist

| LAG