Spanning-Tree - Comutadores

Vídeo: Switches ArubaOS-CX – Configurando Spanning-Tree no EVE-NG

12 de maio de 202212 de maio de 2022Diego Dias3 Comments

Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das portas admin-edge.

Switches ArubaOS-CX: Portas em admin-edge / portfast

8 de maio de 20228 de maio de 2022Diego DiasLeave a comment

O protocolo Spanning-Tree utiliza um algoritmo para detecção de caminhos alternativos colocando as interfaces redundantes em modo temporário de bloqueio, eliminando o loop lógico.

Um switch da rede local com o Spanning-Tree habilitado e conectado a outros switches que utilizam o protocolo, trocam informações STP por mensagens chamadas de BPDUs (Bridge Protocol Data Units). Os BPDU’s são os responsáveis pelo correto funcionamento do algoritmo do Spanning-Tree e são encaminhados a cada 2 segundos para todas as portas.

O objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do switch root (raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino, com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.

O algoritmo do Spanning-Tree (chamado STA) deve encontrar um ponto de referência na rede (root) e determinar os caminhos disponíveis, além de detectar os enlaces redundantes e bloqueá-los.

Com o objetivo de detectar loop na rede, o spanning-tree necessita que o processo de detecção de BPDUs ocorra em todas as portas do Switch, inclusive em portas destinadas aos computadores, servidores, impressoras etc.

Em razão disso as portas do Switch conectadas aos dispositivos finais precisam de uma configuração manual para rápida transição do modo de discarding para o forwarding e assim iniciar imediatamente, visto que não há previsão para conectividade entre Switches naquela porta e espera todo o processo do spanning-tree que poderá deixar a porta em espera por alguns segundos.
Portas Edges enviam BPDU, mas não devem receber (não devem ser conectadas à switches). Se uma porta Edge receber BPDU, o Portfast é “desabilitado” e a porta faz o processo normal do STP.

Durante qualquer alteração da topologia do Spanning-tree a porta Edge não participará do Spanning-Tree, mas gerará BPDU’s por segurança.

A recomendação, uma vez utilizando o spanning-tree em Switches Aruba CX é habilitar o admin-edge em todas as portas de hosts.

Configurando uma interface como admin-edge:

interface 1/1/n
spanning-tree port-type admin-edge 
spanning-tree tcn-guard
exit

O comando tcn-guard desabilita a propagação de notificações de alteração de topologia (TCNs) para outras portas STP. Use isso quando você não quiser que as alterações de topologia sejam percebidas pelos dispositivos STP vizinhos.

Referências:

https://techhub.hpe.com/eginfolib/Aruba/OS-CX_10.04/5200-6704/index.html#GUID-CDF72645-BB14-41DE-B0B6-4404A42E46FD.html

http://www.comutadores.com.br/rapid-spanning-tree-802-1w/

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=32043

Vídeo: AS 8 FUNCIONALIDADES DE SEGURANÇA PARA SWITCHES QUE TODO ADMINISTRADOR DE REDES DEVERIA SABER

9 de novembro de 20219 de novembro de 2021Diego DiasLeave a comment

Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.

A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.

Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.

No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber..

Vídeo: 5 ERROS COMETIDOS NA CONFIGURAÇÃO DO SPANNING-TREE

11 de outubro de 202111 de outubro de 2021Diego DiasLeave a comment

No vídeo descrevemos os 5 (cinco) erros geralmente cometidos na configuração do Spanning-Tree, incluindo dicas de como iniciar o troubleshooting em caso de problemas.

Switches ArubaOS: Spanning-Tree desabilitado

19 de abril de 202119 de abril de 2021Diego Dias3 Comments

Os switches ArubaOS, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos protocolos e serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite.

Switch# show spanning-tree
 Multiple Spanning Tree (MST) Information
  STP Enabled   : No

Switch# configure
Switch(config)# spanning-tree
 Habilitando o STP

Switch(config)# show spanning-tree
 Multiple Spanning Tree (MST) Information
  STP Enabled   : Yes
  Force Version : MSTP-operation
  IST Mapped VLANs : 1-4094
  Switch MAC Address : a01d48-37aaaa
  Switch Priority    : 32768
  Max Age  : 20
  Max Hops : 20
  Forward Delay : 15

Vídeo: Configurando BPDU Protection

17 de julho de 201917 de julho de 2019Diego DiasLeave a comment

Nesse vídeo mostramos a configuração e logs dos Switches com a utilização do comando ‘BPDU-Protection’.

A feature edged-port (portfast) permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do ‘stp edged-port enable’ força a interface a ignorar os estados de convergência do STP, incluindo as mensagens de notificação de mudança na topologia (mensagens TCN ).

A utilização da feature ‘edged-port’ com a configuração do comando ‘stp bpdu-protection’, protege as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.

Até o próximo vídeo!

Vídeo: Spanning-Tree – Descobrindo e alterando o Switch Root

6 de maio de 20196 de maio de 2019Diego Dias2 Comments

Nesse vídeo, utilizando o Simulador HCL, demonstramos como identificar o switch raiz da rede, o estado das portas e como alterar o root.

Até logo!

Vídeo: Guia Rápido para Configuração de Switches 3Com/HP

5 de novembro de 2018Diego Dias2 Comments

Nesse vídeo explicamos os principais comandos para a configuração de Switches 3Com/HP.

Até logo!

Resumo Spanning-Tree

8 de setembro de 2018Diego Dias1 Comment

O Objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do Switch Root (Raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino mas com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.

Nesse vídeos fazemos um resumo do Spanning-Tree e suas configurações.

Até logo!

Vídeo: Protegendo o Spanning-Tree (STP)

9 de agosto de 20189 de agosto de 2018Diego Dias5 Comments

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Protection (Root Guard), BPDU Protection (BPDU guard) com STP edged-port (portfast) e loop protection (loop guard).

Até logo!