REDES CISCO: Curso práctico de formación para la certificación CCNA

            PORTFAST


               En párrafos anteriores se ha hecho mención a la duración total de una interfaz en
            cambiar de estado desde “Blocking” hasta “Forwarding”, siendo de 30 segundos. Este
            proceso, y  el tiempo  transcurrido para  ello, resulta  vital mantenerlo  con  el  fin  de
            evitar  bucles  de  capa  2,  sin  embargo,  dicha  recomendación  solo  es  aplicable  a
            enlaces entre switchs. ¿Qué ocurre en una interfaz que conecta con un dispositivo
            final, por ejemplo, un PC? El PC tardaría 30 segundos en obtener acceso a la red, lo
            cual, en entornos corporativos puede resultar un tiempo  excesivo. Una  solución  a
            ello consiste en hacer uso de la característica Portfast de STP.


               Su función consiste en que la interfaz en la cual ha sido configurado cambie de
            bloqueada  a  activa  de  manera  inmediata,  sin  necesidad  de  atravesar  los  estados
            transitorios “Listening” y ”Learning”, logrando con ello que el enlace opere de forma
            instantánea.  ¿En  qué  interfaces  aplicarlo?  En  aquellas  que  solo  conecten  con
            dispositivos finales como PCs, impresoras, etc. El motivo es que estos no participan
            en el proceso de STP ni generan tramas BPDU, por lo tanto, no existe riesgo de que se
            generen bucles de capa 2.

               Portfast  no es  habilitado  por  defecto  en switchs  Cisco.  Para  llevarlo  a  cabo  se
            debe  aplicar  la  sentencia  spanning-tree  portfast,  ejecutada  desde  el  modo  de
            configuración de la interfaz en cuestión.


               También resulta posible habilitarlo en todas las interfaces de manera simultánea
            mediante  el  comando  spanning-tree  portfast  default,  desde  el  modo  de
            configuración  global.  Tras  ello  habría  que  deshabilitarlo  de  manera  individual  en
            aquellas  con  enlaces  hacia  otros  switchs,  con  el  comando  spanning-tree  portfast
            disable, desde el modo de configuración de la interfaz en cuestión.


               De ambos métodos, spanning-tree portfast es el más común y recomendable.

            BPDUGUARD


               Uno  de  los  ataques  más  comunes  a  Spanning  Tree  consiste  en  configurar  un
            switch con una prioridad muy baja y conectarlo a la red en alguna interfaz dedicada
            para dispositivos finales, por ejemplo, desconectar un PC y conectar el nuevo switch.
            Este proceso dará como resultado un nuevo cálculo y convergencia de STP, siendo
            muy probable que sea seleccionado como puente raíz. Si esto ocurre, gran parte del
            tráfico de la red fluirá a través de él, dando como resultado que el atacante pueda
            capturarlo  y  con  ello  obtener  información  confidencial  de  usuarios,  de  la  propia
            compañía y de otros dispositivos de red.


            166