القائمة الرئيسية

الصفحات

دورة CCNA 200-301 - الدرس الرابع والاربعون (تقنية الـ BPDUGuard)

دورة CCNA 200-301 - الدرس الرابع والاربعون (تقنية الـ BPDUGuard)

 دورة CCNA 200-301 - الدرس الرابع والاربعون (تقنية الـ BPDUGuard)

تقنية BPDUguard هي إحدى الميزات التي تساعدك على حماية بروتوكول STP. اسمحوا لي أن أقدم لكم مثالا:

تمتد شجرة bpdu وهمية


في التصميم أعلاه لدينا تصميم STP يعمل بشكل مثالي. بشكل افتراضي ، سيقوم STP بإرسال واستقبال وحدات BPDU على كافة الوصلات. في مثالنا لدينا جهاز كمبيوتر على الوصلة fa0/2 في SW2. يمكن لأي شخص لديه نوايا عدائية أن يستخدم أداة تقوم بإنشاء وحدات BPDU بمعرف جسر عالي. ما سيحدث هو أن السويشات لدينا ستعتقد أنه يمكن الآن الوصول إلى الروت من خلال SW2 وسيكون لدينا إعادة حساب لتصميم الشبكة. ألا تبدو فكرة جيدة ، أليس كذلك؟ إليك ما يمكن أن يحدث بشكل خاطئ:

تمتد شجرة ميتم


يمكنك حتى القيام بهجوم رجل في الوسط Man in the middle دون أن يعلم بك أحد. تخيل أنني قمت بتوصيل جهاز الكمبيوتر الخاص بي بسويشين. إذا أصبحت انا الروت ، فسوف تتدفق كل حركة المرور من SW1 أو SW3 باتجاه SW2 من خلالي. سأقوم بتشغيل Wireshark واقوم بالتقاط جميع بيانات الشبكة.


يمكننا استخدام BPDUGuard لمنع حدوث ذلك لأنه سيحظر BPDUs:

تمتد شجرة bpdu حارس نشط


سيضمن BPDUguard أنه عندما نتلقى وحدة BPDU على احد الوصلات ، ستنتقل الوصلة إلى وضع تعطيل الخطأ err-disable mode.


دعونا نلقي نظرة على كيفية اعداد وتفعيل هذه التقنية ...


1- الاعدادات:

سأستخدم التصميم التالي:

تمتد طوبولوجيا bpduguard


لتوضيح BPDUguard سأستخدم سوشين. سأقوم باعداد الوصلة fa0/16 الخاصة بـ SW2 بحيث تنتقل إلى وضع تعطيل الخطأ إذا استقبل وحدة BPDU من SW3.

SW2(config)#interface fa0/16
SW2(config-if)#spanning-tree bpduguard enable

هذه هي الطريقة التي تقوم بها بتمكين الوصلة. ضع في اعتبارك أنك لن تفعل ذلك أبدًا بين السويشات ؛ يجب عليك اعداد هذا على الوصلات في وضع access التي تتصل بأجهزة الكمبيوتر فقط.

SW2#
%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0/16 with BPDU Guard enabled. Disabling port.
%PM-4-ERR_DISABLE: bpduguard error detected on Fa0/16, putting Fa0/16 in err-disable state
: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/16, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
*Mar  1 00:19:32.089: %LINK-3-UPDOWN: Interface FastEthernet0/16, changed state to down

عذرًا … ها هي الوصلة الخاصة بنا.

SW2(config-if)#no spanning-tree bpduguard 
SW2(config-if)#shutdown
SW2(config-if)#no shutdown

تخلص من BPDUguard وقم بإطفاء وتشغيل الوصلة:

SW2(config)#spanning-tree portfast bpduguard default

يمكنك أيضًا استخدام الأمر الافتراضي spanning-tree portfast bpduguard. سيؤدي هذا إلى تنشيط BPDUguard بشكل عام على جميع الوصلات التي تم تفعيل portfast عليها.

SW2(config)#spanning-tree portfast default

يمكن أيضًا تفعيل Portfast بشكل عام لجميع الوصلات التي تعمل في وضع access.

SW2#show spanning-tree summary        
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short

إليك أمر مفيد حتى تتمكن من التحقق من الاعداد الخاص بك. يمكنك أن ترى أنه تم تفعيل portfast و BPDUGuard بشكل عام.


هذا كل ما في الأمر. أتمنى أن تكون قد استمتعت بهذا الدرس!


reaction:

تعليقات