Bloquear spanning tree en bridges Linux con Netplan

En la redes Ethernet empresariales, por razones administrativas o de seguridad, se suelen poner salvaguardas para que los usuarios no conecten equipamiento de red externo en los puertos de usuario. Por ejemplo, en equipos Cisco existe el comando spanning‑tree bpduguard enable que automáticamente bloquea el puerto ni bien se reciben BPDUs de STP.

Cuando, en un escenario como este, queremos instalar una solución de virtualización en un equipo, si dicha virtualización requiere la instalación de un adaptador puente virtual, es suficiente que nuestro equipo active el bridge virtual para que la red nos bloquee el acceso.

La solución pasa por bloquear el uso de STP en nuestro switch virtual.

Bloquear el uso del protocolo de spanning tree en nuestro bridge puede ocasionar bucles en la red en el caso que existan múltiples caminos de acceso. La virtualización que estamos tratando en este ejemplo es la que podríamos tener en un portátil o un equipo para pruebas y en el que existe un único enlace físico a la red y en la que cada máquina virtual contiene un único interfaz. Por lo tanto, no existen múltiples camino de acceso desde nuestro bridge hacia ningún destino y la posibilidad de bucles queda descartada. En entornos más complejos, deberían analizarse otras alternativas a fin de evitar generar un fallo de red por este motivo.

En el caso de estar trabajando en una distribución que gestiona la red a través de netplan, como ocurre en las distribuciones Ubuntu más recientes, el bloqueo del protocolo spanning tree psra por el uso de la opción stp: off en la sección parameters de configuración del bridge como se muestra en el siguiente ejemplo:

# Basic static network configuration
network:
     version: 2
     renderer: NetworkManager
     ethernets:
         enp3s0f1:
             dhcp4: no
             dhcp6: no
     bridges:
         br0:
             interfaces: [enp3s0f1]
             dhcp4: no
             dhcp6: no
             addresses: [172.16.9.165/24]
             gateway4: 172.16.9.1
             nameservers:
                 addresses: [172.16.2.1, 172.16.2.2]
             parameters:
                 stp: off
                 forward-delay: 0

José Administrator
Sorry! The Author has not filled his profile.
follow me

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *