Redes BPDU
Páginas: 10 (2288 palabras)
Publicado: 15 de septiembre de 2014
6.3.3 Configuración de BPDU Guard y Root Guard
Para mitigar la manipulación de STP, es necesario habilitar PortFast, root guard y
BPDU guard, los comandos de mejora de STP. Estas funciones aseguran la selección de
un puente raíz y hacen valer los límites del dominio STP.
PortFast
La función de spanning-tree PortFast causa que una interfaz configurada como un
puerto de acceso decapa 2 realice la transición del estado bloqueado (blocking) al
estado de reenvío (forwarding) en forma inmediata, pasando por alto los estados de
escucha (listening) y aprendizaje (learning). PortFast puede ser utilizado en puertos de
acceso de capa 2 para conectar una única estación de trabajo o servidor, para permitir a
dichos dispositivos conectarse a la red en forma inmediata, en lugar deesperar a que
finalice la convergencia de STP.
Debido a que el propósito de PortFast es minimizar el tiempo que los puertos de acceso
deben esperar hasta que la convergencia de STP, este modo sólo debe ser utilizado en
los puertos de acceso. Si se habilita PortFast en un puerto que se conecte con otro
switch, existe el riesgo de crear un bucle de spanning-tree.
Este comando configuraPortFast al mismo tiempo para todos los puertos no troncales.
Switch(config)# spanning-tree portfast default
Este comando configura PortFast en una interfaz.
Switch(config-if)# spanning-tree portfast
Este comando verifica que PortFast ha sido configurado en una interfaz.
Switch# show running-config interface FastEthernet 0/8
BPDU Guard
La función de STP BPDU Guard permitea los diseñadores de la red mantener
predecible a la topología de red activa. BPDU Guard es utilizada para proteger a la red
conmutada de posibles problemas causados por recibid BPDUs en puertos que no
deberían recibirlos. La recepción de BPDUs podría ser accidental o parte de un intento
no autorizado de agregar un switch a la red.
Si un puerto configurado con PortFast recibe un BPDU, STPpuede colocar dicho
puerto en modo deshabilitado, utilizando BPDU Guard.
BPDU Guard se implementa mejor sobre puertos de usuario, para prevenir las
extensiones de red clandestinas de un host atacante.
Utilice este comando para habilitar BPDU Guard en todos los puertos que tengan
habilitado
PortFast.
Switch(config)# spanning-tree portfast bpduguard default
Para ver informaciónsobre el estado de spanning tree, utilice el comando show
spanning-tree summary.
En este ejemplo, BDPU Guard está habilitado.
Switch# show spanning-tree summary
Root bridge for: VLAN0001, VLAN0004-VLAN1005
VLAN1013-VLAN1499, VLAN2001-VLAN4094
EtherChannel misconfiguration guard is enabled
Extended system ID is enabled
Portfast is enabled by default
PortFast BPDU Guard is enabledPortfast BPDU Filter is disabled by default
Loopguard is disabled by default
UplinkFast is disabled
BackboneFast is disabled
Pathcost method used is long
Otro comando útil para verificar la configuración de BPDU Guard es show spanningtree
summary totals.
Root Guard
La función Root Guard de los switches Cisco provee un método para asegurar la
selección de puentes raíz en la red.Root Guard limita los puertos del switch a través de
los cuales puede negociarse el puente raíz. Si un puerto habilitado con Root Guard
recibe BPDUs superiores a aquellos que envía el puente raíz actual, dicho puerto pasa a
un estado "root-inconsistent", efectivamente similar al estado de escucha (listening) de
STP, y no se reenvían más datos a través del mismo.
Debido a que un administradorpuede configurar la prioridad del puente a cero en forma
manual, Root Guard puede parecer innecesario. Configurar la prioridad de un switch a
cero no garantiza que el mismo será seleccionado como puente raíz, debido a que puede
existir otro switch con prioridad cero y una dirección MAC menor, y por lo tanto será
seleccionado como puente raíz.
Root Guard se implementa mejor en puertos...
Para mitigar la manipulación de STP, es necesario habilitar PortFast, root guard y
BPDU guard, los comandos de mejora de STP. Estas funciones aseguran la selección de
un puente raíz y hacen valer los límites del dominio STP.
PortFast
La función de spanning-tree PortFast causa que una interfaz configurada como un
puerto de acceso decapa 2 realice la transición del estado bloqueado (blocking) al
estado de reenvío (forwarding) en forma inmediata, pasando por alto los estados de
escucha (listening) y aprendizaje (learning). PortFast puede ser utilizado en puertos de
acceso de capa 2 para conectar una única estación de trabajo o servidor, para permitir a
dichos dispositivos conectarse a la red en forma inmediata, en lugar deesperar a que
finalice la convergencia de STP.
Debido a que el propósito de PortFast es minimizar el tiempo que los puertos de acceso
deben esperar hasta que la convergencia de STP, este modo sólo debe ser utilizado en
los puertos de acceso. Si se habilita PortFast en un puerto que se conecte con otro
switch, existe el riesgo de crear un bucle de spanning-tree.
Este comando configuraPortFast al mismo tiempo para todos los puertos no troncales.
Switch(config)# spanning-tree portfast default
Este comando configura PortFast en una interfaz.
Switch(config-if)# spanning-tree portfast
Este comando verifica que PortFast ha sido configurado en una interfaz.
Switch# show running-config interface FastEthernet 0/8
BPDU Guard
La función de STP BPDU Guard permitea los diseñadores de la red mantener
predecible a la topología de red activa. BPDU Guard es utilizada para proteger a la red
conmutada de posibles problemas causados por recibid BPDUs en puertos que no
deberían recibirlos. La recepción de BPDUs podría ser accidental o parte de un intento
no autorizado de agregar un switch a la red.
Si un puerto configurado con PortFast recibe un BPDU, STPpuede colocar dicho
puerto en modo deshabilitado, utilizando BPDU Guard.
BPDU Guard se implementa mejor sobre puertos de usuario, para prevenir las
extensiones de red clandestinas de un host atacante.
Utilice este comando para habilitar BPDU Guard en todos los puertos que tengan
habilitado
PortFast.
Switch(config)# spanning-tree portfast bpduguard default
Para ver informaciónsobre el estado de spanning tree, utilice el comando show
spanning-tree summary.
En este ejemplo, BDPU Guard está habilitado.
Switch# show spanning-tree summary
Root bridge for: VLAN0001, VLAN0004-VLAN1005
VLAN1013-VLAN1499, VLAN2001-VLAN4094
EtherChannel misconfiguration guard is enabled
Extended system ID is enabled
Portfast is enabled by default
PortFast BPDU Guard is enabledPortfast BPDU Filter is disabled by default
Loopguard is disabled by default
UplinkFast is disabled
BackboneFast is disabled
Pathcost method used is long
Otro comando útil para verificar la configuración de BPDU Guard es show spanningtree
summary totals.
Root Guard
La función Root Guard de los switches Cisco provee un método para asegurar la
selección de puentes raíz en la red.Root Guard limita los puertos del switch a través de
los cuales puede negociarse el puente raíz. Si un puerto habilitado con Root Guard
recibe BPDUs superiores a aquellos que envía el puente raíz actual, dicho puerto pasa a
un estado "root-inconsistent", efectivamente similar al estado de escucha (listening) de
STP, y no se reenvían más datos a través del mismo.
Debido a que un administradorpuede configurar la prioridad del puente a cero en forma
manual, Root Guard puede parecer innecesario. Configurar la prioridad de un switch a
cero no garantiza que el mismo será seleccionado como puente raíz, debido a que puede
existir otro switch con prioridad cero y una dirección MAC menor, y por lo tanto será
seleccionado como puente raíz.
Root Guard se implementa mejor en puertos...
Leer documento completo
Regístrate para leer el documento completo.