propósito de trabalho
Dominar o processo de eleição do switch spanning tree, princípios de engano, processos de ataque e estratégias de prevenção
análise de tarefas
As portas da árvore geradora têm cinco estados. A porta de borda do switch não recebe BPDUs. Durante a eleição, ela muda diretamente do estado de bloqueio para o estado de encaminhamento e não participa do processo de eleição da spanning tree. Por padrão, todas as portas do switch são portas sem borda . Para evitar ataques de spanning tree spoofing, você pode definir a porta do switch usada para acesso ao host como uma porta de borda
- Desativar
- Bloqueio
- Audição
- Aprendizado
- Encaminhamento
Configure o switch como um comando de porta de borda
ativação de porta com borda stp
Topologia de ambiente
PCs e servidores são conectados a máquinas virtuais da nuvem para operação. Aqui conduzimos experimentos de conectividade e explicamos seus princípios. Use o método mais simples diretamente.
processo de trabalho
1. Configuração básica
1. Alterne a configuração de vlan e porta
SW1
marcador - CSS
<Huawei>sys [Huawei]un em en [Huawei]sys SW1 [SW1]vlan lote 10 20 [SW1]stp ativar [SW1]stp mode rstp [SW1]port-group 1 [SW1-port-group-1]grupo -membro Ethernet 0/0/1 para Ethernet 0/0/10 [SW1-port-group-1]acesso tipo link de porta [SW1-port-group-1]porta padrão vlan 10 [SW1-port-group-1 ]q [SW1]grupo de portas 2 [SW1-port-group-2]membro do grupo Ethernet 0/0/11 para Ethernet 0/0/22 [SW1-port-group-2]acesso tipo link de porta [SW1 -port-group-2]porta vlan padrão 20 [SW1-port-group-2]q [SW1]port-group 3 [SW1-port-group-3]membro do grupo GigabitEthernet 0/0/1 GigabitEthernet 0/0 /2 [SW1-port-group-3]tronco tipo link de porta [SW1-port-group-3]porta tronco permitir passagem vlan 10 20 [SW1-port-group-3]q [SW1]
SW2
marcador - CSS
<Huawei>sys [Huawei]sys SW2 [SW2]un em en [SW2]vlan lote 10 20 [SW2]stp ativar [SW2]stp modo rstp [SW2]port-group 1 [SW2-port-group-1]grupo -membro Ethernet 0/0/1 para Ethernet 0/0/10 [SW2-port-group-1]porta de acesso tipo link [SW2-port-group-1]porta padrão v [SW2-port-group-1] porta padrão vlan 10 [SW2-port-group-1]q [SW2]port-group 2 [SW2-port-group-2]membro do grupo Ethernet 0/0/11 para Ethernet 0/0/22 [SW2-port -group-2]acesso tipo link de porta [SW2-port-group-2]porta vlan padrão 20 [SW2-port-group-2]q [SW2]port-group 3 [SW2-port-group-3]grupo -membro GigabitEthernet 0/0/1 GigabitEthernet 0/0/2 [SW2-port-group-3]porta tronco tipo link [SW2-port-group-3]porta tronco permitir passagem vlan 10 20 [SW2-port-group-3]q [SW2]
SW3
marcador - CSS
<Huawei>sys [Huawei]sys SW3 [SW3]un in en [SW3]stp ativar [SW3]stp mode rstp [SW3]stp root primário [SW3]vlan lote 10 20 30 40 [SW3]int GigabitEthernet 0/0/ 1 [SW3-GigabitEthernet0/0/1]tronco tipo link de porta [SW3-GigabitEthernet0/0/1]porta tronco permitir passagem vlan 10 20 [ SW3-GigabitEthernet0/0/1]q [SW3]int GigabitEthernet 0/0 /2 [SW3-GigabitEthernet0/0/2]tronco tipo link de porta [SW3-GigabitEthernet0/0/2]porta tronco permitir passagem vlan 10 20 [ SW3-GigabitEthernet0/0/2]q [SW3]int GigabitEthernet 0/ 0/3 [SW3-GigabitEthernet0/0/3]porta de acesso tipo link [SW3-GigabitEthernet0/0/3]porta padrão vlan 30 [SW3-GigabitEthernet0/0/3]q [SW3]int GigabitEthernet 0/0/4 [SW3-GigabitEthernet0/0/4]tronco tipo link de porta [SW3-GigabitEthernet0/0/4]tronco de porta permitir passagem de vlan todos [SW3-GigabitEthernet0/0/4]q [SW3]int Vlanif 10 [SW3-Vlanif10]ip add 192.168.1.1 24 [SW3-Vlanif10]q [SW3]int Vlanif 20 [SW3-Vlanif20]ip add 192.168.2.1 24 [SW3-Vlanif20]q [SW3]int Vlanif 30 [SW3-Vlanif30]ip add 192.168.3.1 24 [SW3-Vlanif30]q [SW3]int Vlanif 40 [SW3-Vlanif40]ip add 192.168.4.1 24 [SW3-Vlanif40]q [SW3]int GigabitEthernet 0/0 /4 [SW3-GigabitEthernet0/0/4]porta tronco pvid vlan 40 [SW3-GigabitEthernet0/0/4]q [SW3]
Aqui G0/0/4 ainda pertence a vlan1, então precisa ser rotulado como vlan40, caso contrário não será capaz de se conectar à rede externa mais tarde. Quando fiz isso pela primeira vez, ficou preso aqui por um longo tempo .
2. Interface IP e configuração do protocolo de roteamento
SW3
marcador - CSS
[SW3]ospf 1 [SW3-ospf-1]a 0 [SW3-ospf-1-area-0.0.0.0]rede 192.168.1.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]rede 192.168. 2.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]rede 192.168.3.0 0.0.0.255 [ SW3-ospf-1-area-0.0.0.0]rede 192.168.4.0 0.0.0.255 [SW3-ospf-1 -area-0.0.0.0]q [SW3-ospf-1]q [SW3]ip rota-estática 0.0.0.0 0.0.0.0 192.168.4.2 [SW3]
AR1
marcador - CSS
<Huawei>sys [Huawei]sys AR1 [AR1]int GigabitEthernet 0/0/0 [AR1-GigabitEthernet0/0/0]ip add 192.168.4.2 24 [AR1-GigabitEthernet0/0/0]q [AR1]int Serial 2 /0/0 [AR1-Serial2/0/0]ip add 202.116.64.1 24 [AR1-Serial2/0/0]q [AR1]ospf 1 [AR1-ospf-1]a 0 [AR1-ospf-1- área-0.0.0.0]rede 192.168.4.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]q [ AR1-ospf-1]q [AR1]ip rota-estática 0.0.0.0 0.0.0.0 202.116. 64,2 [AR1]
AR2
marcador - CSS
<Huawei>sys [Huawei]sys AR2 [AR2]int GigabitEthernet 0/0/0 [AR2-GigabitEthernet0/0/0]ip add 116.64.100.1 24 [AR2-GigabitEthernet0/0/0]q [AR2]int Serial 2 /0/0 [AR2-Serial2/0/0]ip add 202.116.64.2 24 [AR2-Serial2/0/0]q [AR2]
3. Configuração do Easy-IP do roteador AR1
marcador - CSS
[AR1]acl 2000 [AR1-acl-basic-2000]fonte de permissão de regra 192.168.0.0 0.0.255.255 [ AR1-acl-basic-2000]q [AR1]int Serial 2/0/0 [AR1-Serial2/0/ 0]nat saída 2000 [AR1-Serial2/0/0]q [AR1]
2. Verificação de configuração básica
Veja a árvore geradora SW3 e detalhes da porta
Veja informações resumidas sobre portas de spanning tree
Teste de conectividade
Teste de conectividade com redes externas
3. Invasão real
Novo diagrama de topologia do switch hacker conectado ao SW1 e SW2
Ao testar aqui, o endereço MAC do switch hacker deve ser menor que o endereço MAC da raiz principal SW3, caso contrário, quando a prioridade é definida ao mesmo tempo, porque o endereço MAC do SW3 é menor, o switch hacker não pode se tornar a raiz principal e os experimentos subsequentes não podem ser concluídos. Você pode experimentar várias vezes
Aqui está um pequeno ponto de conhecimento
Eleger ponte raiz (ponte id=prioridade+endereço mac)
Verifique a prioridade. Se as prioridades forem iguais, verifique o endereço MAC. Quanto menor o endereço MAC, maior a prioridade.
Hackeando a configuração da árvore geradora de switches
marcador - CSS
<Huawei>sys [Huawei]un em en [Huawei]sys Hacker [Hacker]stp ativar [Hacker]modo stp rstp [Hacker]prioridade stp 0 [Hacker]
Verificação de reeleição da árvore geradora
Verifique se o switch SW3 é um switch não raiz
Verifique a porta bloqueada SW3 e o link de backup
A linha diagonal do switch hacker é o link de backup. A prioridade da interface não é definida no SW3, então o método de comparação é o número da porta. Então g0/0/2 está em estado de bloqueio
Verifique a porta bloqueada SW2 e o link de backup
Mapa de topologia obtido após verificação
O teste é no PC, mas se você usar a nuvem para se conectar à máquina virtual, as operações na máquina virtual podem ser capturadas pelos pacotes de dados do switch hacker. No combate real, o switch hacker pode procurar as palavras-chave nome de usuário, senha e outros pacotes de dados para visualizar.
4. Estratégia de Defesa
Defina as portas dos switches SW1 e SW2 usadas para acesso ao host como portas de borda.
marcador - CSS
[SW1] grupo de portas 1 [SW1-port-group-1] ativação de porta com borda stp [SW1-port-group-1] q [SW1] grupo de portas 2 [SW1-port-group-2] stp com bordas habilitação de porta [SW1-port-group-2]q [SW1]stp bpdu-protection [SW1] [SW2]port-group 1 [SW2-port-group-1]stp edged-port enable [SW2-port-group- 1]q [SW2]grupo de portas 2 [SW2-port-group-2]stp edged-port enable [SW2-port-group-2]q [SW2]stp bpdu-protection [SW2]
Certifique-se de ativar a proteção bpdu
verificar
As portas E0/0/22 dos switches SW1 e SW2 ficam vermelhas e estão no estado inativo, e SW3 é reeleito como o switch raiz.
Resumir
- Habilite a função de proteção BPDU do dispositivo. Depois que a porta de borda for fechada, a porta não será aberta automaticamente, mesmo se o switch fechar a árvore de abrangência. Você pode inserir manualmente desfazer desligamento na interface correspondente para abrir a interface.
- Habilite a proteção BPDU no dispositivo e a porta de borda não poderá ser conectada ao switch. Caso contrário, a porta será fechada imediatamente porque a árvore de abrangência do switch está habilitada por padrão.Se a porta de borda precisar ser conectada ao switch, a árvore de abrangência do switch pode ser fechada primeiro e depois conectada à porta de borda.