8 de mayo de 2024

BPDU Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)


En redes capa 2 con diseño redundante la implementación de STP es clave para asegurar la estabilidad de la red. STP gestiona la redundancia previendo inconvenientes no deseados por un diseño deficiente.
Sin embargo, aún después de la implementación de STP, pueden generarse rutas subóptimas si el protocolo no cuenta con la protección adecuada contra varios formatos de ataque posibles en entornos STP. La falta de protección adecuada puede dejar la red expuesta a posibles ataques de man-in-the-middle así como a posibles bucles incluso con STP ejecutándose en los switches.

Hay que tener en cuenta que Spanning Tree no considera ningún mecanismo de autenticación o verificación del origen de los BPDUs que se emplean para el intercambio de información, como tampoco mecanismos de cifrado que protejan la información que se transporte. De ahí que, aprovechando las vulnerabilidades de STP, un atacante puede cambiar la topología activa de la red de modo tal que el tráfico circule por donde el atacante lo requiera de acuerdo a sus objetivos. Para esto no es necesario más que generar BPDUs con un bridge ID mejor para cambiar el switch raíz y con ello modificar toda la topología activa.
Estas situaciones pueden prevenirse utilizando mecanismos de protección como Root Guard. Este feature evita que un switch se convierta en switch raíz; para esto controla la posibilidad de que se adopten puertos raíz en los switches, diferentes de los que han sido planificados en el diseño. 
La función Root Guard es un mecanismo que permite controlar la ubicación del switch raíz en la red. Lo hace limitando los puertos de los switches no raíz que se pueden negociar como puerto raíz. .

BPDU Guard
Se trata de una función que se aplica asociada a Port Fast en las interfaces.
BPDU Guard permite preservar la topología activa de la red evitando que dispositivos intrusos conectados a puertos de un switch puedan impactar en la misma. Para esto, cuando el puerto del switch configurado con PortFast y asegurado con BPDU Guard recibe un BPDU, inmediatamente se bloquea pasando a estado de error.

Al colocarse el puerto que recibe la BPDU en error se genera un mensaje de evento:
2020 May 21 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 0/1 
2020 May 21 15:13:32 %PAGP-5-PORTFROMSTP:Port 0/1 left bridge port 0/1





Los manuales que publico podés adquirirlos en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.