Root Guard، Port Guard و BPDU Guard همگی ابزارهای امنیتی در شبکههای سیسکو هستند.
1. Root Guard:
این قابلیت به جلوگیری از تغییر Bridge Root در یک سوئیچ کمک میکند. این دستگاهها معمولاً برای تضمین ایمنی و پایداری در توپولوژی سرویس مورد استفاده قرار میگیرند.
دستورات:
```
Switch(config)# spanning-tree vlan <VLAN_ID> guard root
```
2. Port Guard:
Port Guard اجازه دسترسی به شبکه را توسط دستگاههای مشخص را محدود میکند. این قابلیت معمولاً بر روی پورتهایی که به سوئیچ متصل میشوند فعال میشود.
دستورات:
```
Switch(config)# interface <interface_type> <interface_number>
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation restrict
```
3. BPDU Guard:
این قابلیت جلوی ارسال و دریافت Bridge Protocol Data Units (BPDU) را بر روی یک پورت میگیرد. این جلوگیری از تشخیص تغییرات غیرمجاز در توپولوژی شبکه کمک میکند.
دستورات:
```
Switch(config)# interface <interface_type> <interface_number>
Switch(config-if)# spanning-tree bpduguard enable
```
مثال:
```plaintext
Switch(config)# spanning-tree vlan 10 root guard
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation restrict
Switch(config)# interface GigabitEthernet0/2
Switch(config-if)# spanning-tree bpduguard enable
```
در این مثال، Root Guard بر روی VLAN 10 فعال شده است، Port Guard بر روی پورت GigabitEthernet0/1 پیکربندی شده است و BPDU Guard بر روی پورت GigabitEthernet0/2 فعال شده است.
1. Root Guard:
استفاده:
برای جلوگیری از تغییر Bridge Root در یک توپولوژی STP.
توضیح تکمیلی:
وقتی یک پورت Root Guard را دارد و از سوئیچ دیگری به عنوان Bridge Root دریافت میکند، پورت به حالت Root-Inconsistent در میآید و غیرفعال میشود.
2. Port Guard:
استفاده:
برای محدود کردن دسترسی به شبکه بر روی پورتهای خاص. توضیح تکمیلی:
در صورتی که تعداد دستگاههای مجاز تعیین شده بر روی پورت را تجاوز کند، پورت در وضعیت Violation میافتد و اقدامات امنیتی اجرا میشود.
3. BPDU Guard:
استفاده:
برای جلوگیری از ارسال یا دریافت BPDU از پورت. توضیح تکمیلی:
وقتی پورت BPDU Guard فعال است و BPDU دریافت کند، پورت به حالت Errdisable منتقل میشود و ارتباط قطع میشود.
با این ابزارها، سیسکو اجازه میدهد تا شبکهها به صورت امنتر و پایدارتر مدیریت شوند و از وقوع مشکلاتی مانند حلقهها یا تغییرات غیرمجاز در توپولوژی جلوگیری شود.
UDLD (Unidirectional Link Detection):
UDLD برای تشخیص لینکهایی که در یک جهت فقط فعال هستند، استفاده میشود. این کمک میکند تا از مشکلات احتمالی در لینکها پیشگیری شود.
```
Switch(config)# udld enable
```
Aggressive Mode in UDLD:
حالت Aggressive در UDLD باعث افزایش حساسیت به مشکلات لینک میشود و اگر حتی یک BPDU دریافت نشود، لینک را در وضعیت errdisable قرار میدهد.
```
Switch(config)# udld aggressive
```
Interval in UDLD:
UDLD به طور دورهای BPDUها را چک میکند. این فاصله زمانی را مشخص میکند.
```
Switch(config)# udld message time <interval_in_seconds>
```
Root Guard Prerequisites:
برای تنظیم Root Guard، باید موارد زیر فراهم باشند:
1. تنظیمات STP (Spanning Tree Protocol) فعال باشد.
2. باید در یک VLAN خاص (با دستور `spanning-tree vlan <VLAN_ID> guard root`) فعال شود.
3. حداقل یک دستگاه در شبکه باید به عنوان Bridge Root تنظیم شده باشد.
4. پورتی که Root Guard بر روی آن فعال میشود، باید به سوئیچ متصل باشد و در حالت آپلینک (Trunk) نباشد.
حالت PortFast برای پورتهایی که به دستگاههای انتهایی (مثل کامپیوترها یا گرههای شبکه) متصل هستند، به کار میرود تا زمان Convergence در STP را کاهش دهد. تنظیمات PortFast به صورت زیر است:
1. برای فعال کردن PortFast روی یک پورت:
```
Switch(config)# interface <interface_type> <interface_number>
Switch(config-if)# spanning-tree portfast
```
2. برای فعال کردن PortFast برای تمام پورتهای یک VLAN خاص:
```
Switch(config)# spanning-tree vlan <VLAN_ID> portfast default
```
3. برای فعال کردن پشتیبانی از BPDU Guard با PortFast:
```
Switch(config)# spanning-tree portfast bpduguard default
```
توجه داشته باشید که PortFast باید فقط بر روی پورتهایی فعال شود که به دستگاههای انتهایی متصل هستند و به عنوان یک نکته امنیتی، BPDU Guard نیز میتواند باعث جلوگیری از احتمال اتصال دستگاههای سوئیچ نشده شود.
Root Guard در سوئیچهای سیسکو به منظور جلوگیری از انتخاب نادرست ریشه (Root) توسط سوئیچهای دیگر در STP (Spanning Tree Protocol) استفاده میشود. Port Guard جلوی اتصال دستگاههای ناشناخته به پورت سوئیچ را میگیرد. BPDU Guard از ارسال یا دریافت پیامهای BPDU (Bridge Protocol Data Unit) توسط پورت جلوگیری میکند.
PortFast برای سرعت بخشیدن به فرآیند Forwarding در پورتهای غیرریشه STP مورد استفاده قرار میگیرد. UDLD یا UniDirectional Link Detection برای شناسایی لینکهای یکطرفه استفاده میشود. Aggressive و Interval نیز مربوط به پارامترهای UDLD هستند.
برای موارد ای از پروتوکلهای مختلف، به عنوان مثال، Aggressive در UDLD نشاندهنده تنظیمات حالت تشدید شده UDLD است. در کل، این تنظیمات در سوئیچها برای بهینهسازی و افزایش امنیت شبکه استفاده میشوند.
Convergence در شبکه به فرآیند سریع تغییرات درپروتکلهای مسیریابی یا سایر متدهای شبکه اطلاق میشود تا شبکه بتواند به سرعت به وضعیت استاندارد خود باز گردد. این فرآیند به حداقل رساندن زمانی که سوئیچ یا مسیریاب برای تطابق با تغییرات در شبکه نیاز دارد، میپردازد.
Errdisable به وضعیتی اطلاق میشود که یک پورت به دلیل خطا یا مشکلاتی همچون برخورد یا از دست رفتن اتصال به حالت غیرفعال (disable) در میآید. این وضعیت برای جلوگیری از احتمال تأثیرات منفی خطایی بر روی شبکه به کار میرود.
ترمینولوژیهای دیگر ممکن است شامل مواردی مانند Loop Guard (برای جلوگیری از ایجاد حلقه در سیستم STP)، BPDU Filter (فیلتر کردن پیامهای BPDU)، و SPAN (Switched Port Analyzer برای مانیتور کردن ترافیک) باشد. این ابزارها به مدیران شبکه کمک میکنند تا شبکه را بهبود بخشند و مشکلات را ایجاد کرده یا رفع کنند.
Loop Guard در سیستم STP به منظور جلوگیری از ایجاد حلقههای بینهایت در توپولوژی شبکه استفاده میشود. BPDU Filter از فیلتر کردن یا حذف پیامهای BPDU جلوگیری میکند که میتواند برای مسائل مربوط به STP به کار رود. SPAN (Switched Port Analyzer) ابزاری است که برای مانیتور کردن ترافیک در یک یا چند پورت سوئیچ به منظور تشخیص و رفع مشکلات شبکه استفاده میشود. این ابزارها به مدیران شبکه این امکان را میدهند که بهبودهای لازم را انجام دهند و مشکلاتی که ممکن است در عملکرد شبکه ایجاد یا رخ دهند را تشخیص دهند و رفع کنند.