Mis Libros de Networking: BPDU Filter

10 de mayo de 2024

BPDU Filter

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Mecanismo que previene el ingreso o envío de BPDUs en una interfaz específica sin remover su condición operativa de PortFast cuando en ese puerto se recibe una BPDU.

Es una herramienta importante para la seguridad de la red, un atacante podría enviar BPDUs maliciosos para intentar interrumpir el tráfico de red o tomar el control de la topología activa de la red. BPDU Filter puede ayudar a proteger la red de este tipo de ataques al filtrar los BPDUs en puertos que no debieran enviarlos o recibirlos por su rol en la red.

NOTA: BPDU Filter es un mecanismo que debe ser utilizado con cuidado ya que operativamente equivale a desactivar STP en el puerto y por lo tanto puede derivar en la generación de bucles.

Puede decirse que en cierta forma BPDU Filter funciona de manera similar a BPDU Guard ya que bloquea la recepción de BPDUs maliciosas. La diferencia entre ambos es que BPDU Guard colocará la interfaz en modo err-disable cuando recibe una BPDU mientras que BPDU Filter solo filtra. No genera un estado de error.

BPDU Filter se puede configurar globalmente o a nivel de la interfaz:

Configuración global:
Si se activa BPDU Filter globalmente, cualquier interfaz con PortFast habilitado no enviará ni recibirá ninguna BPDU.
Configuración en la interfaz:
Si se activa BPDU Filter a nivel de la interfaz, esa interfaz ignorará las BPDUs entrantes, y no enviará BPDUs. Es el equivalente a desactivar STP en esa interfaz.
Debiera utilizarse en interfaces de acceso destinadas a dar conectividad a dispositivos terminales; nunca en interfaces que conectan a otros switches.
En este caso el filtrado se efectúa siempre, independientemente del estado de PortFast.

Configuración

Para activar BPDU Filter en la interfaz:

Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#spanning-tree bpdufilter enable

La configuración global es más compleja. Cuando se configura a nivel global se aplica solo en las interfaces que están operando en modo PortFast, y filtra los BPDU que se reciben sin desactivar la operación de PortFast en ese puerto (sin BPDU Filter, si un puerto PortFast recibe una BPDU desactiva PortFast y pasa a operar como puerto STP regular y se bloquea).

Para configurar globalmente BPDU Filter:

Switch(config)#spanning-tree portfast bpdufilter default

Sintetizando

PortFast coloca inmediatamente el puerto en estado forwarding, pasando por alto los estados listening y learning.
Un puerto con PortFast habilitado continua enviando BPDUs.
Si se recibe un BPDU, PortFast se deshabilita y la interfaz pasa a comportarse como una interfaz STP regular.
El switch nunca genera un TCN cuando un puerto habilitado con PortFast cambia entre up o down.
Hay una diferencia importante entre estado administrativo (o lo configurado) y estado operacional. No debemos olvidarlo.
BPDU Guard y BPDU Filter en modo global son dependientes del estado operacional de PortFast.
BPDU Guard y BPDU Filter en modo interfaz es incondicional.
Un BPDU Filter mal configurado es mas peligroso que un PortFast mal configurado, aun así IOS no genera un mensaje de advertencia acerca de esto.
PortFast puede crear un loop temporal de máximo 2 segundos (intervalo por defecto del BPDU) hasta que el siguiente BPDU se recibe y el PortFast queda deshabilitado.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.

El Autor

Oscar Gerometta es Instructor desde 1999 y ha certificado como CCAI, CCSI y CCBF.
Ha capacitado a miles de técnicos y preparado para obtener sus certificaciones a cientos de ellos incluyendo CCNA R&S, CCNP R&S, CCDA, CCNAsec, CCNAwi, CCNPsec, CCNPwi. Es consultor, redactor y docente en diferentes áreas vinculadas a las TICs. Sus publicaciones incluyen la primer Guía de Preparación para el Examen de Certificación CCNA en español.

Se autoriza la reproducción de los materiales de este blog citando la fuente e incluyendo un enlace al mismo.

http://about.me/ogerometta