martes, 15 de junio de 2010

Evitar switches no controlados en nuestra red

Sala de reuniones de una empresa mediana (tres consultores y un cliente...)

[Consultor 1] Oye José. Necesito bajarme el correo para recibir la última versión del powerpoint.
[Cliente] OK. Conectate en esa toma de pared.
[Consultor 2] Pues a mí también me iría bien conectarme.
[Cliente] Tú mismo...
[Consultor 3] ¿Puedo... ?
[Cliente] Sí claro.
[Consultor 3] Pues no quedan tomas libres...
[Consultor 1] Tranquilo Tomás, que yo tengo un switch... Mira lo conectamos a la pared y nosotros dos al switch.
....
[voces del exterior] ¿Tenéis Internet?.. Yo no, ¿tú? ... Me da un error la Excel...

Mientras tanto en la sala de explotación de redes...
[Ingeniero 1] Miguel, necesito los presupuestos para el mantenimiento del año que viene de los radioenlaces..
[Ingeniero 2] Sí... ya me lo pediste ayer...
Aparece una luz roja en la pantalla de monitorización de sistemas
[Ingeniero 1] Mierda. Se ha ido la red de la oficina de Teruel.

La aparición de un switch no controlado puede tirarte toda una red y dejando en nada meses de planificación, configuración y estabilización de tu red de usuarios.

No te puedes fiar de que los usuarios no conecten nada a la red (aunque siempre juren no hacerlo), así que tenemos que controlarlos nosotros mismos.

El principal problema de que conecten un switch no controlado en nuestra red es que pueda producir un cambio en la topología del arból de STP. Estos cambios pueden ser imperceptibles o provocar problemas (a la Telefonia IP no le gustan los cambios).

Los switches de gama media permiten dos acciones para este problema:
  • Ignorar los mensajes del protocolo STP que envíe un switch no controlado.
  • Bloquear la toma donde se conecte un switch no controlado.
  • Avisar, vía SNMP, a los gestores de red.
Al aplicar estas políticas es muy importante tener un mapa de red con el conexionado físico de los equipos, ya que debemos permitir el tráfico de BPDU en aquellos enlaces conectados físicamente (estén activos o deshabilitados por STP) para evitarnos sorpresas al activarse caminos de backup (ante la caída de un switch la topología puede cambiar bastente, según la red que haya montada).

Para configurar estas protecciones simplemente debemos entrar en la configuración de spanning-treey activar estas opciones de securización.

En HP:
switch06(config)# spanning-tree 1-47 bpdu-filter bpdu-protection