Una máquina virtual que envía tramas de Bridge Protocol Data Unit (BPDU), por ejemplo, a un cliente de VPN, hace que algunas máquinas virtuales conectadas al mismo grupo de puertos pierdan conectividad. La transmisión de tramas de BPDU también podría interrumpir la conexión del host o el clúster de vSphere HA primario.

Problema

Una máquina virtual que se espera que envíe tramas de BPDU hace que se bloquee el tráfico hacia la red externa de las máquinas virtuales en el mismo grupo de puertos.

Si la máquina virtual se ejecuta en un host que forma parte de un clúster de vSphere HA, y el host queda aislado de la red bajo ciertas condiciones, observa una denegación de servicio (DoS) en los hosts en el clúster.

Una práctica recomendada es que un puerto de un conmutador físico se conecte a un host ESXi que tenga la protección Port Fast y BPDU habilitada para aplicar el límite del protocolo de árbol de expansión (Spanning Tree Protocol, STP). Un conmutador estándar o distribuido no es compatible con STP y no envía tramas de BPDU al puerto del conmutador. Sin embargo, si alguna trama de BPDU desde una máquina virtual en riesgo llega a un puerto de un conmutador físico que apunta a un host ESXi, la característica de protección de BPDU deshabilita el puerto para que se detengan las tramas que afectan la topología de árbol de expansión de la red.

En ciertos casos, se espera que una máquina virtual envíe tramas de BPDU, por ejemplo, cuando se implementa una VPN que está conectada a través de un dispositivo puente de Windows o a través de una función de puente. Si el puerto del conmutador físico emparejado con el adaptador físico que controla el tráfico desde esta máquina virtual tiene la protección de BPDU habilitada, el puerto tiene error desactivado y las máquinas virtuales y los adaptadores de VMkernel que usan el adaptador físico del host ya no pueden comunicarse con la red externa.

Si la directiva de formación de equipos y conmutación por error del grupo de puertos contiene más vínculos superiores activos, el tráfico de BDPU se mueve al adaptador para el siguiente vínculo superior activo. El puerto del nuevo conmutador físico se desactiva y más cargas de trabajo no pueden intercambiar paquetes con la red. Finalmente, casi todas las entidades en el host ESXi podrían quedar inaccesibles.

Si la máquina virtual se ejecuta en un host que forma parte de un clúster de vSphere HA y el host queda aislado de la red debido a que la mayoría de los puertos del conmutador físico conectados a él están deshabilitados, el host maestro activo en el clúster mueve la máquina virtual remitente de BPDU a otro host. La máquina virtual comienza a desactivar los puertos del conmutador físico conectados al nuevo host. La migración a través del clúster de vSphere HA finalmente lleva a una DoS acumulada en el clúster completo.

Procedimiento

  • Si el software de la VPN debe continuar su trabajo en la máquina virtual, deje que el tráfico salga de la máquina virtual y configure el puerto del conmutador físico de forma individual para que transmita tramas de BPDU.

    Dispositivo de red

    Configuración

    Conmutador distribuido o estándar

    Configure la propiedad de seguridad Forged Transmit (Transmisión falsificada) en el grupo de puertos en Accept (Permitir) para que las tramas de BPDU puedan abandonar el host y llegar al puerto del conmutador físico.

    Puede aislar la configuración y el adaptador físico para el tráfico de la VPN colocando la máquina virtual en un grupo de puertos separado y asignando el adaptador físico al grupo.

    PRECAUCIÓN:

    Si se configura la propiedad de seguridad Forged Transmit (Transmisión falsificada) en Accept (Aceptar) para que habilite un host a fin de que envíe tramas de BPDU, ello implica un riesgo de seguridad, ya que una máquina virtual en riesgo puede realizar ataques de suplantación.

    Conmutador físico

    • Mantenga Port Fast (Puerto rápido) habilitado.

    • Habilite el filtro de BPDU en el puerto individual. Cuando una trama de BPDU llega al puerto, se filtra.

    Nota:

    No habilite el filtro de BPDU a nivel global. Si lo hace, el modo Port Fast (Puerto rápido) se deshabilita y todos los puertos del conmutador físico realiza el conjunto completo de funciones de STP.

  • Para implementar un dispositivo puente entre dos NIC de máquina virtual conectadas a la misma red de capa 2, deje que el tráfico de BPDU salga de las máquinas virtuales y desactive las características de prevención de bucle Port Fast (Puerto rápido) y BPDU.

    Dispositivo de red

    Configuración

    Conmutador distribuido o estándar

    Configure la propiedad Forged Transmit (Transmisión falsificada) de la directiva de seguridad en los grupos de puertos en Accept (Aceptar) para permitir que las tramas de BPDU abandonen el host y lleguen al puerto del conmutador físico.

    Puede aislar la configuración y uno o más adaptadores físicos para el tráfico de puente mediante la colocación de la máquina virtual en un grupo de puertos separado y la asignación de adaptadores físicos al grupo.

    PRECAUCIÓN:

    Si se configura la propiedad de seguridad Forged Transmit (Transmisión falsificada) en Accept (Aceptar) para que habilite la implementación del puente, ello implica un riesgo de seguridad, ya que una máquina virtual en riesgo puede realizar ataques de suplantación.

    Conmutador físico

    • Deshabilite Port Fast (Puerto rápido) en los puertos hacia el dispositivo de puente virtual para ejecutar STP en ellos.

    • Deshabilite la protección de BPDU y filtre en los puertos que apuntan hacia el dispositivo de puente.

  • Proteja el entorno contra ataques de DoS en cualquier caso mediante la activación del filtro de BPDU en el host ESXi o en el conmutador físico.
    • En un host que ejecuta ESXi 4.1 Update 3, ESXi 5.0 Patch 04 y versiones posteriores a la 5.0 y ESXi 5.1 Patch 01 y versiones posteriores, habilite el filtro Guest BPDU (BPDU invitado) de una de las siguientes formas y reinicie el host:

      • En la tabla Advanced System Settings (Configuración avanzada del sistema) en la pestaña Manage (Administrar) para el host en vSphere Web Client, configure la propiedad Net.BlockGuestBPDU en 1.

      • En ESXi Shell para el host, escriba el siguiente comando de vCLI:

        esxcli system settings advanced set -o /Net/BlockGuestBPDU -i 1
    • En un host que no tiene el filtro Guest BPDU (BPDU invitado) implementado, habilite el filtro de BPDU en el puerto del conmutador físico para el dispositivo de puente virtual.

      Dispositivo de red

      Configuración

      Conmutador distribuido o estándar

      Configure la propiedad Forged Transmit (Transmisión falsificada) de la directiva de seguridad en el grupo de puertos en Reject (Rechazar).

      Conmutador físico

      • Mantenga la configuración de Port Fast (Puerto rápido).

      • Habilite el filtro de BPDU en el puerto del conmutador físico individual. Cuando una trama de BPDU llega al puerto físico, se filtra.

      Nota:

      No habilite el filtro de BPDU a nivel global. Si lo hace, el modo Port Fast (Puerto rápido) se deshabilita y todos los puertos del conmutador físico realiza el conjunto completo de funciones de STP.