Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1663
Visitas
5
ÚTIL
7
Respuestas

Prevención de BPDU salientes sin filtro BPDU

Ir a solución
Translator
Community Manager
Community Manager

el ‎09-23-2021 04:10 PM

Hola

Todos sabemos sobre la prevención de BPDU salientes en los puertos de los usuarios utilizando el comando de filtro BPDU y, también sabemos cómo este comando deshabilita STP en aquellos puertos donde se aplica, dejando estos puertos sin seguridad contra ataques STP. Entonces, ¿cómo podemos restringir estos BPDUs salientes sin deshabilitar STP y comprometer la red fronteriza?

Saludos.

0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-23-2021 04:11 PM

Hola

Tal como devils_advocate mencionó, puede configurar el filtro BPDU a nivel global utilizando el comando predeterminado bpdufilter portfast de árbol de expansión. En esta configuración, el filtro BPDU se aplica solo a los puertos habilitados para PortFast y hace que envíen 11 BPDU y luego dejen de hacerlo hasta que se reciba una BPDU en el puerto. Esta forma de activar el filtro BPDU no entra en conflicto con bpdu Guard y se puede usar simultáneamente: en ese caso, si un puerto recibió un BPDU, BPDU Guard lo deshabilitará erróneamente.

Cabe mencionar que la información que se "filtra" de las BPDUs es, en mi opinión, insignificante. Lo que puede aprender es la dirección MAC base del conmutador raíz y su prioridad, la dirección MAC base del conmutador más cercano y su prioridad, tal vez la VLAN en la que se encuentra, y eso es todo. ¿Ves personalmente alguna forma de hacer un mal uso de esa información?

Saludos
Pedro

Ver la solución en mensaje original publicado

7 RESPUESTAS 7

Ir a solución
Translator
Community Manager
Community Manager

el ‎09-23-2021 04:11 PM

Hola

Me temo que deshabilitar las BPDUs salientes no tendría sentido debido a las siguientes razones:

  • Si las BPDUs salientes son inferiores a las entrantes, el puerto dejará de enviar BPDUs automáticamente. Este es un comportamiento STP normal: un puerto que recibe BPDUs superior al suyo dejará de enviar sus propios BPDUs porque nadie está interesado en ellos.
  • Si las BPDUs salientes son superiores a las entrantes, entonces detener las BPDUs salientes haría que el switch vecino hiciera una suposición errónea de que es el único switch en el enlace y hiciera que su puerto designe el reenvío, creando así posiblemente un bucle. Tenga en cuenta que no sería suficiente enviar un par de BPDU superiores y luego detenerse porque el conmutador vecino tendría estas BPDU caducadas después de un tiempo, y haría la misma decisión incorrecta que se acaba de describir.

¿Por qué querrías deshabilitar las BPDUs salientes, de todos modos? La función de filtro BPDU tiene un propósito diferente: detener el envío de BPDU en puertos habilitados para PortFast donde solo los hosts finales están destinados a estar conectados porque en la mayoría de los casos, enviar BPDU en dichos puertos es una pérdida de esfuerzo, o deshabilitar efectivamente STP por puerto, lo que permite que la red se particione en dominios STP independientes (la interconexión sin bucles de estos dominios recae en la responsabilidad del administrador de la red, ya que STP no será capaz de salvarlo aquí).

Saludos
Pedro

0 Útil

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-23-2021 04:11 PM

Hola Pedro,

Mi objetivo es proteger STP usando BPDU Guard para BPDU entrantes y, al mismo tiempo, evitar fugas de información STP en los puertos host finales bloqueando bpDU salientes. Dado que la aplicación de ambos comandos no surte efecto, porque el filtro BPDU deshabilita el protector BPDU, me preguntaba cuál es la solución válida para esto.

Bien.

0 Útil

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-23-2021 04:11 PM

Si no desea filtrar información STP de cada puerto perimetral conectado al host, utilice BPDUFilter.

Seguirá deshabilitando el puerto si recibe una BPDU, pero tampoco enviará ninguno del puerto.

Tenga en cuenta que el uso de BPDUFilter aumenta el riesgo de un bucle STP.

Personalmente, prefiero enviar BPDUs a un puerto y "filtrar información STP" que arriesgarme a un bucle STP.

0 Útil

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-23-2021 04:11 PM

Hola

Tal como devils_advocate mencionó, puede configurar el filtro BPDU a nivel global utilizando el comando predeterminado bpdufilter portfast de árbol de expansión. En esta configuración, el filtro BPDU se aplica solo a los puertos habilitados para PortFast y hace que envíen 11 BPDU y luego dejen de hacerlo hasta que se reciba una BPDU en el puerto. Esta forma de activar el filtro BPDU no entra en conflicto con bpdu Guard y se puede usar simultáneamente: en ese caso, si un puerto recibió un BPDU, BPDU Guard lo deshabilitará erróneamente.

Cabe mencionar que la información que se "filtra" de las BPDUs es, en mi opinión, insignificante. Lo que puede aprender es la dirección MAC base del conmutador raíz y su prioridad, la dirección MAC base del conmutador más cercano y su prioridad, tal vez la VLAN en la que se encuentra, y eso es todo. ¿Ves personalmente alguna forma de hacer un mal uso de esa información?

Saludos
Pedro

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-23-2021 04:11 PM

Gracias Peter,

Esto es lo que estaba buscando. Lo probaré.

Bien.

0 Útil

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-23-2021 04:11 PM

La mejor manera de hacerlo es usar el filtro BPDU a nivel de interfaz en lugar de a nivel global.

Ignorará los fotogramas BPDU entrantes y detendrá el BPDU saliente. De esta manera, puede evitar fugas STP

0 Útil

Ir a solución
Translator
Community Manager
Community Manager

el ‎09-23-2021 04:11 PM

¿A qué tipo de "ataques STP" se refiere?

BPDUFilter detendrá el puerto que envía BPDU y deshabilitará el puerto si recibe un BPDU.

BPDUGuard seguirá enviando BPDU's pero desactivará el puerto si recibe un BPDU.

La mayoría de las personas usan una combinación de Portfast y BPDUGuard en sus puertos de borde conectados al host.

También puede ir un paso más allá e implementar algunas otras características de seguridad como DHCP Snooping, ARP Inspection e IP Source Guard.

0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents