Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

BPDU Guard :: Cisco Switch sicher einrichten

Spanning Tree / Rapid Spanning Tree Protocol

Das Protokoll Spanning Tree ist für die Bildung einer schleifenfreien Topologie auf dem Layer 2 verantwortlich. Dazu senden alle beteiligten Switche Bridge Protocol Data Units (BPDU) aus, lernen so das Netzwerk kennen und legen die aktiven Wege fest. Als Radia Perlman das Protokoll entwickelte, war die Welt noch in Ordnung. Niemand dachte an Angriffe auf Netzwerke und Malware. Daher verfügt Spanning Tree auch nicht über eine Authentifizierung oder einen Schutz gegen Spoofing.

Das komplette Deaktivieren von Spanning Tree ist keine gute Idee. Loops durch falsch gesteckte Kabel können dann das gesamte Netzwerk stören. Cisco hat seinen Switches aber ein paar interessante Features zur Einrichtung von Spanning Tree spendiert.

BPDU-Guard deaktiviert die Switchports mit den roten Kabeln

BPDU Guard

Mit BPDU-Guard wird ein Switchport deaktiviert, sobald der Port eine BPDU empfängt. BPDU-Guard eignet sich für alle Edge-Ports eines Switches die für PCs, Netzwerkdrucker und VoIP-Telefone vorgesehen sind.

BPDU-Guard schützt vor falschen Patchungen, unberechtigt installierten Switches (mit STP) und Angreifern mit Tools wie ettercap und Yersinia. Mit BPDU-Filter lassen sich alle BPDUs auf einem Interface filtern.

Portfast

Im Normalfall durchläuft ein Switchport beim Aktivieren die Phasen des Spanning Tree Protokolls: Blocking, Listening, Learning und Forwarding. Dadurch dauert es etwa 30 Sekunden bis der Port Nutzdaten transportiert. Das kann zu Problemen mit DHCP führen. Oft bekommen PCs keine IP-Adresse vom DHCP-Server und ziehen sich eine Adresse via Auto-IP (169.254.nnn.nnn). Mit Portfast wechselt der Port von Blocking direkt zu Forwarding.

BPDU Guard einrichten

BPDU-Guard kann gezielt pro Interface aktiviert werden. Die folgende Konfiguration schaltet BPDU-Guard auf FastEthernet 0/1 an. 

interface FastEthernet0/1
 spanning-tree bpduguard enable

Der Admin kann BPDU-Guard auch global auf allen Ports mit Portfast einschalten: 

spanning-tree portfast bpduguard default

interface FastEthernet0/1
 spanning-tree portfast

BPDU Guard in Aktion

Bei aktiviertem BPDU-Guard wird ein Port beim Empfang einer Spanning Tree BPDU sofort deaktiviert (err-disable). 

00:26:38: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.
00:26:38: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state
00:26:38: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

network lab Empfehlung

BPDU Guard und Portfast sollten auf allen Edge-Ports aktiviert werden. Den Bpdufilter zu aktivieren, macht nur in Spezialfällen Sinn. 

interface FastEthernet0/1
 spanning-tree portfast
 spanning-tree bpduguard enable

 

Inhalt

  1. Grundlagen
  2. Spanning Tree / BPDU-Guard
  3. Cisco Discovery Protocol (CDP)
  4. Trunking DTP / ISL / dot1q
  5. DHCP Snooping
  6. Dynamic ARP Inspection (DAI)
  7. Storm Control
  8. Port Security
  9. Beispielkonfigurationen

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012