- Katılım
- 15 May 2013
- Konular
- 1,210
- Mesajlar
- 7,343
- Çözüm
- 6
- Online süresi
- 2mo 16d
- Reaksiyon Skoru
- 5,979
- Altın Konu
- 410
- Başarım Puanı
- 349
- MmoLira
- 2,121
- DevLira
- 6
ROHAN2 WORLD 1-120 TR TİPİ OFFICIAL YOHARA, BALATHOR VE AMON! 80. GÜNÜNDE! +10.000 ONLİNE! HİLE VE BOT %100 ENGELLİ HEMEN TIKLA!
BPDU Guard adı verilen başka bir yayılma ağacı güvenlik özelliği ele alınmaktadır. Bu özellik, STP topolojisini ve kök köprüyü yetkisiz anahtarlardan korumak için kullanılır.
Neden BPDU Guard'a ihtiyacımız var?
Yayılma ağacı ve diğer katman 2 teknolojilerinin çoğu, güvenlik ağ protokollerinin ana odağı olmadığı 1980'ler ve 1990'larda geliştirilmiştir. Varsayılan olarak, anahtarlar istediğiniz cihazı bağlamanıza izin verir. Ancak bu, erişim katmanında bir güvenlik açığı yaratır. Herkes, aşağıdaki şemada gösterildiği gibi, uç cihazının fişini çekip bir anahtar bağlayabilir.
Varsayılan olarak, yayılma ağacı topolojisi için herhangi bir koruma mevcut değildir. Eğer sahte bir switch daha düşük bir BID'ye sahipse ve üstün bir BPDU gönderirse, ağın kök köprüsü haline gelebilir. Köke sahte bir Topoloji Değişikliği Bildirimi gönderirse, switchlerin MAC adres tablolarını temizleyebilir. Sahte switch'in yayılma ağacı topolojisinin kararsızlığına neden olmasını engelleyen hiçbir şey yoktur.
Varsayılan olarak, yayılma ağacı topolojisi için herhangi bir koruma mevcut değildir. Eğer sahte bir switch daha düşük bir BID'ye sahipse ve üstün bir BPDU gönderirse, ağın kök köprüsü haline gelebilir. Köke sahte bir Topoloji Değişikliği Bildirimi gönderirse, switchlerin MAC adres tablolarını temizleyebilir. Sahte switch'in yayılma ağacı topolojisinin kararsızlığına neden olmasını engelleyen hiçbir şey yoktur.
BPDU Koruması nedir?
BPDU Koruması, yayılma ağacı ağını potansiyel sahte switchlerden (fiziksel veya sanal) korumak için tasarlanmış bir özelliktir. Özellik, switch portu başına çalışır. Aşağıdaki şemada gösterildiği gibi, spanning-tree bpduguard enable komutu kullanılarak etkinleştirilir.
BPDU Guard özelliği yapılandırılmış bir switchport, bir BPDU aldığında, bu özellik portu hemen hata devre dışı durumuna getirerek devre dışı bırakır. Bu nedenle adı "BPDU Guard"dır.
Bağlantı noktası, birisi manuel olarak yeniden etkinleştirene kadar veya bir zaman aşımından sonra otomatik olarak düzelene kadar Hata devre dışı durumunda kalır.
[CODE title="sw"]ACC1# show interface e0/0
Ethernet0/0 is down, line protocol is down (err-disabled)
Hardware is Ethernet, address is aabb.cc00.2400 (bia aabb.cc00.2400)
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, Auto-speed, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output 00:09:54, output hang never
Last clearing of "show interface" counters never
Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
350 packets input, 25851 bytes, 0 no buffer
Received 348 broadcasts (0 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
61 packets output, 7272 bytes, 0 underruns
Output 61 broadcasts (61 multicasts)
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out[/CODE]
Dikkat ederseniz, `show interface` komutunun çıktısı portun `err-disabled` durumunda olduğunu gösteriyor ancak nedenini belirtmiyor. Bir port birden fazla nedenden dolayı devre dışı bırakılabilir. Portun neden devre dışı bırakıldığını kontrol etmek ve bunun BPDU Guard'dan kaynaklandığını doğrulamak için aşağıdaki komutu kullanıyoruz.
[CODE title="sw"]ACC1# show interface status err-disabled
Port Name Status Reason Err-disabled Vlans
Et0/0 err-disabled bpduguard[/CODE]
Limanı kurtarmak için, aşağıda gösterildiği gibi onu kapatıp tekrar açtık.
[CODE title="sw"]ACC1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ACC1(config)# interface e0/0
ACC1(config-if)# shutdown
ACC1(config-if)#
%LINK-5-CHANGED: Interface Ethernet0/0, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
ACC1(config-if)# no shutdown
ACC1(config-if)#
%LINK-5-UPDOWN: Interface Ethernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to up[/CODE]
Şimdi arayüzün durumunu kontrol edersek, çalışır durumda olduğunu görebiliriz.
[CODE title="sw"]ACC1# show interface e0/0
Ethernet0/0 is up, line protocol is up
Hardware is Ethernet, address is aabb.cc00.2400 (bia aabb.cc00.2400)[/CODE]
Ancak, porta tekrar bir BPDU gelirse, port tekrar hata devre dışı durumuna geçer.
BPDU Korumasının Yapılandırılması
Varsayılan olarak, BPDU Koruması tüm switch portlarında kapalıdır. Bir switch üzerinde bu özelliği etkinleştirmenin iki yolu vardır.
Aşağıdaki komutu kullanarak genel yapılandırma modunda global olarak etkinleştirebilirsiniz. Bu şekilde, switch, PortFast ile yapılandırılmış her portta BPDU Korumasını otomatik olarak etkinleştirecektir.
Aşağıdaki komutla belirli switch portları için BPDU Guard özelliğini açıp kapatabilirsiniz:
Gerçek dünya ortamında, BPDU Guard'ın global komut kullanılarak etkinleştirilmesi genellikle önerilir. Bu, Portfast ile yapılandırılmış tüm erişim portlarında özelliği etkinleştirir. Ardından, uzak anahtarlara bağlı olduğunu bildiğiniz erişim portlarında her iki özelliği de manuel olarak devre dışı bırakabilirsiniz. Anahtarlar arasındaki tüm trunk portları her iki özelliği de otomatik olarak kapatır.
BPDU Guard Tasarımı ve En İyi Uygulamalar
Tasarım açısından bakıldığında, BPDU Guard, Spanning Tree etki alanının sınırlarını tanımlar ve aktif topolojiyi ve Kök Köprü konumunu istikrarlı ve tahmin edilebilir tutar. Bu bağlamda, aşağıdaki diyagramda gösterildiği gibi, normal koşullar altında BPDU almaması gereken uç portlara BPDU Guard uygulamak genel bir kuraldır.
Dikkat edin, erişim katmanının tamamı PortFast ve BPDU Guard ile yapılandırılmıştır ve kötü niyetli veya yanlışlıkla bir kullanıcı tarafından bağlanmış olabilecek yetkisiz bir anahtardan BPDU kabul etmeyecektir.
Ayrıca, BPDU Guard ve Portfast'ın her zaman birlikte çalıştığına dikkat edin. Mantık şudur: Bir portta BPDU Guard'ı etkinleştirirseniz, o porta hiçbir uzak anahtar bağlanamaz. Hiçbir anahtar bağlı değilse, portu İletme durumuna geçirmeden önce STP durumlarından geçmenin bir anlamı yoktur. Bu nedenle, port Portfast ile yapılandırılmalıdır.
Dikkat edin, erişim katmanının tamamı PortFast ve BPDU Guard ile yapılandırılmıştır ve kötü niyetli veya yanlışlıkla bir kullanıcı tarafından bağlanmış olabilecek yetkisiz bir anahtardan BPDU kabul etmeyecektir.
Ayrıca, BPDU Guard ve Portfast'ın her zaman birlikte çalıştığına dikkat edin. Mantık şudur: Bir portta BPDU Guard'ı etkinleştirirseniz, o porta hiçbir uzak anahtar bağlanamaz. Hiçbir anahtar bağlı değilse, portu İletme durumuna geçirmeden önce STP durumlarından geçmenin bir anlamı yoktur. Bu nedenle, port Portfast ile yapılandırılmalıdır.
Ayrıca, PortFast konusunda çok fazla kafa karışıklığı var. Birçok mühendis, bir switch portunda PortFast'ı etkinleştirdiğinizde spanning tree'yi devre dışı bıraktığınızı yanlışlıkla varsayıyor. Bu doğru değil. PortFast etkinleştirilmiş olsa bile, STP portta çalışmaya devam eder. Başka bir switch yanlışlıkla PortFast etkinleştirilmiş bir porta bağlanırsa, bir döngü oluşabilir. Daha da kötüsü, bu yeni switch BPDU'lar göndererek kök köprü olmaya çalışabilir. Bu nedenle BPDU Guard, PortFast'a önemli bir eklentidir.
Err-disable'dan otomatik kurtarma
Bir port BPDU Guard tarafından kapatılırsa, BPDU'lar alınmayı bıraksa bile kendi kendine tekrar açılmaz. Ancak Cisco switch'leri, belirtilen bir aralıktan sonra portu tekrar açmak üzere yapılandırılabilen otomatik bir kurtarma mekanizması sağlar. Örneğin, aşağıdaki port BPDU Guard tarafından engellenmiştir.
[CODE title="sw"]*May 19 08:33:12.058: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU from bridge aabb.cc00.2000 on port Et0/0 with BPDU Guard enabled. Disabling port.
*May 19 08:33:12.058: %PM-4-ERR_DISABLE: bpduguard error detected on Et0/0, putting Et0/0 in err-disable state
*May 19 08:33:13.058: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
*May 19 08:33:14.058: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down[/CODE]
BPDU Guard'ın neden olduğu hata nedeniyle devre dışı bırakılmış durumdan otomatik kurtarmayı etkinleştirmek için bu adımları kullanıyoruz. İlk olarak, bpduguard özelliği için otomatik kurtarmayı etkinleştiriyoruz.
[CODE title="sw"]ACC1(config)# errdisable recovery cause bpduguard[/CODE]
Ardından kurtarma aralığını belirtiyoruz. Bu süre geçtikten sonra, anahtar bağlantı noktasını yeniden etkinleştirmeye çalışacaktır. Ağ politikalarına ve gereksinimlerine bağlı olarak, aralık 30 ile 86400 saniye (24 saat) arasında ayarlanabilir. Aşağıdaki komut, kurtarma aralığını 300 saniyeye (5 dakika) ayarlar.
[CODE title="sw"]*May 19 08:33:12.058: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU from bridge aabb.cc00.2000 on port Et0/0 with BPDU Guard enabled. Disabling port.
*May 19 08:33:12.058: %PM-4-ERR_DISABLE: bpduguard error detected on Et0/0, putting Et0/0 in err-disable state
*May 19 08:33:13.058: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
*May 19 08:33:14.058: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down[/CODE]
BPDU Guard'ın neden olduğu hata nedeniyle devre dışı bırakılmış durumdan otomatik kurtarmayı etkinleştirmek için bu adımları kullanıyoruz. İlk olarak, bpduguard özelliği için otomatik kurtarmayı etkinleştiriyoruz.
[CODE title="sw"]ACC1(config)# errdisable recovery cause bpduguard[/CODE]
Ardından kurtarma aralığını belirtiyoruz. Bu süre geçtikten sonra, anahtar bağlantı noktasını yeniden etkinleştirmeye çalışacaktır. Ağ politikalarına ve gereksinimlerine bağlı olarak, aralık 30 ile 86400 saniye (24 saat) arasında ayarlanabilir. Aşağıdaki komut, kurtarma aralığını 300 saniyeye (5 dakika) ayarlar.
Mevcut hata devre dışı bırakma kurtarma ayarlarını aşağıdaki komutla doğruluyoruz. Bu komut, otomatik kurtarma için hangi hataların etkinleştirildiğini ve yapılandırılmış aralığı gösterir.
[CODE title="sw"]ACC1# show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
arp-inspection Disabled
bpduguard Enabled
<lines omitted for brevity>
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- ----------------- --------------
Et0/0 bpduguard 276[/CODE]
Unutmayın ki, erişim portunda BPDU'ların varlığı devam ederse, kurtarma işleminden sonra port tekrar hata devre dışı durumuna getirilecektir. Bu döngü, temel neden çözülene kadar devam edecektir.
Otomatik kurtarma, uzak konumlar gibi acil manuel müdahalenin mümkün olmadığı senaryolarda faydalıdır. Bununla birlikte, güvenlik ve istikrarın çok önemli olduğu ortamlarda, yöneticiler portun yeniden etkinleştirilmesinden önce sorunların araştırılmasını sağlamak için otomatik kurtarmayı devre dışı bırakmayı tercih edebilirler.
BPDU Guard'ın yalnızca BPDU beklenmeyen portlarda etkinleştirildiğinden emin olun. Yanlış yapılandırma, istenmeyen port kapanmalarına yol açabilir.
Tasarım En İyi Uygulamaları
Erişim katmanı anahtarlarında hem PortFast hem de BPDU Guard'ı global olarak yapılandırmak, kurumsal ağlarda yaygın olarak en iyi uygulama olarak kabul edilir.
Aşağıdaki genel yapılandırma komutlarını kullanarak tüm erişim portlarında PortFast ve BPDU Guard'ı global olarak etkinleştiriyoruz:
[CODE title="sw"]spanning-tree portfast default
spanning-tree portfast bpduguard default[/CODE]
Bu yaklaşım, tüm trunking dışı arayüzlerde PortFast ve BPDU Guard'ın varsayılan olarak etkinleştirilmesini sağlar. BPDU'ların beklendiği diğer anahtarlara veya ağ aygıtlarına bağlanan portlar için, bu özellikleri arayüz seviyesi komutlarını kullanarak manuel olarak devre dışı bırakmalısınız:
[CODE title="sw"]interface GigabitEthernet0/1
description Link-to-another-Switch
no spanning-tree portfast
no spanning-tree bpduguard[/CODE]
Erişim portları genellikle Spanning Tree Protocol (STP) protokolüne katılmayan bilgisayarlar ve yazıcılar gibi son kullanıcı cihazlarına bağlanır. Tüm erişim portlarında PortFast'ı etkinleştirmek, portların anında iletim durumuna geçmesini sağlayarak cihazların ağa bağlanma süresini kısaltır.
Ancak, bir anahtar veya başka bir ağ cihazı yanlışlıkla PortFast etkinleştirilmiş bir porta bağlanırsa, ağa BPDU'lar (Bölgesel Veri Birimleri) sokabilir ve potansiyel olarak STP topolojisi değişikliklerine veya döngülerine neden olabilir. BPDU Guard, bir BPDU alındığında portu devre dışı bırakarak ve hata devre dışı durumuna getirerek bu riski azaltır. Bu işlem, ağı istenmeyen veya kötü niyetli topoloji değişikliklerinden korumaya yardımcı olur.
Aşağıdaki genel yapılandırma komutlarını kullanarak tüm erişim portlarında PortFast ve BPDU Guard'ı global olarak etkinleştiriyoruz:
[CODE title="sw"]spanning-tree portfast default
spanning-tree portfast bpduguard default[/CODE]
Bu yaklaşım, tüm trunking dışı arayüzlerde PortFast ve BPDU Guard'ın varsayılan olarak etkinleştirilmesini sağlar. BPDU'ların beklendiği diğer anahtarlara veya ağ aygıtlarına bağlanan portlar için, bu özellikleri arayüz seviyesi komutlarını kullanarak manuel olarak devre dışı bırakmalısınız:
[CODE title="sw"]interface GigabitEthernet0/1
description Link-to-another-Switch
no spanning-tree portfast
no spanning-tree bpduguard[/CODE]
Erişim portları genellikle Spanning Tree Protocol (STP) protokolüne katılmayan bilgisayarlar ve yazıcılar gibi son kullanıcı cihazlarına bağlanır. Tüm erişim portlarında PortFast'ı etkinleştirmek, portların anında iletim durumuna geçmesini sağlayarak cihazların ağa bağlanma süresini kısaltır.
Ancak, bir anahtar veya başka bir ağ cihazı yanlışlıkla PortFast etkinleştirilmiş bir porta bağlanırsa, ağa BPDU'lar (Bölgesel Veri Birimleri) sokabilir ve potansiyel olarak STP topolojisi değişikliklerine veya döngülerine neden olabilir. BPDU Guard, bir BPDU alındığında portu devre dışı bırakarak ve hata devre dışı durumuna getirerek bu riski azaltır. Bu işlem, ağı istenmeyen veya kötü niyetli topoloji değişikliklerinden korumaya yardımcı olur.
Önemli Noktalar
BPDU Guard'ı etkinleştirmek, kullanıcıların yanlışlıkla veya kasıtlı olarak sahte anahtarları bağlamasını önler.
BPDU Guard, yalnızca uç cihazların bağlanması gereken Edge portlarında özellikle kullanışlıdır.
Ancak, birisi Ethernet hub'ı bağlarsa BPDU Guard yardımcı olmaz. Hub'lar BPDU göndermezler, sadece çerçeveleri tekrarlarlar. Bir hub ağın iki bölümünü birbirine bağlıyorsa, STP'nin algılayamayacağı bir döngü oluşturabilir.
Kök köprüden BPDU alabilecek yukarı bağlantı portlarında BPDU Korumasını asla etkinleştirmeyin. Bir anahtarın birden fazla yukarı bağlantısı varsa, bazıları şu anda engelleme yapıyor olsalar bile geçerli BPDU'lar alabilir. Bu portlardan birinde BPDU Koruması etkinse, bağlantıyı kapatacak ve ağ bağlantısını kesecektir.
BPDU Guard, yalnızca uç cihazların bağlanması gereken Edge portlarında özellikle kullanışlıdır.
Ancak, birisi Ethernet hub'ı bağlarsa BPDU Guard yardımcı olmaz. Hub'lar BPDU göndermezler, sadece çerçeveleri tekrarlarlar. Bir hub ağın iki bölümünü birbirine bağlıyorsa, STP'nin algılayamayacağı bir döngü oluşturabilir.
Kök köprüden BPDU alabilecek yukarı bağlantı portlarında BPDU Korumasını asla etkinleştirmeyin. Bir anahtarın birden fazla yukarı bağlantısı varsa, bazıları şu anda engelleme yapıyor olsalar bile geçerli BPDU'lar alabilir. Bu portlardan birinde BPDU Koruması etkinse, bağlantıyı kapatacak ve ağ bağlantısını kesecektir.
