局域全配置：禁用控制平面协议.pdfVIP

局域网安全2008

DisablingControlneProtocols

作者:现任明教教主

Email:cisco@

SecurityCCIE#13778

在不使用控制平面协议的情况下配置

交换机

•第2层处理。交换机必须处理并响应生成树协议(STP)，链路聚合控制协议(LACP)，端

口抢占协议(PAgP)，IEEE802.1X，Cisco发现协议(CDP)，动态中继协议(DTP)，

VLAN中继协议(VTP)，以及保持活动数据包。

•互联网控制消息协议(ICMP)。ICMP数据包必须被处理，不仅是为了响应ping请求（这

是ping命令发送的ICMP回显请求），还用于向主机发送信号，例如ICMP目标不可达、

ICMP重定向、ICMP超时等。

•第3层处理。如果交换机是第3层域的一部分，并在VLAN之间进行路由，则通常需

要处理来自邻居的路由更新。此外，带有IP选项的数据包和在交换机上过期的数据包

（TTL=1）需要特殊处理。地址解析协议(ARP)也属于这一类。

•管理流量。通常，管理平面和控制平面之间没有，导致管理平面数据包通

过控制平面传输。这包括Telnet、SecureShell(SSH)、简单网络管理协议

(SNMP)和接层(SSL)数据包。

ConfiguringSwitches

WithoutControlneProtocols

•L2processing.AswitchmustprocessandrespondtoSpanningTreeProtocol(STP),

LinkAggreionControlProtocol(LACP),PortAggressionProtocol(PAgP),IEEE

802.1X,CiscoDiscoveryProtocol(CDP),DynamicTrunkingProtocol(DTP),VLAN

TrunkingProtocol(VTP),andkeepalivepackets.

•InternetControlMessageProtocol(ICMP).ICMPpacketsmustbeprocessed,not

onlyforrespondingtopings(thisisthepingcommandsendinganICMPecho

request),buttosendsignalstoahost,suchasICMPDestinationUnreachable,ICMP

Redirect,ICMPTimeExceeded,andsoon.

•L3processing.IfaswitchispartofaLayer3domainandperformsroutingween

VLANs,itwillusuallyhavetoprocessroutingupdatesfromitsneighbors.Also,

packetswithIPoptionsandpackets,whic