VPN 클라이언트와 같이 BPDU(Bridge Protocol Data Unit) 프레임을 보내는 가상 시스템으로 인해 동일한 포트 그룹에 연결된 일부 가상 시스템의 연결이 끊어질 수 있습니다. 또한 BPDU 프레임 전송으로 인해 호스트 또는 상위 vSphere HA 클러스터의 연결이 끊어질 수도 있습니다.

문제

BPDU 프레임을 보낼 것으로 예상되는 가상 시스템으로 인해 동일한 포트 그룹에 있는 가상 시스템의 외부 네트워크로 보내는 트래픽이 차단될 수 있습니다.

가상 시스템이 vSphere HA 클러스터에 속한 호스트에서 실행되고 호스트가 특정 조건에 따라 네트워크에서 분리되면 클러스터의 모든 호스트에서 DoS(서비스 거부)가 나타납니다.

원인

가장 좋은 방법은 ESXi 호스트에 연결된 물리적 스위치 포트에서 PortFast 및 BPDU 가드를 사용하도록 설정하여 STP(스패닝 트리 프로토콜)의 경계를 적용하는 것입니다. 표준 스위치 또는 Distributed Switch는 STP를 지원하지 않으며 스위치 포트로 BPDU 프레임을 보내지 않습니다. 하지만 손상된 가상 시스템에서 보내는 BPDU 프레임이 ESXi 호스트와 연결된 물리적 스위치 포트에 도착하면 BPDU 가드 기능에 따라 해당 포트가 사용하지 않도록 설정되고 프레임이 네트워크의 STP에 영향을 미치지 못합니다.

Windows 브리지 디바이스 또는 브리지 기능을 통해 연결된 VPN을 배포하는 등의 특정한 경우에는 가상 시스템에서 BPDU 프레임을 보낼 수 있습니다. 이 가상 시스템의 트래픽을 처리하는 물리적 어댑터와 쌍으로 구성된 물리적 스위치 포트에서 BPDU 가드가 설정되면 포트가 오류로 인해 비활성화되고 호스트의 물리적 어댑터를 사용하는 VMkernel 어댑터 및 가상 시스템이 더 이상 외부 네트워크와 통신할 수 없습니다.

포트 그룹의 팀 구성 및 페일오버 정책에 여러 활성 업링크가 포함되어 있을 경우 BPDU 트래픽이 그 다음 활성 업링크의 어댑터로 이동됩니다. 새로운 물리적 스위치 포트는 비활성화되고 더 많은 워크로드에서 네트워크를 통해 패킷을 교환할 수 없게 됩니다. 결국 ESXi 호스트의 거의 모든 엔티티에 액세스하지 못하게 될 수도 있습니다.

가상 시스템이 vSphere HA 클러스터에 속한 호스트에서 실행되고 호스트에 연결된 대부분의 물리적 스위치 포트가 비활성화되어 호스트가 네트워크에서 분리되면 클러스터의 활성 기본 호스트가 BPDU를 보내는 가상 시스템을 다른 호스트로 이동합니다. 가상 시스템은 새 호스트에 연결된 물리적 스위치 포트를 비활성화하기 시작합니다. vSphere HA 클러스터 전체의 마이그레이션은 결국 전체 클러스터에서 누적된 DoS(서비스 거부)를 유발합니다.

해결책

  • VPN 소프트웨어를 가상 시스템에서 계속 작동해야 할 경우 가상 시스템에서 내보내는 트래픽을 허용하고 BPDU 프레임을 통과시키도록 물리적 스위치 포트를 개별적으로 구성해야 합니다.
    네트워크 디바이스 구성
    Distributed Switch 또는 표준 스위치

    포트 그룹의 위조 전송 보안 속성을 동의로 설정하여 BPDU 프레임이 호스트에서 출발해서 물리적 스위치 포트에 도달하도록 허용합니다.

    가상 시스템을 별도의 포트 그룹에 배치하고 물리적 어댑터를 해당 그룹에 할당하는 방식으로 VPN 트래픽에 대한 설정 및 물리적 어댑터를 분리할 수 있습니다.

    경고: 위조 전송 보안 속성을 동의로 설정하여 호스트가 BPDU 프레임을 전송하도록 하면 손상된 가상 시스템이 스푸핑 공격을 수행할 수 있기 때문에 보안 위험이 야기됩니다.
    물리적 스위치
    • PortFast를 사용하도록 설정된 상태로 유지합니다.
    • 개별 포트에서 BPDU 필터를 사용하도록 설정합니다. BPDU 프레임이 해당 포트에 도착하면 필터링됩니다.
    참고: BPDU 필터를 전체적으로 사용하도록 설정하지 마십시오. BPDU 필터를 전체적으로 사용하도록 설정하면 PortFast 모드가 사용하지 않도록 설정되고 모든 물리적 스위치 포트가 전체 STP 기능 집합을 수행합니다.
  • 동일한 계층 2 네트워크에 연결된 두 가상 시스템 NIC 간에 브리지 디바이스를 배포하려면 가상 시스템에서 BPDU 트래픽을 허용하고 PortFast 및 BPDU 루프 방지 기능을 비활성화해야 합니다.
    네트워크 디바이스 구성
    Distributed Switch 또는 표준 스위치

    포트 그룹에 대한 보안 정책의 위조 전송 속성을 동의로 설정하여 BPDU 프레임이 호스트에서 출발해서 물리적 스위치 포트에 도달하도록 허용합니다.

    가상 시스템을 별도의 포트 그룹에 배치하고 물리적 어댑터를 해당 그룹에 할당하는 방식으로 브리지 트래픽에 대한 설정 및 하나 이상의 물리적 어댑터를 분리할 수 있습니다.

    경고: 위조 전송 보안 속성을 동의로 설정하여 브리지 배포를 활성화하면 손상된 가상 시스템이 스푸핑 공격을 수행할 수 있기 때문에 보안 위험이 야기됩니다.
    물리적 스위치
    • 가상 브리지 디바이스로 연결되는 포트에서 PortFast를 사용하지 않도록 설정하여 해당 포트에서 STP를 실행합니다.
    • 브리지 디바이스와 연결되는 포트에서 BPDU 가드 및 필터를 사용하지 않도록 설정합니다.
  • ESXi 호스트 또는 물리적 스위치에서 BPDU 필터를 활성화하여 항상 DoS 공격으로부터 환경을 보호합니다.
    • ESXi 4.1 업데이트 3, ESXi 5.0 패치 04 이상 릴리스, ESXi 5.1 패치 01 이상을 실행하는 호스트에서 다음 방식 중 하나를 사용하여 게스트 BPDU 필터를 사용하도록 설정하고 호스트를 재부팅합니다.
      • vSphere Web Client의 호스트 구성 탭에 있는 [고급 시스템 설정] 테이블에서 Net.BlockGuestBPDU 속성을 1로 설정합니다.
      • 호스트에 대한 ESXi Shell에서 다음 vCLI 명령을 입력합니다.
        esxcli system settings advanced set -o /Net/BlockGuestBPDU -i 1
    • 게스트 BPDU 필터가 구현되지 않은 호스트에서 가상 브리지 디바이스와 연결되는 물리적 스위치 포트에 대해 BPDU 필터를 사용하도록 설정합니다.
      네트워크 디바이스 구성
      Distributed Switch 또는 표준 스위치 포트 그룹에 대한 보안 정책의 위조 전송 속성을 거부로 설정합니다.
      물리적 스위치
      • PortFast 구성을 그대로 유지합니다.
      • 개별 물리적 스위치 포트에서 BPDU 필터를 사용하도록 설정합니다. BPDU 프레임이 해당 물리적 포트에 도착하면 필터링됩니다.
      참고: BPDU 필터를 전체적으로 사용하도록 설정하지 마십시오. BPDU 필터를 전체적으로 사용하도록 설정하면 PortFast 모드가 사용하지 않도록 설정되고 모든 물리적 스위치 포트가 전체 STP 기능 집합을 수행합니다.