一.針對生成樹的***
1. 如上圖,對於接入層交換機,作爲網管會做的就是portfast !但是你是否會想到對自己的介入端口是否確定是PC機呢?這時間一些***者往往會利用你的這種想法,attacker會利用這個漏洞,用一臺交換機或是一臺hub,接到接入層交換機的兩個端口上,這中做法必定帶來廣播風暴,形成一個網絡環路,作爲網管員的你應該不想看到吧。
解決辦法:在介入層交換機上打,spanning-tree bpduguard enable
此時,當這個端口收到BPDU後就回進入ERRDISABLE狀態,從而避免了環路!
所以介入層交換機上要做的就是:PORTFAST AND BPDU GUARD
2. 類似與上種情況,但是這次冒充接入層PC機的還是一臺交換機,這次的目的不是爲了網絡環路,這次它扮演的角色是STP中的SERVER 模式,在這中模式下,我想ATTACKERS還是可以完成很多非法事情的!
解決辦法:spanning-tree bpdufilter default !
3.同樣是發生在接入層,對於新加入來的一臺PC機,我們通常爲它考慮的事情就是 防倒灌!同時還有一些