Una máquina virtual que envía tramas de Bridge Protocol Data Unit (BPDU), por ejemplo, a un cliente de VPN, hace que algunas máquinas virtuales conectadas al mismo grupo de puertos pierdan conectividad. La transmisión de tramas de BPDU también podría interrumpir la conexión del host o el clúster de vSphere HA primario.

Procedimiento

  • Si el software de la VPN debe continuar su trabajo en la máquina virtual, deje que el tráfico salga de la máquina virtual y configure el puerto del conmutador físico de forma individual para que transmita tramas de BPDU.

    Dispositivo de red

    Configuración

    Conmutador distribuido o estándar

    Configure la propiedad de seguridad Transmisión falsificada en el grupo de puertos en Permitir para que las tramas de BPDU puedan abandonar el host y llegar al puerto del conmutador físico.

    Puede aislar la configuración y el adaptador físico para el tráfico de la VPN colocando la máquina virtual en un grupo de puertos separado y asignando el adaptador físico al grupo.

    PRECAUCIÓN:

    Si se configura la propiedad de seguridad Transmisión falsificada en Aceptar para que habilite un host a fin de que envíe tramas de BPDU, ello implica un riesgo de seguridad, ya que una máquina virtual en riesgo puede realizar ataques de suplantación.

    Conmutador físico

    • Mantenga Puerto rápido habilitado.

    • Habilite el filtro de BPDU en el puerto individual. Cuando una trama de BPDU llega al puerto, se filtra.

    Nota:

    No habilite el filtro de BPDU a nivel global. Si lo hace, el modo Puerto rápido se deshabilita y todos los puertos del conmutador físico realiza el conjunto completo de funciones de STP.

  • Para implementar un dispositivo puente entre dos NIC de máquina virtual conectadas a la misma red de capa 2, deje que el tráfico de BPDU salga de las máquinas virtuales y desactive las características de prevención de bucle Puerto rápido y BPDU.

    Dispositivo de red

    Configuración

    Conmutador distribuido o estándar

    Configure la propiedad Transmisión falsificada de la directiva de seguridad en los grupos de puertos en Aceptar para permitir que las tramas de BPDU abandonen el host y lleguen al puerto del conmutador físico.

    Puede aislar la configuración y uno o más adaptadores físicos para el tráfico de puente mediante la colocación de la máquina virtual en un grupo de puertos separado y la asignación de adaptadores físicos al grupo.

    PRECAUCIÓN:

    Si se configura la propiedad de seguridad Transmisión falsificada en Aceptar para que habilite la implementación del puente, ello implica un riesgo de seguridad, ya que una máquina virtual en riesgo puede realizar ataques de suplantación.

    Conmutador físico

    • Deshabilite Puerto rápido en los puertos hacia el dispositivo de puente virtual para ejecutar STP en ellos.

    • Deshabilite la protección de BPDU y filtre en los puertos que apuntan hacia el dispositivo de puente.

  • Proteja el entorno contra ataques de DoS en cualquier caso mediante la activación del filtro de BPDU en el host ESXi o en el conmutador físico.
    • En un host que ejecuta ESXi 4.1 Update 3, ESXi 5.0 Patch 04 y versiones posteriores a la 5.0 y ESXi 5.1 Patch 01 y versiones posteriores, habilite el filtro BPDU invitado de una de las siguientes formas y reinicie el host:

      • En la pestaña Configurar del host de la tabla Configuración avanzada del sistema en vSphere Web Client, establezca la propiedad Net.BlockGuestBPDU en 1.

      • En ESXi Shell para el host, escriba el siguiente comando de vCLI:

        esxcli system settings advanced set -o /Net/BlockGuestBPDU -i 1
    • En un host que no tiene el filtro BPDU invitado implementado, habilite el filtro de BPDU en el puerto del conmutador físico para el dispositivo de puente virtual.

      Dispositivo de red

      Configuración

      Conmutador distribuido o estándar

      Configure la propiedad Transmisión falsificada de la directiva de seguridad en el grupo de puertos en Rechazar.

      Conmutador físico

      • Mantenga la configuración de Puerto rápido.

      • Habilite el filtro de BPDU en el puerto del conmutador físico individual. Cuando una trama de BPDU llega al puerto físico, se filtra.

      Nota:

      No habilite el filtro de BPDU a nivel global. Si lo hace, el modo Puerto rápido se deshabilita y todos los puertos del conmutador físico realiza el conjunto completo de funciones de STP.