Una máquina virtual que envía tramas de Bridge Protocol Data Unit (BPDU), por ejemplo, a un cliente de VPN, hace que algunas máquinas virtuales conectadas al mismo grupo de puertos pierdan conectividad. La transmisión de tramas de BPDU también podría interrumpir la conexión del host o el clúster de vSphere HA primario.

Problema

Una máquina virtual que se espera que envíe tramas de BPDU hace que se bloquee el tráfico hacia la red externa de las máquinas virtuales en el mismo grupo de puertos.

Si la máquina virtual se ejecuta en un host que forma parte de un clúster de vSphere HA, y el host queda aislado de la red bajo ciertas condiciones, observa una denegación de servicio (DoS) en los hosts en el clúster.

Causa

Una práctica recomendada es que un puerto de un conmutador físico se conecte a un host ESXi que tenga la protección Port Fast y BPDU habilitada para aplicar el límite del protocolo de árbol de expansión (Spanning Tree Protocol, STP). Un conmutador estándar o distribuido no es compatible con STP y no envía tramas de BPDU al puerto del conmutador. Sin embargo, si alguna trama de BPDU desde una máquina virtual en riesgo llega a un puerto de un conmutador físico que apunta a un host ESXi, la característica de protección de BPDU deshabilita el puerto para que se detengan las tramas que afectan la topología de árbol de expansión de la red.

En ciertos casos, se espera que una máquina virtual envíe tramas de BPDU, por ejemplo, cuando se implementa una VPN que está conectada a través de un dispositivo puente de Windows o a través de una función de puente. Si el puerto del conmutador físico emparejado con el adaptador físico que controla el tráfico desde esta máquina virtual tiene la protección de BPDU habilitada, el puerto tiene error desactivado y las máquinas virtuales y los adaptadores de VMkernel que usan el adaptador físico del host ya no pueden comunicarse con la red externa.

Si la directiva de formación de equipos y conmutación por error del grupo de puertos contiene más vínculos superiores activos, el tráfico de BDPU se mueve al adaptador para el siguiente vínculo superior activo. El puerto del nuevo conmutador físico se deshabilita y más cargas de trabajo no pueden intercambiar paquetes con la red. Finalmente, casi todas las entidades en el host ESXi podrían quedar inaccesibles.

Si la máquina virtual se ejecuta en un host que forma parte de un clúster de vSphere HA y el host queda aislado de la red debido a que la mayoría de los puertos del conmutador físico conectados a él están deshabilitados, el host principal activo en el clúster mueve la máquina virtual remitente de BPDU a otro host. La máquina virtual comienza a desactivar los puertos del conmutador físico conectados al nuevo host. La migración a través del clúster de vSphere HA finalmente lleva a una DoS acumulada en el clúster completo.

Solución

  • Si el software de la VPN debe continuar su trabajo en la máquina virtual, deje que el tráfico salga de la máquina virtual y configure el puerto del conmutador físico de forma individual para que transmita tramas de BPDU.
    Dispositivo de red Configuración
    Conmutador distribuido o estándar

    Configure la propiedad de seguridad Transmisión falsificada en el grupo de puertos en Permitir para que las tramas de BPDU puedan abandonar el host y llegar al puerto del conmutador físico.

    Puede aislar la configuración y el adaptador físico para el tráfico de la VPN colocando la máquina virtual en un grupo de puertos separado y asignando el adaptador físico al grupo.

    Precaución: Si se configura la propiedad de seguridad Transmisión falsificada en Aceptar para que habilite un host a fin de que envíe tramas de BPDU, ello implica un riesgo de seguridad, ya que una máquina virtual en riesgo puede realizar ataques de suplantación.
    Conmutador físico
    • Mantenga Puerto rápido habilitado.
    • Habilite el filtro de BPDU en el puerto individual. Cuando una trama de BPDU llega al puerto, se filtra.
    Nota: No habilite el filtro de BPDU a nivel global. Si lo hace, el modo Puerto rápido se deshabilita y todos los puertos del conmutador físico realiza el conjunto completo de funciones de STP.
  • Para implementar un dispositivo puente entre dos NIC de máquina virtual conectadas a la misma red de capa 2, deje que el tráfico de BPDU salga de las máquinas virtuales y desactive las características de prevención de bucle Puerto rápido y BPDU.
    Dispositivo de red Configuración
    Conmutador distribuido o estándar

    Configure la propiedad Transmisión falsificada de la directiva de seguridad en los grupos de puertos en Aceptar para permitir que las tramas de BPDU abandonen el host y lleguen al puerto del conmutador físico.

    Puede aislar la configuración y uno o más adaptadores físicos para el tráfico de puente mediante la colocación de la máquina virtual en un grupo de puertos separado y la asignación de adaptadores físicos al grupo.

    Precaución: Si se configura la propiedad de seguridad Transmisión falsificada en Aceptar para que habilite la implementación del puente, ello implica un riesgo de seguridad, ya que una máquina virtual en riesgo puede realizar ataques de suplantación.
    Conmutador físico
    • Desactive Puerto rápido en los puertos hacia el dispositivo de puente virtual para ejecutar STP en ellos.
    • Desactive la protección de BPDU y filtre en los puertos que apuntan hacia el dispositivo de puente.
  • Proteja el entorno contra ataques de DoS en cualquier caso mediante la activación del filtro de BPDU en el host ESXi o en el conmutador físico.
    • En un host que no tiene el filtro BPDU invitado implementado, habilite el filtro de BPDU en el puerto del conmutador físico para el dispositivo de puente virtual.
      Dispositivo de red Configuración
      Conmutador distribuido o estándar Configure la propiedad Transmisión falsificada de la directiva de seguridad en el grupo de puertos en Rechazar.
      Conmutador físico
      • Mantenga la configuración de Puerto rápido.
      • Habilite el filtro de BPDU en el puerto del conmutador físico individual. Cuando una trama de BPDU llega al puerto físico, se filtra.
      Nota: No habilite el filtro de BPDU a nivel global. Si lo hace, el modo Puerto rápido se deshabilita y todos los puertos del conmutador físico realiza el conjunto completo de funciones de STP.