CCNA [LAB-06] Tìm hiểu và cấu hình bảo vệ STP, Port Security

MỤC LỤC :



Lab lần trước mình đã hướng dẫn các câu lệnh và cấu hình cơ bản của Router và SW. Và trong LAB này muốn sẽ tìm hiểu và hướng dẫn LAB về STP và Port Security nhé.

I. Giới Thiệu.


- Trong mạng doanh nghiệp, bảo vệ sự ổn định và an ninh của hệ thống là một ưu tiên hàng đầu. Spanning Tree Protocol (STP) và Port Security là hai kỹ thuật quan trọng giúp đảm bảo rằng mạng hoạt động một cách ổn định và an toàn, tránh các sự cố như vòng lặp mạng hoặc các cuộc tấn công dựa trên MAC address. Bài viết này sẽ hướng dẫn bạn cách cấu hình bảo vệ STP và Port Security trên các thiết bị mạng như Switch.

II.Bảo Vệ Spanning Tree Protocol (STP).


1. Các Cơ Chế Bảo Vệ STP

a. BPDU Guard
- Mục đích: BPDU Guard được sử dụng để bảo vệ các cổng edge (cổng kết nối trực tiếp đến các thiết bị đầu cuối như máy tính) khỏi việc nhận các BPDU không mong muốn. Khi BPDU Guard phát hiện một BPDU trên cổng edge, nó sẽ vô hiệu hóa cổng đó ngay lập tức để ngăn chặn việc hình thành các vòng lặp không mong muốn.​
- Cấu hình BPDU Guard:
- Switch(config)# interface fastEthernet 0/1​
- Switch(config-if)# spanning-tree bpduguard enable​
Click to expand...
b. Root Guard​
- Mục đích: Root Guard bảo vệ cây spanning hiện tại bằng cách ngăn cản các switch khác trở thành root bridge thông qua việc vô hiệu hóa các cổng nhận được BPDU có khả năng thay đổi root bridge hiện tại.​
- Cấu hình Root Guard:​
- Switch(config)# interface fastEthernet 0/1​
- Switch(config-if)# spanning-tree guard root​
Click to expand...
c. Loop Guard​
- Mục đích: Loop Guard ngăn chặn các vòng lặp trong mạng do mất BPDU bằng cách đưa các cổng vào trạng thái blocking nếu BPDU không được nhận trong khoảng thời gian quy định.​
- Cấu hình Loop Guard:​
- Switch(config)# spanning-tree loopguard default​
Click to expand...
d. UDLD (Unidirectional Link Detection)​
- Mục đích: UDLD giúp phát hiện và vô hiệu hóa các liên kết một chiều (unidirectional links), tránh việc hình thành các vòng lặp STP không mong muốn.​
- Cấu hình UDLD:​
- Switch(config)# interface gigabitEthernet 0/1​
- Switch(config-if)# udld port aggressive​
Click to expand...

III. Port Security.


- Port Security là một tính năng bảo mật trên Switch giúp ngăn chặn các cuộc tấn công dựa trên MAC address, chẳng hạn như MAC address spoofing và MAC address flooding. Tính năng này giới hạn số lượng MAC address hợp lệ có thể học trên một cổng, từ đó ngăn chặn các hành vi tấn công tiềm ẩn.​

- Cấu Hình Port Security

1. Kích Hoạt Port Security
Switch(config)# interface fastEthernet 0/1​
Switch(config-if)# switchport mode access​
Switch(config-if)# switchport port-security​
Switch(config-if)# switchport port-security maximum 2​
Click to expand...
2. Thiết Lập Hành Động Khi Vi Phạm​
- Có ba tùy chọn:​
+ Shutdown: Cổng sẽ bị vô hiệu hóa.​
+ Restrict: Ghi lại sự kiện vi phạm và giới hạn traffic từ MAC address vi phạm, nhưng không vô hiệu hóa cổng.​
+ Protect: Giới hạn traffic từ MAC address vi phạm mà không ghi lại sự kiện và không vô hiệu hóa cổng.​
Switch(config-if)# switchport port-security violation shutdown​
Click to expand...
3. Cấu Hình Địa Chỉ MAC​
- Học động các MAC address: Switch sẽ tự động học và ghi nhớ các MAC address.​
Switch(config-if)# switchport port-security mac-address sticky​
Click to expand...
- Cấu hình địa chỉ MAC tĩnh (thủ công): Bạn cũng có thể cấu hình địa chỉ MAC cụ thể trên một cổng.​
Switch(config-if)# switchport port-security mac-address 0011.2233.4455​
Click to expand...
4. Kiểm Tra Cấu Hình​
- Sau khi cấu hình, bạn có thể kiểm tra lại trạng thái của Port Security.​
Switch# show port-security interface fastEthernet 0/1​
Click to expand...
5. Xử Lý Khi Cổng Bị Vô Hiệu Hóa​
- Nếu cổng bị vô hiệu hóa do vi phạm Port Security, bạn cần kích hoạt lại cổng.​
Switch(config)# interface fastEthernet 0/1​
Switch(config-if)# shutdown​
Switch(config-if)# no shutdown​
Click to expand...

IV. LAB Thực Hành.


Cho bài LAB như sau :
1724058841672.png

1. Cấu hình tính năng Port-Security:
* SW1: E0/1: Cấu hình tĩnh cho phép chỉ 1 địa chỉ MAC được truy cập, phương thức xử lý vi phạm là shutdown.​
1724053059300.png
* SW2: E0/1: Cấu hình cho phép chỉ 1 địc chỉ MAC được truy cập và địa chỉ này được SW học tự động sticky;​
phương thức xử lý vi phạm là Restrict.​
1724053520291.png
2. BPDU Guard:
* Các user thuộc VLAN 10 không được phép kết nối các thiết bị có phát ra BPDU vào các Access-Port thuộc Vlan 10.​
1724053813055.png
* Cấu hình thêm để nếu sự vi phạm không còn diễn ra --> Port vi phạm sẽ được tự động mở lại sau 2 phút​
1724054107744.png
3. Root Guard:
* Các user thuộc VLAN 20 được phép kết nối thiết bị tập trung có phát ra BPDU vào các cổng cảu VLAN 20;​
tuy nhiên các thiết bị này không được phép chiếm quyền Root Switch của sơ đồ hiện hành.​
1724054610530.png

V. Kết luận.


- Bảo vệ mạng khỏi các sự cố và tấn công là một phần không thể thiếu trong quản lý mạng doanh nghiệp. Các cơ chế bảo vệ STP như BPDU Guard, Root Guard, Loop Guard, và UDLD giúp ngăn chặn các vòng lặp và duy trì tính ổn định của hệ thống. Trong khi đó, Port Security bảo vệ mạng khỏi các cuộc tấn công liên quan đến MAC address, giúp kiểm soát và giới hạn truy cập vào mạng một cách hiệu quả. Việc hiểu và áp dụng đúng các cơ chế này sẽ giúp bạn xây dựng một hệ thống mạng an toàn và ổn định.
 
Last edited:
Click to expand...
You must log in or register to reply here.

Similar Threads

vominhat
CCNA [LAB 06] Tìm hiểu và cấu hình Router, Routing, VLAN, IPv4
Replies
0
Views
48
vominhat
vominhat
H
CCNA [LAB 07] Tìm hiểu giao thức ngăn chặn Layer2 Loop (STP, RSTP, MSTP)
Replies
0
Views
39
HaiDang
H
Quoc Cuong
CCNA [LAB 07] Tìm hiểu và cấu hình định tuyến tĩnh, VLAN Routing
Replies
4
Views
287
Quoc Cuong
Quoc Cuong
ducminh
CCNA [LAB 06 & 07 ] Tìm hiểu và cấu hình IPv4 Address, định tuyến tĩnh, VLAN Routing & hoạt động của Router
Replies
0
Views
84
ducminh
ducminh
mmHmm
CCNA [LAB 06] Tìm hiểu và cấu hình định tuyến tĩnh, VLAN Routing
Replies
0
Views
67
mmHmm
mmHmm

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back