Protegendo o Spanning-Tree

O Protocolo Spanning-Tree possui algumas vulnerabilidades pela simplicidade de sua arquitetura, falta de mecanismos de autenticação, etc.

Imaginando que você configurou o Switch Core da Rede como Root com a prioridade 0 (zero) e outros Switches com prioridades inferiores ( vence a eleição o Switch com a prioridade com o menor valor) para estabilidade da rede, não impede que um novo Switch colocado na camada de acesso configurado erradamente com a prioridade 0 (zero) possa tomar o lugar do Switch Root, ocasionando toda a convergência da LAN para a topologia a partir do novo Switch Root.

Lembrando que em situações de empate na eleição do Switch Root, vence quem tiver o menor endereço MAC inserido no BPDU. Além do que, a eleição do Root para o Spanning-Tree está sujeita a substituição do Switch Raiz – por situações que envolvem desde falhas do Root até um equipamento com menor prioridade.

Programas como o Yersinia permitem a criação de “tráfego sintético” para ataques ao protocolo.

Há também cenários que envolvem a inserção de Switches não gerenciados e hubs por usuários que desejam prover mais pontos de rede em ambientes que deveriam ser controlados …

Segue abaixo alguns comandos que são bastante uteis em cenários para proteção do STP.

Hardening STP

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada na prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente

Interface GigabitEthernet 1/0/1
stp root-protection

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Quando uma porta alternativa parar de receber BPDU ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root – melhor caminho para o Switch Raiz – continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root

Interface GigabitEthernet 1/0/1
stp loop-protection

BPDU Guard + Edged-Port: A instalação de Switches em portas configuradas para hosts (edged-port) podem ocasionar pequenos Loops na rede devido a característica da interface. A configuração global do stp bpdu-protection permite o bloqueio da porta “edged” ao receber um BPDU (sendo mandatória a intervenção manual com o comando shutdown e undo shutdown para retorno da porta – após cessar o recebimento de BPDU’s). Caso queira o recovery automático configure o valor do shutdown-interval.

stp bpdu-protection
shutdown-interval 300

Interface GigabitEthernet 1/0/1
stp edged-port enable

Loopback Detection: Detecta se uma interface recebeu pacotes que ela mesma gerou, ocasionado provavelmente por Loop em hubs. Se o loop for detectado em uma interface a comunicação será bloqueada.

loopback-detection enable
loopback-detection interval-time 30

DLDP: Detecta falhas unidirecionais em links de fibra e/ou UTP cessando a comunicação da interface. Após a normalização do enlace o trafego a interface voltará a comunicar automaticamente.

dldp enable
Interface GigabitEthernet 1/0/1
dldp enable

4 thoughts on “Protegendo o Spanning-Tree

  1. Paulo Tostes 4 de março de 2015 / 18:23

    As configurações stp (alternate port, port root, etc) também sao aplicáveis em interfaces virtuais (lag/trunk)??

  2. Alexandre Martins 24 de dezembro de 2018 / 2:52

    Muito interessante o artigo, parabéns!!
    Fiquei com 2 duvizdas:
    1 – “Root Guard: A configuração da porta como Root Guard permite à uma porta Designada na prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente”
    Nesse caso, a comunicação cessa apenas com quem está enviando esse BPDU superior ou a porta para de responder a qualquer solicitação?

    Outra dúvida é quanto aos comandos pra trobleshotting e debug do spanning-tree.

    • Diego Dias 2 de janeiro de 2019 / 16:38

      Alexandre, a porta vai bloquear toda comunicação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *