BpduFilter - BpduGuard Nedir ?
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Konuyu Cevapla
Toplam 2 Sayfadan 1. Sayfa 12 SonuncuSonuncu
Toplam 13 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Like Tree6Likes
BpduFilter - BpduGuard Nedir ?

BpduFilter ve BpduGuard ___________________ BPDU Stp ortamında Root Olan Bridge ( Switch ) tarafından her iki saniyde STP ortamına salınan PDU dur. -> Bunun sayesinde herkes portlarını belirler. -> Bunun

  1. #1
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart BpduFilter - BpduGuard Nedir ?

    BpduFilter ve BpduGuard
    ___________________


    BPDU

    Stp ortamında Root Olan Bridge ( Switch ) tarafından
    her iki saniyde STP ortamına salınan PDU dur.


    -> Bunun sayesinde herkes portlarını belirler.
    -> Bunun sayesinde herkes Root un kim oldugunu bilir.
    -> Bunun sayesinde topology de degişiklik oldugunu diger kişilere söylenir.
    -> Bunun sayesinde LOOP bulunup engellenir.


    Vesselam BPDU

    STP içinde akan KAn gibidir...


    Biraz açalım :

    Root Switch BPDU yu her 2 saniyede gönderir ( STP De )

    Bunu alanlar ise BDPU içindeki kendine ait kısmı değiştirip

    Diger arkadaşlarına yolllar.

    STP ortamında PORT Rolleri belirlemiştik CCNA de hatırlarsak.

    Bunlardan birisi Root PORT diger Designated Port idi.

    BUnlar neden Var?

    Gerçek datanın akışı için değil tabiki

    Root Port dan BPDU Alırız.
    DEsignated Port dan BPDU göndeririz.



    Onun için Root Switchin Tüm portları DESignated dır.

    BPDU Akışı böyle olur.

    Yalnız bir şey daha var.

    Switch lerin PC lere bakan POrtları DA DESIGNATED PORT dur !

    Bu kötü işte.

    Yani PC lere gereksiz BPDU göndeririz...

    SHOW SPAN INTER FA0X DETAIL -> yaparsanız

    SENT BPDU kısmının sürekli arttıgını görürürüz.

    Yada PC de Wireshkark çalıştırın. BPDU ları görün.

    Hatta bunu cidden yapın. BPDU nun yapısını incelemiş olursunuz


    BU iyi bir şey değil.
    Yani PC ye BPDU göndermek gereksiz ve zararlı.

    Hele PC Den BPDU almak demek,
    PC de kötü amaçlı bir yazılım var demektir.
    Bu daha da kötüdür
    .

    Kişinin PC sinden BPDU aldıgımızı ve o PC nin ROOT BRIDGE oldugunu düşünün


    Bizim BPDU

    STP ortamı dışına çıkmasın ve ortam dışından içeri girmesin

    diye

    BPDUFILTER ve BPDUGUARD geliştirilmiştir...



    BpduFilter
    ============



    İki GÖREVİ VARDIR :

    a) BU PORTDAN BPDU GÖNDERME !
    b) VE EGER Bu PORTDAN BPDU ALIRSAN Ignore et ( Yani girmesini engelle )



    Bunu iki türlü enable edebiliriz.

    1-) Tüm Switch üzerinde ENABLE edebiliriz.

    CONF T
    SPANNING-TREE PORTFAST DEFAULT
    SPANNING-TREE PORTFAST BPDUFILTER DEFAULT

    Burda şu oldu:

    Portfast ın enable oldugu tüm portlarda BPDUFilter ENABLE oldu otomatik olarak.
    Bu koşullu bir BPDUFILTER eanble etme yöntemidir.
    Yani Eger PORT da Portfast enable ise BPDUFILTER enable olur.

    Eger Portfast disable olursa o da disable olur.

    sh span int fa0x detail ---> ile görebiliriz

    BDPU : SENT 2 , RECEIVED 0

    SENT - bu sayı artık artmaz. çünkü göndermez.
    RECEIVED - bu sayı artabilir. önemli degildir. nasıl olsa ignore edicez.



    2-) Bir Interface Altında



    CONF T
    INT FA0/23
    SPANNING-TREE BPDUFILTER ENABLE

    Burda ise PORTFAST şartı aranmadan BDPDUFILTER enable olur.


    Özetle :

    BPDUFILTER ın iki görevi vardır.

    1- Bu Portdan BPDU göndermez. Bu özellik çok iyi. Karşıda kötü niyetli PC olabilir
    2- Bu Portdan BPDU alınca içeri sokma . Buda iyi görünüyor.
    Mesela kötü niyetli PC mizden BPDU aldıgımızı düşünün.
    Onu içeri almıcak. Ama biz PC nin bize BPDU gönderdiğini nasıl bilicez.
    Öyle ya bir saldırı var. Ve haberimiz yok. Ya interface altındaki
    COUNT a bakıcaz. Yada SNMP ile falan ögrencez.

    BU ikinci özellikde iyi ama sanki biraz daha iyi olsaymış


    Burda devreye BPDUGUARD girer.


    BPDUGUARD
    ============



    Bunun bir görevi var sadece :

    - BU PORTDAN BPDU ALIRSAN PORTU KAPAT !!!

    Bu kadar. Sanki BPDUFILTER in ikinci Özelliğinin biraz daha
    gelişmişi gibi ..



    Yine iki türlü ENABLE olur.

    1 -) Tüm Switch üzerinde

    CONF T
    SPANNING-TREE PORTFAST DEFAULT
    SPANNING-TREE PORTFAST BPDUGUARD DEFAULT


    AYnı mantık.
    PORTFast ın enable olduğu her portta sende enable ol demektir.
    KOşulu budur.
    Peki POrtfast disable olursa ne olur ?

    BPDUFILTER gibi BPDUGUARD da Disable mı olur ?

    Yok bu sefer yemez.


    Bir portdan BPDU alırsanız hem POrtfast gider hemde PORTU kapatır
    BPDUGUARD !


    2 -) Interface üzerinde

    CONF T
    INT FA0/1
    SPANNING-TREE BPDUGUARD ENABLE


    Burda yine aynı mantık.
    Şart olarak POrtfast olmasına gerek yoktur.


    Not : PORTFAST nedir ve nasıl çalışır bilindiğini düşündüm.
    challanger, tcos and cheat like this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  2. #2
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,994

    Standart

    Hocam BPDU filter ikinci özellik kötü STP parçası olmadığı halde forwarding state'de olan bir port var . Burası ise loop riski yaratıyor...

    Bence portfast olmayan portlara BPDU filter uygulanmamalı...
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  3. #3
    shroud41 Guest

    Standart

    Blocking Mode'da da BPDU alındığını ekleyelim ki eğer bu BPDU kesilirse loopguard portu inconsistent'a çeker.

  4. #4
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart

    Aynen öyle.

    Zaten Blocking olan port kara deliktir BPDU için.

    Blocking mode kendine gelen BPDU yu alır ve kaybeder ortadan.

    Ve loop un engellendiği yerdir orası.



    Onun için Blocking Portun daimi BPDU alması gerekir.

    Peki Layer 1 bir sorun var ise ne olacak ?

    Blocking port Layer 1 sorundan dolayı BPDU alamaz ise ne olur ?

    Bu kötü işte . Çünkü Max Age kadar bekleyip Portu açar.

    Ve loop olur.

    Layer 1 Sorunlarından kaynaklanacak Loopların

    önüne geçmek içinde :


    iki tane teknoloji geliştirmişler

    LoopGuard
    UDLD



    bu ikilinin makalesini eklemek lazım
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  5. #5
    tcos isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Mar 2012
    Bulunduğu yer
    Heilbronn
    Mesajlar
    92

    Standart

    merhaba hocam,

    su linkte birde bpdufilter olan portun bpdu almasi durumunda Portfast özelliginin ve bpdufilter in kaybedilecegi yaziyor.

    Catalyst 3560 Switch Software Configuration Guide, Release 12.2(55)SE - Configuring Optional Spanning-Tree Features
    "If a BPDU is received on a Port Fast-enabled interface, the interface loses its Port Fast-operational status, and BPDU filtering is disabled."

    Budurumda, bpdufilter aktiflestirilmis bir porta herhangi bir bpdu gelse, switch de o portda herhangi bir switch oldugunu düsünüp, bpdu göndermeye basliyor. Bu sekilde olunca bence mantigi kalmiyor.
    Nasil anlamak gerek bu linkde yazani?

  6. #6
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart

    Merhaba

    Bu link de anlatılanı

    ki link bize şunu veriyor :

    Understanding BPDU Filtering

    The BPDU filtering feature can be globally enabled on the switch or can be enabled per interface, but the feature operates with some differences.

    At the global level, you can enable BPDU filtering on Port Fast-enabled interfaces by using the spanning-tree portfast bpdufilter default global configuration command. This command prevents interfaces that are in a Port Fast-operational state from sending or receiving BPDUs. The interfaces still send a few BPDUs at link-up before the switch begins to filter outbound BPDUs. You should globally enable BPDU filtering on a switch so that hosts connected to these interfaces do not receive BPDUs. If a BPDU is received on a Port Fast-enabled interface, the interface loses its Port Fast-operational status, and BPDU filtering is disabled.

    yukarda yazdığımız şekli ile anlayabiliriz :

    BpduFilter
    ============


    İki GÖREVİ VARDIR :

    a) BU PORTDAN BPDU GÖNDERME !
    b) VE EGER Bu PORTDAN BPDU ALIRSAN Ignore et ( Yani girmesini engelle )



    Bunu iki türlü enable edebiliriz.

    1-) Tüm Switch üzerinde ENABLE edebiliriz.

    CONF T
    SPANNING-TREE PORTFAST DEFAULT
    SPANNING-TREE PORTFAST BPDUFILTER DEFAULT

    Burda şu oldu:

    Portfast ın enable oldugu tüm portlarda BPDUFilter ENABLE oldu otomatik olarak.
    Bu koşullu bir BPDUFILTER eanble etme yöntemidir.
    Yani Eger PORT da Portfast enable ise BPDUFILTER enable olur.

    Eger Portfast disable olursa o da disable olur.

    sh span int fa0x detail ---> ile görebiliriz

    BDPU : SENT 2 , RECEIVED 0

    SENT - bu sayı artık artmaz. çünkü göndermez.
    RECEIVED - bu sayı artabilir. önemli degildir. nasıl olsa ignore edicez.



    2-) Bir Interface Altında



    CONF T
    INT FA0/23
    SPANNING-TREE BPDUFILTER ENABLE

    Burda ise PORTFAST şartı aranmadan BDPDUFILTER enable olur.


    Özetle :

    BPDUFILTER ın iki görevi vardır.

    1- Bu Portdan BPDU göndermez. Bu özellik çok iyi. Karşıda kötü niyetli PC olabilir
    2- Bu Portdan BPDU alınca içeri sokma . Buda iyi görünüyor.
    Mesela kötü niyetli PC mizden BPDU aldıgımızı düşünün.
    Onu içeri almıcak. Ama biz PC nin bize BPDU gönderdiğini nasıl bilicez.
    Öyle ya bir saldırı var. Ve haberimiz yok. Ya interface altındaki
    COUNT a bakıcaz. Yada SNMP ile falan ögrencez.



    BPDUFilter ın benim tek hoşuma giden yanı,

    BPDU göndermemesi .

    Onun dışında BPDUGUARD ise BPDU alınması halinde
    elbette daha güvenli önlemler alıyor.
    Access likes this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  7. #7
    tcos isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Mar 2012
    Bulunduğu yer
    Heilbronn
    Mesajlar
    92

    Standart

    Aklimi karistiran sadece su:

    -> b) VE EGER Bu PORTDAN BPDU ALIRSAN Ignore et ( Yani girmesini engelle )

    Anladigim kadariyla ama, BPDU gelirse ignore bir defalik ediyor, sonra Portfast kalkiyor, buna bagli olarak BPDU Filter de ortadan kalkiyor. Ve bizim switch BPDU göndermeye basliyor.
    Yani BPDUFilterin bu "gönderme" "alirsan ignore et" olayi, herhangi bir BPDU gelince sona eriyor.

    Sizin anlatimizdan ve önceki anladiklarimdan BPDUFilter in sürekli aktif olacagini düsünmüstüm, yani ben BPDUFilter i enable ediyorsam, bpdufilter i ben kendim tekrar kaldirana kadar, böyle kalir düsüncesindeydim.

    Eger bu sadece bir defalik, yada sadece ilk BPDU gelene kadar gecerli olan bir durumsa, ne isime yariyor?
    Göndermemesi olayi güzel ama, nasil olsa bir tane BPDU geldimi yine basliyor göndermeye...

    * Su anda Switch konfigure ediyorum ve sadece bpduguard aktiflestirdim (portfast olan portlarda). Guard ile en azindan port err-disabled oluyor.

    Alıntı MCyagli Nickli Üyeden Alıntı Mesajı göster
    Merhaba

    Bu link de anlatılanı

    ki link bize şunu veriyor :




    yukarda yazdığımız şekli ile anlayabiliriz :






    BPDUFilter ın benim tek hoşuma giden yanı,

    BPDU göndermemesi .

    Onun dışında BPDUGUARD ise BPDU alınması halinde
    elbette daha güvenli önlemler alıyor.
    Access likes this.

  8. #8
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart

    Makalenin devamında

    2-) Bir Interface Altında


    CONF T
    INT FA0/23
    SPANNING-TREE BPDUFILTER ENABLE

    Burda ise PORTFAST şartı aranmadan BDPDUFILTER enable olur.


    yazıyor.


    Bu yüzden BDPU alsa bile "GÖNDERMEMESi İPTAL OLUR" diye birşey yok çünkü şarta bağlı değil.


    GLOBAL olarak eable edilince ŞARTLI idi.

    Yani PORT FAST varsa ENable kalsın dedik.

    Eger PORT FAST giderse o da Disable olsun anlamına gelir.

    2. Secenekde ise Şart yok. Bir kere ENABLE et yeter.
    tcos likes this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  9. #9
    tcos isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Mar 2012
    Bulunduğu yer
    Heilbronn
    Mesajlar
    92

    Standart

    Alıntı MCyagli Nickli Üyeden Alıntı Mesajı göster
    Bu yüzden BDPU alsa bile "GÖNDERMEMESi İPTAL OLUR" diye birşey yok çünkü şarta bağlı değil.
    Ben bu durumdada iptal olacagini düsünüyordum fakat portfastla alakasi olmadigi icin olmuyor... simdi anladim :-)
    Tesekkürler.

  10. #10
    Access isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Feb 2013
    Mesajlar
    32

    Standart

    Merhaba,


    1 -) Tüm Switch üzerinde

    CONF T
    SPANNING-TREE PORTFAST DEFAULT
    SPANNING-TREE PORTFAST BPDUGUARD DEFAULT


    AYnı mantık.
    PORTFast ın enable olduğu her portta sende enable ol demektir.
    KOşulu budur.
    Peki POrtfast disable olursa ne olur ?

    BPDUFILTER gibi BPDUGUARD da Disable mı olur ?

    Yok bu sefer yemez.

    Bir portdan BPDU alırsanız hem POrtfast gider hemde PORTU kapatır
    BPDUGUARD !


    2 -) Interface üzerinde

    CONF T
    INT FA0/1
    SPANNING-TREE BPDUGUARD ENABLE


    Burda yine aynı mantık.
    Şart olarak POrtfast olmasına gerek yoktur.
    Hocam 1. durumda portfast enable ise bpduguard enable olsun demekse ;
    bu porta PC bağlandığında sıkıntı yok çalış , sw bağlanırsa portu kapat demek OK.

    2. durumda ( sadece SPANNING-TREE BPDUGUARD ENABLE) oldugunda ise yine ;
    bu porta PC bağlandığında sıkıntı yok çalış , sw bağlanırsa portu kapat.. anlamı çıkıyor.


    yani iki durumda da aynı etkiyi vermiş oluyorum. ancak birinci durumdaki gibi birde işin içine portfastı sokup kafa karıştırmaya ne gerek var?

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok