Uma máquina virtual que envia quadros do Bridge Protocol Data Unit (BPDU), por exemplo, um cliente VPN, faz com que algumas máquinas virtuais conectadas ao mesmo grupo de portas percam a conectividade. A transmissão de quadros BPDU também pode interromper a conexão do host ou do cluster principal vSphere HA.
Problema
Uma máquina virtual que deve enviar quadros BPDU faz com que o tráfego para a rede externa das máquinas virtuais no mesmo grupo de portas seja bloqueado.
Se a máquina virtual for executada em um host que faz parte de um cluster vSphere HA, e o host se tornar isolado de rede sob determinadas condições, você observará a negação de serviço (DoS) nos hosts do cluster.
Causa
Como prática recomendada, uma porta de switch físico que está conectada a um host ESXi tem a porta Fast e a proteção BPDU ativadas para impor o limite do Spanning Tree Protocol (STP). Um switch padrão ou distribuído não oferece suporte ao STP e não envia quadros BPDU para a porta do switch. No entanto, se qualquer quadro BPDU de uma máquina virtual comprometida chegar a uma porta de switch física voltada para um host ESXi, o recurso de proteção BPDU desativa a porta para impedir que os quadros afetem a topologia de árvore de abrangência da rede.
Em certos casos, espera-se que uma máquina virtual envie quadros BPDU, por exemplo, ao implantar uma VPN conectada por meio de um dispositivo de ponte do Windows ou por meio de uma função de ponte. Se a porta do switch físico emparelhada com o adaptador físico que lida com o tráfego desta máquina virtual tiver o protetor BPDU ativado, a porta será desativada por erro e as máquinas virtuais e os adaptadores VMkernel que usam o adaptador físico do host não poderão mais se comunicar com a rede externa .
Se a política de agrupamento e failover do grupo de portas contiver mais uplinks ativos, o tráfego BPDU será movido para o adaptador para o próximo uplink ativo. A nova porta física do switch fica desativada e mais cargas de trabalho se tornam incapazes de trocar pacotes com a rede. Eventualmente, quase todas as entidades no host ESXi podem se tornar inacessíveis.
Se a máquina virtual for executada em um host que faz parte de um cluster vSphere HA, e o host se tornar isolado da rede porque a maioria das portas do switch físico conectadas a ele estão desativadas, o host primário ativo no cluster moverá o remetente do BPDU máquina virtual para outro host. A máquina virtual começa a desabilitar as portas do switch físico conectadas ao novo host. A migração no cluster vSphere HA eventualmente leva a DoS acumulado em todo o cluster.
Solução
- Se o software VPN tiver que continuar seu trabalho na máquina virtual, permita que o tráfego saia da máquina virtual e configure a porta física do switch individualmente para passar os quadros BPDU.
| Dispositivo de rede |
Configuração |
| Switch distribuído ou padrão |
Defina a propriedade de segurança de transmissão forjada no grupo de portas como Aceitar (Accept) para permitir que os quadros BPDU saiam do host e alcancem a porta física do switch. Você pode isolar as configurações e o adaptador físico para o tráfego VPN, colocando a máquina virtual em um grupo de portas separado e atribuindo o adaptador físico ao grupo.
Cuidado: Definir a propriedade de segurança de transmissão forjada como
Aceitar (Accept) para permitir que um host envie quadros BPDU traz um risco de segurança, pois uma máquina virtual comprometida pode realizar ataques de falsificação.
|
| Switch físico |
- Mantenha a porta rápida ativada.
- Ative o filtro BPDU na porta individual. Quando um quadro BPDU chega à porta, ele é filtrado.
Observação: Não ative o filtro BPDU globalmente. Se o filtro BPDU estiver ativado globalmente, o modo Port Fast será desativado e todas as portas físicas do switch executarão o conjunto completo de funções STP.
|
- Para implantar um dispositivo de ponte entre duas NICs de máquina virtual conectadas à mesma rede de camada 2, permita o tráfego de BPDU fora das máquinas virtuais e desative os recursos de prevenção de loop de porta rápida e BPDU.
| Dispositivo de rede |
Configuração |
| Switch distribuído ou padrão |
Defina a propriedade Forged Transmit da política de segurança nos grupos de portas como Accept (Accept) para permitir que os quadros BPDU saiam do host e alcancem a porta física do switch. Você pode isolar as configurações e um ou mais adaptadores físicos para o tráfego de ponte, colocando a máquina virtual em um grupo de portas separado e atribuindo os adaptadores físicos ao grupo.
Cuidado: Definir a propriedade de segurança de transmissão forjada como
Aceitar (Accept) para habilitar a implantação de ponte acarreta um risco de segurança, pois uma máquina virtual comprometida pode realizar ataques de falsificação.
|
| Switch físico |
- Desative a porta rápida nas portas para o dispositivo de ponte virtual executar o STP nelas.
- Desative a proteção e o filtro BPDU nas portas voltadas para o dispositivo de ponte.
|
- Proteja o ambiente contra ataques DoS em qualquer caso, ativando o filtro BPDU no host ESXi ou no switch físico.
- Em um host que não tem o filtro de BPDU de convidado implementado, habilite o filtro de BPDU na porta do switch físico para o dispositivo de ponte virtual.
| Dispositivo de rede |
Configuração |
| Switch distribuído ou padrão |
Defina a propriedade Forged Transmit da política de segurança no grupo de portas como Reject (Reject). |
| Switch físico |
- Mantenha a configuração da porta rápida.
- Ative o filtro BPDU na porta do switch físico individual. Quando um quadro BPDU chega à porta física, ele é filtrado.
Observação: Não ative o filtro BPDU globalmente. Se o filtro BPDU estiver ativado globalmente, o modo Port Fast será desativado e todas as portas físicas do switch executarão o conjunto completo de funções STP.
|
