Contents

STP 보호 기술 (5가지)

   Feb 23, 2023     3 min read

STP 보호 기술

  • BPDU Guard - 포트를 통해서 BPDU를 수신했을 때 해당 포트를 자동으로 shutdown 시키는 기능
  • BPDU Filter - 특정 포트로 BPDU를 보내거나 받지 않게 하는 기능
  • Root Guard - 특정 포트에 접속된 네트워크에 있는 스위치들은 루트 스위치가 될 수 없도록 하는 기능
  • Loop Guard - 차단 상태에 있는 포트가 상대 포트에서 BPDU를 받지 못했을 때 전송상태로 변경되는 것을 방지하는 기능
  • UDLD(UniDirectional Link Detection) - 스위치간에 단방향 링크가 생겼을 때 해당 포트를 shutdown시키는 기능

기본 구성

사진첨부

BPDU Guard

-BPDU 프레임을 수신 받으면 수신 받은 해당 포트를 자동으로 다운 시키는 기능으로 종단 장치가 접속된 포트에 설정한다. 일반적으로 종단 장치에서 BPDU 프레임을 수신했다는 의미는 누군가 악의적인 목적으로 접근을 시도했을 가능성이 많다.


실습 01

Switch 2)

interface g0/1
spanning-tree bpduguard enable



결과)

Switch 2에서 Gi0/2에 BPDU Guard 설정을 해도 Switch 3에 아무런 변화가 생기지 않는다. Swich 3의 Gi0/1는 Blocing 되어 있기 때문에 BPDU를 수신만 할 뿐, 송신하지 않는다.


실습 02

Switch 3)

interface g0/1
spanning-tree bpduguard enable



결과)

사진첨부
Swich 3의 Gi0/1 포트가 down 됐다는 알림이 뜬다.

사진첨부
역시 down 됐다.


실습 03

Switch 3)

interface g0/1
spanning-tree bpduguard disable



결과)

사진첨부
보안에 의해 계속 down 되어 있다.

포트 활성화 - 실습 04

Switch 3)

interface Gi0/1
shutdown
no shutdown




사진첨부
shutdown을 꼭 한 번 해 준 다음에 no shutdown을 해줘야 한다.

포트 활성화 - 실습 05

Switch 3)

interface g0/1
spanning-tree bpduguard enable



스위치2, 스위치3 - disable > shutdown > no shutdown
스위치 2 - g0/2) enable
스위치 2 - show spanning-tree DP인지 확인
스위치 3 - 풀어주는 명령어
스위치 3 - enable > down됨 > 120초 뒤 자동으로 no shutdown됨


Switch 3)

errdisable recovery cause bpduguard
errdisable recovery interval 120 (기본 300초)

interface Gi0/1
spanning-tree bpduguard enable

show ip int brief




사진첨부
120초가 지나면

사진첨부
자동으로 no shutdown이 된다.


BPDU Filtering

  • 특정 포트로 BPDU 프레임을 송신하지 못하게 하는 기능으로 Loop가 발생하지 않는 종단 장치가 접속된 포트에 설정하면 불필요한 부하를 방지할 수 있다. Loop가 발생할 수 있는 포트에 설정하면 BPDU 프레임을 받지 못해 STP가 동작이 안 되므로 Loop가 발생할 수 있어 주의해서 사용해야 한다.

기본 구성

사진첨부

실습 01

Switch 2)

interface Gi0/2
spanning-tree bpdufilter enable



Switch 3)

show spanning-tree



결과)

사진첨부

사진첨부

사진첨부
Switch 3의 Gi0/1 포트가 활성화가 되었다.

실습 02

Switch 2)

interface Gi0/2
spanning-tree bpdufilter disable



결과)

사진첨부
다시 막힌다.


Loop Guard

  • Blocking 상태의 포트가 상대 측에서 S/W 이유로 BPDU 프레임을 받지 못할 때 Forwarding 상태가 되는 것을 방지하여 Loop가 발생하는 것을 막는다. 물론 H/W 이유로 받지 못하면 정상적으로 Forwarding상태로 전환한다.

기본 구성

사진첨부

실습 01

Switch 3)

spanning-tree loopguard default



Switch 2)

interface Gi0/2
spanning bpdufilter enable



Switch 3)

show spanning-tree



결과)

사진첨부
Loop Guard를 확인할 수 있다.


UDLD

  • UniDirectional Link Detection

기본 구성

사진첨부

실습 01

Switch 2)

interface Gi0/2
udld port



Switch 3)

interface Gi0/1
udld port



결과)

Swtich 2, Switch 3의 포트가 Down 되어 사라진다.