![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
.jpg)
Cách ngăn chặn vòng lặp (loop) mạng bằng nhiều cơ chế khác nhau
Ngăn chặn vòng lặp (loop) mạng là một vấn đề quan trọng để duy trì sự ổn định và hiệu suất của hệ thống mạng. Vòng lặp mạng có thể xảy ra khi có nhiều đường dẫn giữa các thiết bị chuyển mạch (switch), gây ra broadcast storm, làm cho các gói tin không bao giờ kết thúc và làm tê liệt mạng. Dưới đây là các cơ chế khác nhau để ngăn chặn vòng lặp mạng và cách áp dụng chúng.
1. Spanning Tree Protocol (STP)
STP (Spanning Tree Protocol) là một giao thức cơ bản nhất để ngăn chặn vòng lặp trong các mạng Layer 2. Nó đảm bảo rằng chỉ một đường dẫn duy nhất hoạt động giữa bất kỳ cặp switch nào, đồng thời cung cấp tính năng dự phòng thông qua các đường dẫn dự phòng.
a. Cách hoạt động của STP
- STP phát hiện các vòng lặp và vô hiệu hóa các đường dẫn không cần thiết để loại bỏ vòng lặp, chỉ để lại một đường dẫn duy nhất giữa các switch.
- Bridge Protocol Data Units (BPDU): Các switch trao đổi BPDU để phát hiện topology mạng.
- Root Bridge: Một switch sẽ được chọn làm Root Bridge, và tất cả các switch khác sẽ tạo ra các đường dẫn tới Root Bridge.
- Blocking Ports: Các cổng không nằm trên đường dẫn ngắn nhất tới Root Bridge sẽ bị đặt ở trạng thái blocking, không cho phép lưu lượng đi qua để ngăn vòng lặp.
b. Cấu hình STP trên Cisco Switch
spanning-tree vlan 1
Lệnh trên kích hoạt STP cho VLAN 1.
c. Các phiên bản nâng cao của STP
-
Rapid Spanning Tree Protocol (RSTP): Là phiên bản cải tiến của STP, cho phép mạng hội tụ nhanh hơn (thời gian chuyển đổi trạng thái của cổng nhanh hơn).
spanning-tree mode rapid-pvst -
Per-VLAN Spanning Tree (PVST+): Cho phép mỗi VLAN có một topology STP riêng, tối ưu hóa lưu lượng.
2. Multiple Spanning Tree Protocol (MSTP)
MSTP là sự kết hợp giữa RSTP và PVST+, cho phép nhóm nhiều VLAN vào một instance STP duy nhất. Điều này giúp giảm số lượng instance STP cần quản lý, từ đó giảm tải trên switch và tăng khả năng mở rộng của mạng.
Cách cấu hình MSTP
spanning-tree mode mst
- Instance: Mỗi instance MST quản lý một nhóm VLAN, giúp giảm gánh nặng của việc chạy nhiều instance STP cho mỗi VLAN.
3. Loop Guard và Root Guard
Các tính năng bảo vệ STP như Loop Guard và Root Guard được thiết kế để tăng cường an ninh và đảm bảo STP hoạt động chính xác.
a. Loop Guard
Loop Guard ngăn chặn sự chuyển đổi của một cổng từ trạng thái blocking sang forwarding nếu nó ngừng nhận BPDU từ Root Bridge. Điều này giúp ngăn chặn các vòng lặp khi có sự cố với BPDU.
spanning-tree guard loop
b. Root Guard
Root Guard ngăn chặn một cổng không mong muốn trở thành Root Bridge bằng cách khóa cổng đó nếu nhận BPDU từ một switch khác có thể gây ra vòng lặp.
spanning-tree guard root
4. BPDU Guard và BPDU Filter
a. BPDU Guard
BPDU Guard vô hiệu hóa một cổng ngay lập tức nếu nó nhận được BPDU trên cổng đó. Điều này rất hữu ích khi bạn muốn bảo vệ các cổng access không tham gia vào STP, như cổng kết nối với các thiết bị đầu cuối.
spanning-tree bpduguard enabl
b. BPDU Filter
BPDU Filter ngăn cổng gửi hoặc nhận BPDU, loại bỏ khả năng tham gia của cổng đó vào quá trình trao đổi BPDU. Tuy nhiên, điều này cần sử dụng cẩn thận vì có thể gây ra vòng lặp nếu không được cấu hình đúng cách.
spanning-tree bpdufilter enable
5. PortFast
PortFast cho phép các cổng access chuyển ngay lập tức sang trạng thái forwarding, bỏ qua quá trình trao đổi BPDU thông thường của STP. PortFast thường được sử dụng cho các cổng kết nối với máy tính hoặc các thiết bị không cần phải tham gia vào STP, giúp giảm thời gian chờ đợi khi thiết bị kết nối.
Cấu hình PortFast
spanning-tree portfast
Lệnh trên được cấu hình trên các cổng access để giảm thời gian khởi động mạng cho các thiết bị đầu cuối.
6. EtherChannel
EtherChannel tổng hợp nhiều liên kết vật lý thành một liên kết logic duy nhất. Điều này giúp tăng băng thông và đồng thời cung cấp khả năng dự phòng. STP sẽ coi một nhóm EtherChannel như một liên kết đơn, ngăn chặn vòng lặp khi có nhiều liên kết giữa các switch.
Cấu hình EtherChannel với LACP
interface range fastethernet 0/1-4
channel-group 1 mode active
7. Flex Links
Flex Links là một giải pháp thay thế cho STP, đặc biệt là trong các mạng đơn giản. Flex Links là cơ chế chuyển đổi dự phòng giữa hai cổng. Nếu một cổng chính bị lỗi, cổng dự phòng sẽ được kích hoạt ngay lập tức.
Cấu hình Flex Links
interface fastethernet 0/1
switchport backup interface fastethernet 0/2
8. Disabling Unused Ports (Tắt cổng không sử dụng)
Việc tắt các cổng không sử dụng trên switch là một biện pháp đơn giản nhưng hiệu quả để ngăn chặn vòng lặp và tăng cường bảo mật.
Tắt cổng không sử dụng
interface fastethernet 0/24
shutdown
9. Private VLAN Edge (PVLAN Edge)
Private VLAN Edge (PVLAN Edge) là một tính năng bảo mật, cho phép hạn chế lưu lượng giữa các cổng trong cùng một VLAN, ngăn chặn vòng lặp và các cuộc tấn công nội bộ.
Cấu hình PVLAN Edge
switchport protected
Kết luận
Có nhiều cơ chế để ngăn chặn vòng lặp mạng, từ các giao thức tiêu chuẩn như STP và RSTP, cho đến các tính năng bảo mật như Loop Guard, Root Guard và BPDU Guard. Việc chọn lựa và áp dụng các cơ chế phù hợp phụ thuộc vào kiến trúc mạng của bạn và các yêu cầu về tính sẵn sàng và bảo mật.
Cảm xúc của bạn?
