Logo CCNA Network
Logo CCNA Network
  • CCNA
  • CCNA 1 v7
  • CCNA 2 v7
  • CCNA 3 v7
  • Exames CCNA V7
  • Exame Dump
  • 0
    0
    Seu carrinho está vazio
    Procurar na Loja
Mitigar-ataques-STP
Mitigar-ataques-STP
CCNA 2
·4 min ler·0

Mitigar Ataques STP

Tabla de Contenido

  • PortFast e BPDU Guard
  • Configurar PortFast
  • Configurar Guarda BPDU
  • Verificador de sintaxe – Mitigar ataques STP

PortFast e BPDU Guard

Lembre-se de que os invasores de rede podem manipular o Spanning Tree Protocol (STP) para conduzir um ataque falsificando a ponte raiz e alterando a topologia de uma rede. Para mitigar ataques de manipulação de Spanning Tree Protocol (STP), use PortFast e Bridge Protocol Data Unit (BPDU) Guard:

  • PortFast – PortFast imediatamente traz uma interface configurada como uma porta de acesso ou tronco para o estado de encaminhamento de um estado de bloqueio, ignorando os estados de escuta e aprendizagem. Aplicar a todas as portas do usuário final. O PortFast só deve ser configurado em portas conectadas a dispositivos finais.
  • Guarda BPDU – O erro de guarda BPDU desabilita imediatamente uma porta que recebe um BPDU. Como o PortFast, a proteção BPDU deve ser configurada apenas em interfaces conectadas a dispositivos finais.

Na figura, as portas de acesso para S1 devem ser configuradas com PortFast e BPDU Guard.

PortFast e BPDU Guard

Configurar PortFast

O PortFast ignora os estados de escuta e aprendizagem do STP para minimizar o tempo que as portas de acesso devem esperar para que o STP convirja. Se o PortFast estiver habilitado em uma porta conectada a outro switch, existe o risco de criar um loop de spanning tree.

O PortFast pode ser habilitado em uma interface usando o comando de configuração de interface spanning-tree portfast. Alternativamente, o Portfast pode ser configurado globalmente em todas as portas de acesso usando o comando de configuração global spanning-tree portfast default.

Para verificar se o PortFast está habilitado globalmente, você pode usar o comando show running-config | o comando begin span ou o comando show spanning-tree summary. Para verificar se o PortFast está habilitado em uma interface, use o comando show running-config interface type / number, conforme mostrado no exemplo a seguir. O comando show spanning-tree interface type / number detail também pode ser usado para verificação.

Observe que, quando o PortFast está ativado, mensagens de aviso são exibidas.

S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION
%Portfast has been configured on FastEthernet0/1 but will only
 have effect when the interface is in a non-trunking mode.
S1(config-if)# exit
S1(config)# spanning-tree portfast default
%Warning: this command enables portfast by default on all interfaces. You
 should now disable portfast explicitly on switched ports leading to hubs,
 switches and bridges as they may create temporary bridging loops.
S1(config)# exit
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
interface FastEthernet0/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
! 
(output omitted)
S1#

Configurar Guarda BPDU

Mesmo que o PortFast esteja ativado, a interface ainda escutará BPDUs. BPDUs inesperados podem ser acidentais ou parte de uma tentativa não autorizada de adicionar um switch à rede.

Se algum BPDU for recebido em uma porta habilitada para BPDU Guard, essa porta será colocada no estado desabilitado por erro. Isso significa que a porta foi desligada e deve ser reativada manualmente ou recuperada automaticamente por meio do comando global errdisable recovery cause psecure_violation.

O BPDU Guard pode ser habilitado em uma porta usando o comando de configuração de interface spanning-tree bpduguard enable. Como alternativa, use o comando de configuração global spanning-tree portfast bpduguard default para habilitar globalmente a proteção BPDU em todas as portas habilitadas para PortFast.

Para exibir informações sobre o estado da spanning tree, use o comando show spanning-tree summary. No exemplo, PortFast default e BPDU Guard são ambos habilitados como o estado padrão para portas configuradas como modo de acesso.

Nota: Sempre habilite o BPDU Guard em todas as portas habilitadas para PortFast.

S1(config)# interface fa0/1
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
S1# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

Verificador de sintaxe – Mitigar ataques STP

Implementar PortFast e BPDU Guard para um switch com base na seguinte topologia e requisitos especificados

PortFast e BPDU Guard

No momento, você está conectado ao S1. Conclua as seguintes etapas para implementar PortFast e BPDU Guard em todas as portas de acesso:

  • Entre no modo de configuração da interface para fa0 / 1 – 24.
  • Configure as portas para o modo de acesso.
  • Retornar ao modo de configuração global.
  • Ative o PortFast por padrão para todas as portas de acesso.
  • Ative o BPDU Guard por padrão para todas as portas de acesso.
S1(config)#interface range fa0/1 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)#exit
S1(config)#spanning-tree portfast default
S1(config)#spanning-tree portfast bpduguard default
S1(config)# exit

Verifique se o PortFast e o BPDU Guard estão habilitados por padrão, exibindo as informações de resumo do STP.

S1#show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

Você configurou e verificou com êxito o PortFast e o BPDU Guard para o switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

Tags
Configuração de Segurança do Switch
0 0 0 0
Dante Network
O meu objectivo é ensinar-vos sobre a certificação Cisco CCNA 200-301 sem palavras enfadonhas. A melhor maneira de aprender é aprender por si próprio e tentei tornar este blog o mais informativo possível - continue a ler para mais informações!
Relacionado
Solucionar Problemas de Configuração de Rota Padrão e Estática de IPv4
CCNA 2

Solucionar Problemas de Configuração de Rota Padrão e Estática de IPv4

Processamento de Pacotes com Rotas Estáticas
CCNA 2

Processamento de Pacotes com Rotas Estáticas

Deixe uma resposta Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Sobre o CCNA Network

O blog CCNA.Network é uma plataforma para ensinar ccna 200-301. Ideal para pessoas que querem passar nos seus exames ccna.

Aprender CCNA 200-301. CCNA Routing & Switching: Aclamada formação de certificação Cisco. Preparar para o exame CCNA 200-301. Obtenha um acesso livre agora!

Company

  • CCNA
  • Contactar
  • Sobre nós

Sections

  • Exame Dump
  • Versão Espanhol
  • Versão Inglês

Misc

  • Política de Cookies
  • Política de Privacidade
  • Termos e Condições
Logo CCNA Network
© Copyright CCNA-200-301 Criado Com ♥ por CCNA Network
Logo CCNA Network
  • Início
  • Blog
  • CCNA 1
  • CCNA 2
  • CCNA 3
  • Exames CCNA V7
  • Exame Dump
Comece a digitar para ver os resultados
Conceitos de segurança de rede Networking Hoje Endereçamento IPv4 Endereçamento IPv6 Configuração básica de switch e dispositivo final
Ver todos os resultados
Close

Buy me a cup of coffee

A ridiculous amount of coffee was consumed in the process of building this project. Add some fuel if you'd like to keep me going!

 
Cookies (testemunhos de conexão) Tal como a maioria dos grandes sítios Web, para que o nosso sítio possa funcionar corretamente, instalamos pontualmente no seu computador ou dispositivo móvel pequenos ficheiros denominados cookies ou testemunhos de conexão. Ler mais
Aceitar
Cookie Configurações
Configurações da caixa de cookies
Configurações da caixa de cookies

Configurações de privacidade

Decida quais os cookies que deseja permitir.O utilizador pode alterar estas configurações em qualquer momento. No entanto, por vezes pode obter visualizações ou resultados indisponíveis. Para obter informações sobre como excluir os cookies, consulte a função de ajuda do seu navegador.SAIBA MAIS SOBRE OS COOKIES QUE USAMOS.

Abaixo selecione uma das opções:

  • Block all
  • Essential
  • Functionality
  • Analytics
  • Advertising

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou

Este site não irá

  • Lembrar os seus detalhes de login
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país

Este site não irá

  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos

Este site não irá

  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site não irá

  • Lembrar os seus detalhes de login
Guardar & Fechar