网络安全实验教程 使用 BPDU Gu ard 提高 STP 安全性 【实验名称】 使用BPDU Gu ard 提高STP 安全性 【实验目的】 使用交换机的BPDU Gu ard 特性增强交换网络的稳定性与安全性 【背景描述】 某企业的网络管理员发现,最近网络中的交换机时常会出现生成树重新收敛的现象。而且由于生成树的收敛,导致一段时间内交换机无法转发用户的数据信息,降低了网络性能,并且造成网络拓扑的不稳定。经过分析,发现原因为某些用户私自将交换机接入到了网络中,使生成树重新收敛,造成网络拓扑不稳定。 【需求分析】 对于 STP 来说,当拥有更好优先级(数值更低)的交换机加入到网络后,会造成STP重新进行计算,使网络处于收敛过程,使用交换机的BPDU Gu ard 特性可以防止端口接收BPDU,防止网络拓扑改变。 【实验拓扑】 【实验设备】 交换机 3 台 【预备知识】 交换机转发原理 交换机基本配置 STP 原理 36第一章 网络基础设施安全实验 PortFast 原理 BPDU Guard 原理 【实验原理】 BPDU Guard (BPDU 防护)是STP 的一个增强机制,也是一个安全机制。当交换机的端口启用了BPDU Guard 后,端口将丢弃收到BPDU 报文,而且配置了BPDU Guard 的端口收到BPDU 报文后,端口会变为“err-disabled”状态,不但避免了环路的产生,而且增强了交换网络的安全性和稳定性。 【实验步骤】 第一步:配置Tru nk 端口 SW1 与SW2 之间通过两条链路相连以提供冗余性: SW1#configure SW1(config)#interface fastEthernet 0/23 SW1(config-if)#switchport mode trunk SW1(config-if)#exit SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport mode trunk SW1(config-if)#end SW1# SW2#configure SW2(config)#interface fastEthernet 0/23 SW2(config-if)#switchport mode trunk SW2(config-if)#exit SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#end SW2# 第二步:启用生成树协议—RSTP SW1#configure SW1(config)#spanning-tree mode rstp SW1(config)#spanning-tree SW1(config)# SW2#configure SW2(config)#spanning-tree mode rstp SW2(config)#spanning-tree SW2(config)# 第三步:验证测试 查看生成树的选举结果,由于 SW2 具有更小的MAC 地址,所以SW2 被选为根桥: 37网络安全实验...