Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
269
Apresentações
0
Útil
7
Respostas

Prevenindo bpdUs de saída sem filtro BPDU

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-23-2021 04:10 PM

Oi

Todos nós sabemos sobre a prevenção de bpdUs de saída nas portas dos usuários usando o comando filtro BPDU e, também sabemos como este comando desativa o STP naquela porta onde aplicado, deixando essas portas inseguras contra ataques STP. Então, como podemos restringir essas BPDUs de saída sem desativar o STP e comprometer a rede de fronteira?

Relação.

0 Útil
1 Soluções Aceita

Soluções aceites

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-23-2021 04:11 PM

Oi

Assim como devils_advocate mencionado, você pode configurar o filtro BPDU em nível global usando o comando padrão de bpdufilter portfast de árvore de abrangência. Nesta configuração, o Filtro BPDU aplica-se apenas às portas habilitadas para PortFast e faz com que enviem 11 BPDUs e, em seguida, parem de fazer isso até que um BPDU seja recebido na porta. Esta forma de ativar o Filtro BPDU não conflita com a Guarda BPDU e pode ser usada simultaneamente - nesse caso, se uma porta recebeu um BPDU, a Guarda BPDU irá desabilitá-la.

Deve-se mencionar que a informação de que "vazamentos" de BPDUs é, na minha opinião, insignificante. O que você pode aprender é o endereço MAC base do switch raiz e sua prioridade, o endereço MAC base do switch mais próximo e sua prioridade, talvez o VLAN em que você está - e isso é sobre ele. Você vê pessoalmente alguma maneira de usar indevidamente essa informação?

Atenciosamente
Pedro

Ver solução na publicação original

0 Útil
7 RESPOSTAS 7

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-23-2021 04:11 PM

Oi

Temo que a desativação das BPDUs de saída não faria sentido por causa das seguintes razões:

  • Se as BPDUs de saída forem inferiores às de entrada, a porta deixará de enviar BPDUs automaticamente. Este é o comportamento normal de STP - uma porta que recebe BPDUs superiores às suas próprias deixará de enviar seus próprios BPDUs porque ninguém está interessado neles.
  • Se as BPDUs de saída forem superiores às de entrada, então parar as BPDUs de saída faria com que o switch vizinho fizesse uma suposição errada de que é o único interruptor no link e fazer sua porta Designada encaminhamento, possivelmente criando um loop. Note que não seria suficiente enviar um par de BPDUs superiores e, em seguida, parar porque o interruptor vizinho teria esses BPDUs expirar depois de um tempo, e faria a mesma decisão errada como apenas descrito.

Por que você quer desativar bpdus de saída, de qualquer maneira? O recurso filtro BPDU tem um propósito diferente - parar de enviar BPDUs em portas habilitadas para PortFast, onde apenas hosts finais são destinados a serem conectados porque, na maioria dos casos, o envio de BPDUs nessas portas é um esforço ou efetivamente desativar o STP por porta, permitindo que a rede seja dividida em domínios STP independentes (a interconexão livre de loop desses domínios recai sobre a responsabilidade do administrador de rede como STP'won'won capaz de salvá-lo aqui).

Atenciosamente
Pedro

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-23-2021 04:11 PM

Olá Peter,

Meu objetivo é proteger o STP usando o BPDU Guard para bpdUs de entrada e, ao mesmo tempo, evitar o vazamento de informações de STP nas portas de host finais bloqueando bpdUs de saída. Como a aplicação de ambos os comandos não faz efeito, pois o Filtro BPDU desativa o protetor BPDU, estava me perguntando qual é a solução válida para isso.

Obrigada.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-23-2021 04:11 PM

Se você quiser não vazar informações de STP de cada porta de borda conectada host, use BPDUFilter.

Ele ainda vai desabilitar a porta se receber um BPDU, mas também não enviará nenhuma porta.

Tenha em mente que o uso do BPDUFilter aumenta o risco de um loop STP.

Pessoalmente, prefiro enviar BPDUs para fora de uma porta e 'vazar informações stp' do que arriscar um loop STP.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-23-2021 04:11 PM

Oi

Assim como devils_advocate mencionado, você pode configurar o filtro BPDU em nível global usando o comando padrão de bpdufilter portfast de árvore de abrangência. Nesta configuração, o Filtro BPDU aplica-se apenas às portas habilitadas para PortFast e faz com que enviem 11 BPDUs e, em seguida, parem de fazer isso até que um BPDU seja recebido na porta. Esta forma de ativar o Filtro BPDU não conflita com a Guarda BPDU e pode ser usada simultaneamente - nesse caso, se uma porta recebeu um BPDU, a Guarda BPDU irá desabilitá-la.

Deve-se mencionar que a informação de que "vazamentos" de BPDUs é, na minha opinião, insignificante. O que você pode aprender é o endereço MAC base do switch raiz e sua prioridade, o endereço MAC base do switch mais próximo e sua prioridade, talvez o VLAN em que você está - e isso é sobre ele. Você vê pessoalmente alguma maneira de usar indevidamente essa informação?

Atenciosamente
Pedro

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-23-2021 04:11 PM

Obrigado Peter,

Isto é o que eu estava procurando. Vou testá-lo.

Obrigada.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-23-2021 04:11 PM

A melhor maneira de fazer é usar o Filtro BPDU no nível de interface em vez de nível global..

Ele ignorará os quadros bpdu de entrada, bem como interromperá o BPDU de saída.. Desta forma, você pode evitar vazamentos de STP

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-23-2021 04:11 PM

A que tipo de "ataques stp" você está se referindo.

O BPDUFilter interromperá o envio de BPDU's da porta e desativará a porta se receber um BPDU.

O BPDUGuard ainda enviará bpdu's, mas desativará a porta se receber um BPDU.

A maioria das pessoas usa uma combinação de Portfast e BPDUGuard em suas portas de borda conectadas host.

Você também pode ir um passo além e implementar alguns outros recursos de segurança, como o DHCP Snooping, a Inspeção ARP e o IP Source Guard.

0 Útil

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Comunidade de FSO Documentos de Ajuda sobre a Comunidade Vídeo dos últimos eventos
Customers Also Viewed These Support Documents