Una macchina virtuale che invia frame BPDU (Bridge Protocol Data Unit), ad esempio un client VPN, causa la perdita di connettività in alcune macchine virtuali connesse allo stesso gruppo di porte. La trasmissione dei frame BPDU può anche interrompere la connessione dell'host o del cluster di vSphere HA principale.
Problema
Una macchina virtuale che dovrebbe inviare frame BPDU comporta il blocco del traffico verso la rete esterna delle macchine virtuali nello stesso gruppo di porte.
Se la macchina virtuale viene eseguita in un host che fa parte di un cluster di vSphere HA e l'host diventa isolato, in determinate condizioni, si osserva una situazione di tipo DoS (Denial of Service) negli host del cluster.
Causa
È consigliabile che in una porta del commutatore fisico connessa a un host di ESXi sia abilitata la protezione Port fast e BPDU abilitata per applicare il limite del protocollo STP (Spanning Tree Protocol). Un commutatore standard o distribuito non supporta STP e non invia alcun frame BPDU alla porta del commutatore. Tuttavia, se un frame BPDU di una macchina virtuale compromessa raggiunge una porta di commutatore fisico rivolta verso un host ESXi, la funzionalità di protezione BPDU disattiva la porta per impedire che i frame influiscano sulla topologia Spanning Tree della rete.
In alcuni casi, è previsto l'invio di frame BPDU da parte di una macchina virtuale, ad esempio quando si distribuisce una VPN connessa tramite un dispositivo bridge Windows o tramite una funzione bridge. Se nella porta del commutatore fisico associata alla scheda fisico che gestisce il traffico da questa macchina virtuale è attivata la protezione BPDU, la porta viene disabilitata a causa di un errore e le macchine virtuali e le schede VMkernel che utilizzano la scheda fisica dell'host non possono più comunicare con la rete esterna.
Se il criterio di raggruppamento e failover del gruppo di porte contiene più uplink attivi, il traffico BPDU viene spostato alla scheda per l'uplink attivo successivo. La nuova porta del commutatore fisico diventa disattivata e più carichi di lavoro non riescono a scambiare pacchetti con la rete. Alla fine, è possibile che quasi tutte le entità nell'host ESXi diventino irraggiungibili.
Se la macchina virtuale viene eseguita in un host che fa parte di un cluster di vSphere HA e l'host diventa isolato dalla rete perché la maggior parte delle porte del commutatore fisico connesse all'host è disattivata, l'host primario attivo nel cluster sposta la macchina virtuale mittente BPDU in un altro host. La macchina virtuale avvia la disabilitazione delle porte del commutatore fisico connesse al nuovo host. La migrazione attraverso il cluster di vSphere HA comporta un DoS accumulato nell'intero cluster.
Soluzione
- Se il software VPN deve continuare il proprio lavoro nella macchina virtuale, consentire il traffico esterno alla macchina virtuale e configurare singolarmente le porte del commutatore fisico per passare i frame BPDU.
Dispositivo di rete |
Configurazione |
Commutatore distribuito o standard |
Impostare la proprietà di sicurezza Trasmissione contraffatta nel gruppo di porte su Accetta per consentire ai frame BPDU di lasciare l'host e raggiungere la porta del commutatore fisico. È possibile isolare le impostazioni e la scheda fisica per il traffico VPN posizionando la macchina virtuale in un gruppo di porte separato e assegnando la scheda fisica al gruppo.
Attenzione: L'impostazione della proprietà di sicurezza Trasmissione contraffatta su
Accetta per consentire a un host di inviare frame BPDU implica un rischio di sicurezza, perché una macchina virtuale compromessa può eseguire attacchi di spoofing.
|
Commutatore fisico |
- Mantenere Port Fast abilitato.
- Abilitare il filtro BPDU nella singola porta. Quando un frame BPDU raggiunge la porta, viene escluso tramite filtro.
Nota: Non abilitare il filtro BPDU a livello globale. Se il filtro BPDU è abilitato globalmente, la modalità Port Fast diventa disattivata e tutte le porte del commutatore fisico eseguono il set completo di funzioni STP.
|
- Per distribuire un dispositivo bridge tra due NIC di macchina virtuale connesse alla stessa rete di livello 2, consentire il traffico BPDU in uscita dalle macchine virtuali e disattivare le funzionalità di prevenzione del loop BPDU e Port Fast.
Dispositivo di rete |
Configurazione |
Commutatore distribuito o standard |
Impostare la proprietà Trasmissione contraffatta del criterio di sicurezza nei gruppi di porte su Accetta per consentire ai frame BPDU di lasciare l'host e raggiungere la porta del commutatore fisico. È possibile isolare le impostazioni e una o più schede fisiche per il traffico bridge posizionando la macchina virtuale in un gruppo di porte separato e assegnando le schede fisiche al gruppo.
Attenzione: L'impostazione della proprietà di sicurezza Trasmissione contraffatta su
Accetta per consentire la distribuzione bridge implica un rischio di sicurezza perché una macchina virtuale compromessa può eseguire attacchi di spoofing.
|
Commutatore fisico |
- Disattivare Port Fast nelle porte del dispositivo bridge virtuale per eseguire STP in tali porte.
- Disattivare la protezione BPDU e applicare il filtro alle porte rivolte verso il dispositivo bridge.
|
- Proteggere l'ambiente da attacchi DoS in qualsiasi caso attivando il filtro BPDU sull' host ESXi o sul commutatore fisico.
- In un host in cui il filtro BPDU guest non è implementato, abilitare il filtro BPDU nella porta del commutatore fisico per il dispositivo bridge virtuale.
Dispositivo di rete |
Configurazione |
Commutatore distribuito o standard |
Impostare la proprietà Trasmissione contraffatta del criterio di sicurezza nel gruppo di porte su Rifiuta. |
Commutatore fisico |
- Mantenere la configurazione Port Fast.
- Abilitare il filtro BPDU nella porta del singolo commutatore fisico. Quando un frame BPDU raggiunge la porta fisica, viene escluso tramite filtro.
Nota: Non abilitare il filtro BPDU a livello globale. Se il filtro BPDU è abilitato globalmente, la modalità Port Fast è disattivata e tutte le porte del commutatore fisico eseguono il set completo di funzioni STP.
|