Page 185 - Untitled

P. 185

CAPÍTULO 3: SPANNING TREE PROTOCOL

Con el fin de poder evitarlo nace BPDUguard, cuya misión consiste en detener las
tramas BPDU recibidas a través de las interfaces donde ha sido configurado,
generando una violación de seguridad y bloqueando el acceso cuando ello ocurra. El
objetivo consiste en que switchs maliciosos, conectados a interfaces dedicadas a
dispositivos finales, no puedan formar parte de STP y mucho menos iniciar una nueva
convergencia.

Al igual que Portfast, BPDUguard no es habilitado por defecto en Switchs Cisco,
debiendo ser configurado manualmente a través del comando spanning-tree
bpduguard enable, desde el modo de configuración de la interfaz donde se desee
aplicar, o bien habilitarlo de manera simultánea en todas las interfaces con el
comando spanning-tree bpduguard default, desde el modo de configuración global,
para luego deshabilitarlo de manera individual en aquellas con enlaces hacia otros
switchs, mediante la sentencia spanning-tree bpduguard disable, desde el modo de
configuración de la interfaz en cuestión. De ambos métodos, la primera de las
opciones resulta la más idónea.

Ejemplo de configuración y verificación de STP

Dada la siguiente topología, se debe configurar STP de tal manera que:

 Todos los switchs operen con PVST+.
 S1 actúe como puente raíz para el rango de VLANs 1-5 y como secundario
para el 6-10.
 S2 actúe como puente raíz para el rango de VLANS 6-10 y como secundario
para el 1-5.
 Las interfaces Gi0/1 y Gi0/2 de S1 deben tener un coste con valor 2 para las
VLANs 1-5.
 Las interfaces Gi0/1 y Gi0/2 de S2 deben tener un coste con valor 2 para las
VLANs 6-10.
 El rango de interfaces Fa0/1 – Fa0/20 de todos los switchs de la capa de
acceso deben ser configurados con portfast y bpduguard, ya que a ellas
conectarán únicamente dispositivos finales.

167

180 181 182 183 184 185 186 187 188 189 190