em 09-23-2021 04:10 PM
Oi
Todos nós sabemos sobre a prevenção de bpdUs de saída nas portas dos usuários usando o comando filtro BPDU e, também sabemos como este comando desativa o STP naquela porta onde aplicado, deixando essas portas inseguras contra ataques STP. Então, como podemos restringir essas BPDUs de saída sem desativar o STP e comprometer a rede de fronteira?
Relação.
Solucionado! Ir para a Solução.
em 09-23-2021 04:11 PM
Oi
Assim como devils_advocate mencionado, você pode configurar o filtro BPDU em nível global usando o comando padrão de bpdufilter portfast de árvore de abrangência. Nesta configuração, o Filtro BPDU aplica-se apenas às portas habilitadas para PortFast e faz com que enviem 11 BPDUs e, em seguida, parem de fazer isso até que um BPDU seja recebido na porta. Esta forma de ativar o Filtro BPDU não conflita com a Guarda BPDU e pode ser usada simultaneamente - nesse caso, se uma porta recebeu um BPDU, a Guarda BPDU irá desabilitá-la.
Deve-se mencionar que a informação de que "vazamentos" de BPDUs é, na minha opinião, insignificante. O que você pode aprender é o endereço MAC base do switch raiz e sua prioridade, o endereço MAC base do switch mais próximo e sua prioridade, talvez o VLAN em que você está - e isso é sobre ele. Você vê pessoalmente alguma maneira de usar indevidamente essa informação?
Atenciosamente
Pedro
em 09-23-2021 04:11 PM
Oi
Temo que a desativação das BPDUs de saída não faria sentido por causa das seguintes razões:
Por que você quer desativar bpdus de saída, de qualquer maneira? O recurso filtro BPDU tem um propósito diferente - parar de enviar BPDUs em portas habilitadas para PortFast, onde apenas hosts finais são destinados a serem conectados porque, na maioria dos casos, o envio de BPDUs nessas portas é um esforço ou efetivamente desativar o STP por porta, permitindo que a rede seja dividida em domínios STP independentes (a interconexão livre de loop desses domínios recai sobre a responsabilidade do administrador de rede como STP'won'won capaz de salvá-lo aqui).
Atenciosamente
Pedro
em 09-23-2021 04:11 PM
Olá Peter,
Meu objetivo é proteger o STP usando o BPDU Guard para bpdUs de entrada e, ao mesmo tempo, evitar o vazamento de informações de STP nas portas de host finais bloqueando bpdUs de saída. Como a aplicação de ambos os comandos não faz efeito, pois o Filtro BPDU desativa o protetor BPDU, estava me perguntando qual é a solução válida para isso.
Obrigada.
em 09-23-2021 04:11 PM
Se você quiser não vazar informações de STP de cada porta de borda conectada host, use BPDUFilter.
Ele ainda vai desabilitar a porta se receber um BPDU, mas também não enviará nenhuma porta.
Tenha em mente que o uso do BPDUFilter aumenta o risco de um loop STP.
Pessoalmente, prefiro enviar BPDUs para fora de uma porta e 'vazar informações stp' do que arriscar um loop STP.
em 09-23-2021 04:11 PM
Oi
Assim como devils_advocate mencionado, você pode configurar o filtro BPDU em nível global usando o comando padrão de bpdufilter portfast de árvore de abrangência. Nesta configuração, o Filtro BPDU aplica-se apenas às portas habilitadas para PortFast e faz com que enviem 11 BPDUs e, em seguida, parem de fazer isso até que um BPDU seja recebido na porta. Esta forma de ativar o Filtro BPDU não conflita com a Guarda BPDU e pode ser usada simultaneamente - nesse caso, se uma porta recebeu um BPDU, a Guarda BPDU irá desabilitá-la.
Deve-se mencionar que a informação de que "vazamentos" de BPDUs é, na minha opinião, insignificante. O que você pode aprender é o endereço MAC base do switch raiz e sua prioridade, o endereço MAC base do switch mais próximo e sua prioridade, talvez o VLAN em que você está - e isso é sobre ele. Você vê pessoalmente alguma maneira de usar indevidamente essa informação?
Atenciosamente
Pedro
em 09-23-2021 04:11 PM
Obrigado Peter,
Isto é o que eu estava procurando. Vou testá-lo.
Obrigada.
em 09-23-2021 04:11 PM
A melhor maneira de fazer é usar o Filtro BPDU no nível de interface em vez de nível global..
Ele ignorará os quadros bpdu de entrada, bem como interromperá o BPDU de saída.. Desta forma, você pode evitar vazamentos de STP
em 09-23-2021 04:11 PM
A que tipo de "ataques stp" você está se referindo.
O BPDUFilter interromperá o envio de BPDU's da porta e desativará a porta se receber um BPDU.
O BPDUGuard ainda enviará bpdu's, mas desativará a porta se receber um BPDU.
A maioria das pessoas usa uma combinação de Portfast e BPDUGuard em suas portas de borda conectadas host.
Você também pode ir um passo além e implementar alguns outros recursos de segurança, como o DHCP Snooping, a Inspeção ARP e o IP Source Guard.
Descubra e salve suas ideias favoritas. Volte para ver respostas de especialistas, passo a passo, tópicos recentes e muito mais.
Novo por aqui? Comece com estas dicas. Como usar a Comunidade Guia do novo membro
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: