el 09-23-2021 04:10 PM
Hola
Todos sabemos sobre la prevención de BPDU salientes en los puertos de los usuarios utilizando el comando de filtro BPDU y, también sabemos cómo este comando deshabilita STP en aquellos puertos donde se aplica, dejando estos puertos sin seguridad contra ataques STP. Entonces, ¿cómo podemos restringir estos BPDUs salientes sin deshabilitar STP y comprometer la red fronteriza?
Saludos.
¡Resuelto! Ir a solución.
el 09-23-2021 04:11 PM
Hola
Tal como devils_advocate mencionó, puede configurar el filtro BPDU a nivel global utilizando el comando predeterminado bpdufilter portfast de árbol de expansión. En esta configuración, el filtro BPDU se aplica solo a los puertos habilitados para PortFast y hace que envíen 11 BPDU y luego dejen de hacerlo hasta que se reciba una BPDU en el puerto. Esta forma de activar el filtro BPDU no entra en conflicto con bpdu Guard y se puede usar simultáneamente: en ese caso, si un puerto recibió un BPDU, BPDU Guard lo deshabilitará erróneamente.
Cabe mencionar que la información que se "filtra" de las BPDUs es, en mi opinión, insignificante. Lo que puede aprender es la dirección MAC base del conmutador raíz y su prioridad, la dirección MAC base del conmutador más cercano y su prioridad, tal vez la VLAN en la que se encuentra, y eso es todo. ¿Ves personalmente alguna forma de hacer un mal uso de esa información?
Saludos
Pedro
el 09-23-2021 04:11 PM
Hola
Me temo que deshabilitar las BPDUs salientes no tendría sentido debido a las siguientes razones:
¿Por qué querrías deshabilitar las BPDUs salientes, de todos modos? La función de filtro BPDU tiene un propósito diferente: detener el envío de BPDU en puertos habilitados para PortFast donde solo los hosts finales están destinados a estar conectados porque en la mayoría de los casos, enviar BPDU en dichos puertos es una pérdida de esfuerzo, o deshabilitar efectivamente STP por puerto, lo que permite que la red se particione en dominios STP independientes (la interconexión sin bucles de estos dominios recae en la responsabilidad del administrador de la red, ya que STP no será capaz de salvarlo aquí).
Saludos
Pedro
el 09-23-2021 04:11 PM
Hola Pedro,
Mi objetivo es proteger STP usando BPDU Guard para BPDU entrantes y, al mismo tiempo, evitar fugas de información STP en los puertos host finales bloqueando bpDU salientes. Dado que la aplicación de ambos comandos no surte efecto, porque el filtro BPDU deshabilita el protector BPDU, me preguntaba cuál es la solución válida para esto.
Bien.
el 09-23-2021 04:11 PM
Si no desea filtrar información STP de cada puerto perimetral conectado al host, utilice BPDUFilter.
Seguirá deshabilitando el puerto si recibe una BPDU, pero tampoco enviará ninguno del puerto.
Tenga en cuenta que el uso de BPDUFilter aumenta el riesgo de un bucle STP.
Personalmente, prefiero enviar BPDUs a un puerto y "filtrar información STP" que arriesgarme a un bucle STP.
el 09-23-2021 04:11 PM
Hola
Tal como devils_advocate mencionó, puede configurar el filtro BPDU a nivel global utilizando el comando predeterminado bpdufilter portfast de árbol de expansión. En esta configuración, el filtro BPDU se aplica solo a los puertos habilitados para PortFast y hace que envíen 11 BPDU y luego dejen de hacerlo hasta que se reciba una BPDU en el puerto. Esta forma de activar el filtro BPDU no entra en conflicto con bpdu Guard y se puede usar simultáneamente: en ese caso, si un puerto recibió un BPDU, BPDU Guard lo deshabilitará erróneamente.
Cabe mencionar que la información que se "filtra" de las BPDUs es, en mi opinión, insignificante. Lo que puede aprender es la dirección MAC base del conmutador raíz y su prioridad, la dirección MAC base del conmutador más cercano y su prioridad, tal vez la VLAN en la que se encuentra, y eso es todo. ¿Ves personalmente alguna forma de hacer un mal uso de esa información?
Saludos
Pedro
el 09-23-2021 04:11 PM
Gracias Peter,
Esto es lo que estaba buscando. Lo probaré.
Bien.
el 09-23-2021 04:11 PM
La mejor manera de hacerlo es usar el filtro BPDU a nivel de interfaz en lugar de a nivel global.
Ignorará los fotogramas BPDU entrantes y detendrá el BPDU saliente. De esta manera, puede evitar fugas STP
el 09-23-2021 04:11 PM
¿A qué tipo de "ataques STP" se refiere?
BPDUFilter detendrá el puerto que envía BPDU y deshabilitará el puerto si recibe un BPDU.
BPDUGuard seguirá enviando BPDU's pero desactivará el puerto si recibe un BPDU.
La mayoría de las personas usan una combinación de Portfast y BPDUGuard en sus puertos de borde conectados al host.
También puede ir un paso más allá e implementar algunas otras características de seguridad como DHCP Snooping, ARP Inspection e IP Source Guard.
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad