BPDU Guard
BPDU 가드는 스위치 포트로 BPDU를 수신하면
포트 상태를 Err-Disable로 전환하여
스위치 포트를 비활성화를 시키는 기능
공격자가 BPDU Flooding 공격을 할 때
포트 상태를 바로 shutdown 해버리면서
Err-Disable 상태로 바꾸는데
일반적으로 그냥 명령어로 shutdown 하면
Disable 이지만
어떤 기능에 의해 포트가 다운됬으면
Err-Disable 이다.
설정 명령어는
Switch(config)#int fa0/x
Switch(config-if)#spanning-tree bpduguard enable
보통 스위치가 연결된 엑세스 포트에 설정을 한다.
스위치 끼리 연결된 구간에는 하면 안된다.
다시 복구 시키려면
shutdown 후 no shutdown
show int status err-disable 하면
왜 err-disable 이 되었는지 확인이 가능
BPDU Filter
BPDP 필터는 스위치 포트로
BPDU가 송수신되는 것을 차단하는 기능
설정 명령어는
Switch(config)#int fa0/x
Switch(config-if)#spanning-tree bpdufilter enable
하지만 이 기능은 별로 좋지 않다.
차단은 하지만 스위치 부하가 발생하기 때문에
사실상 공격을 차단하지 못하는 것이기 때문에
BPDU Guard 를 쓰자
만약 두개를 동시에 설정하면
BPDU filter 에 의해 BPDU 가 차단되어서
BPDU Guard 가 동작하지 않음
Loop Guard
루프가드는 말그대로 루프방지이다.
해당포트로 BPDU 를 수신하지 못했을때
Forwading 으로 이전 되는 것을 방지한다.
설정 명령어는
Switch(config)#int fa0/x
Switch(config-if)#spanning-tree guard loop
보통 블로킹된 포트에 예비용으로 설정해둔다.
Root Guard
루트가드는 말그대로 루트를 지키는 것
루트브리지 권한이 다른 스위치에게
인계되는 것을 방지한다.
설정 명령어는
Switch(config)#int fa0/x
Switch(config-if)#spanning-tree guard root
DP 를 RP 로 바뀌는것을 방지하고
우선순위 BPDU 가 들어오면
해당포트를 블로킹한다.
BPDU 변조 공격이 들어왔을 때 유용하다.
컴퓨터와 연결된 포트엔 BPDU Guard
스위치끼리 연결된 포트엔 Root Guard
UDLD(Unidirectional Link Detection)
UDLD는 스위치간에 단방향 링크가 발생할 경우
해당 스위치 포트를 ‘err-disable’하여
강제로 셧다운하는 기능을 수행함.
보통 연결된 UTP 케이블엔
TX RX 가 있는데
TX 는 송신 RX 는 수신을 담당한다.
만약에
한쪽이 단선이 되어도
포트 상태를 보면 멀쩡하게 up 이 되어있다.
하지만 데이터 전송은 되지 않는다
당연히 끊어져 있으니까
이럴 때는 포트에
Switch2,3(config)#int fa0/22
Switch2,3(config-if)#udld port aggressive
설정을 넣어주면
단선시
err-disable 로 전환해서
관리자가 확인할 수 있다.
