Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das portas admin-edge.
Spanning-Tree
Switches ArubaOS-CX: Portas em admin-edge / portfast
O protocolo Spanning-Tree utiliza um algoritmo para detecção de caminhos alternativos colocando as interfaces redundantes em modo temporário de bloqueio, eliminando o loop lógico.
Um switch da rede local com o Spanning-Tree habilitado e conectado a outros switches que utilizam o protocolo, trocam informações STP por mensagens chamadas de BPDUs (Bridge Protocol Data Units). Os BPDU’s são os responsáveis pelo correto funcionamento do algoritmo do Spanning-Tree e são encaminhados a cada 2 segundos para todas as portas.
O objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do switch root (raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino, com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.
O algoritmo do Spanning-Tree (chamado STA) deve encontrar um ponto de referência na rede (root) e determinar os caminhos disponíveis, além de detectar os enlaces redundantes e bloqueá-los.
Com o objetivo de detectar loop na rede, o spanning-tree necessita que o processo de detecção de BPDUs ocorra em todas as portas do Switch, inclusive em portas destinadas aos computadores, servidores, impressoras etc.
Em razão disso as portas do Switch conectadas aos dispositivos finais precisam de uma configuração manual para rápida transição do modo de discarding para o forwarding e assim iniciar imediatamente, visto que não há previsão para conectividade entre Switches naquela porta e espera todo o processo do spanning-tree que poderá deixar a porta em espera por alguns segundos.
Portas Edges enviam BPDU, mas não devem receber (não devem ser conectadas à switches). Se uma porta Edge receber BPDU, o Portfast é “desabilitado” e a porta faz o processo normal do STP.

Durante qualquer alteração da topologia do Spanning-tree a porta Edge não participará do Spanning-Tree, mas gerará BPDU’s por segurança.
A recomendação, uma vez utilizando o spanning-tree em Switches Aruba CX é habilitar o admin-edge em todas as portas de hosts.
Configurando uma interface como admin-edge:
interface 1/1/n spanning-tree port-type admin-edge spanning-tree tcn-guard exit
O comando tcn-guard desabilita a propagação de notificações de alteração de topologia (TCNs) para outras portas STP. Use isso quando você não quiser que as alterações de topologia sejam percebidas pelos dispositivos STP vizinhos.
Referências:
http://www.comutadores.com.br/rapid-spanning-tree-802-1w/
https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=32043
Vídeo: AS 8 FUNCIONALIDADES DE SEGURANÇA PARA SWITCHES QUE TODO ADMINISTRADOR DE REDES DEVERIA SABER
Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.
A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.
Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.
No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber..
Vídeo: 5 ERROS COMETIDOS NA CONFIGURAÇÃO DO SPANNING-TREE
No vídeo descrevemos os 5 (cinco) erros geralmente cometidos na configuração do Spanning-Tree, incluindo dicas de como iniciar o troubleshooting em caso de problemas.
Switches ArubaOS: Spanning-Tree desabilitado
Os switches ArubaOS, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos protocolos e serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite.
Switch# show spanning-tree Multiple Spanning Tree (MST) Information STP Enabled : No Switch# configure Switch(config)# spanning-tree Habilitando o STP Switch(config)# show spanning-tree Multiple Spanning Tree (MST) Information STP Enabled : Yes Force Version : MSTP-operation IST Mapped VLANs : 1-4094 Switch MAC Address : a01d48-37aaaa Switch Priority : 32768 Max Age : 20 Max Hops : 20 Forward Delay : 15
Vídeo: Configurando BPDU Protection
Nesse vídeo mostramos a configuração e logs dos Switches com a utilização do comando ‘BPDU-Protection’.
A feature edged-port (portfast) permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do ‘stp edged-port enable’ força a interface a ignorar os estados de convergência do STP, incluindo as mensagens de notificação de mudança na topologia (mensagens TCN ).
A utilização da feature ‘edged-port’ com a configuração do comando ‘stp bpdu-protection’, protege as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.
Até o próximo vídeo!
Vídeo: Spanning-Tree – Descobrindo e alterando o Switch Root
Nesse vídeo, utilizando o Simulador HCL, demonstramos como identificar o switch raiz da rede, o estado das portas e como alterar o root.
Até logo!
Vídeo: Guia Rápido para Configuração de Switches 3Com/HP
Nesse vídeo explicamos os principais comandos para a configuração de Switches 3Com/HP.
Até logo!
Resumo Spanning-Tree
Até logo!
Vídeo: Protegendo o Spanning-Tree (STP)
Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.
Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Protection (Root Guard), BPDU Protection (BPDU guard) com STP edged-port (portfast) e loop protection (loop guard).