Mitigar Ataques STP
Resumen
Se explica cómo configurar PortFast y BPDU Guard para mitigar los ataques STP. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
Tabla de Contenido
1. PortFast y BPDU Guard
Recuerda que los atacantes de red pueden manipular el Protocolo de árbol de expansión (STP) para realizar un ataque falsificando el puente raíz/root bridge y cambiando la topología de una red. Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), usa PortFast y la Bridge Protocol Data Unit (BPDU) Guard.
- PortFast – PortFast lleva inmediatamente una interfaz configurada como un puerto de acceso o troncal al estado de reenvío desde un estado de bloqueo, pasando por alto los estados de escucha y aprendizaje. Se aplica a todos los puertos de usuario final. PortFast sólo debe ser configurado en los puertos conectados a los dispositivos finales.
- Protección BPDU: BPDU guard inmediatamente deshabilita error en un puerto que recibe un BPDU. Al igual que PortFast, BPDU guard sólo debe ser configurado en las interfaces conectadas a los dispositivos finales.
En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU Guard.

2. Configurar PortFast
PortFast omite los estados de escucha/listening y aprendizaje/learning de STP para minimizar el tiempo que los puertos de acceso deben esperar a que STP converja. Si habilitas PortFast en un puerto que se conecta a otro switch, corres el riesgo de crear un bucle de árbol de expansión.
PortFast se puede habilitar en una interfaz mediante el comando de configuración de la interfaz spanning-tree portfast. Alternativamente, Portfast se puede configurar globalmente en todos los puertos de acceso mediante el comando de configuración global spanning-tree portfast default.
Para verificar si PortFast está habilitado globalmente, puedes usar el comando show running-config | begin span o el comando show spanning-tree summary. Para verificar si PortFast tiene habilitada una interfaz, usa el comando show running-config interface type / number, como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type / number detail también se puede usar para la verificación.
Nota que cuando PortFast esta habilitado, se muestran mensaje de advertencia.
S1(config)# interface fa0/1 S1(config-if)# switchport mode access S1(config-if)# spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode. S1(config-if)# exit S1(config)# spanning-tree portfast default %Warning: this command enables portfast by default on all interfaces. You should now disable portfast explicitly on switched ports leading to hubs, switches and bridges as they may create temporary bridging loops. S1(config)# exit S1# show running-config | begin span spanning-tree mode pvst spanning-tree portfast default spanning-tree extend system-id ! interface FastEthernet0/1 switchport mode access spanning-tree portfast ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! (output omitted) S1#
3. Configurar BPDU Guard
Aunque PortFast está habilitado, la interfaz seguirá escuchando por BPDUs. Los BPDUs inesperados pueden ser accidentales o parte de un intento no autorizado para agregar un switch a una red.
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se coloca en estado error-disabled. Esto significa que el puerto se cierra y debe volver a habilitarse manualmente o recuperarse automáticamente mediante el comando global errdisable recovery cause psecure_violation
.
BPDU Guard se puede habilitar en un puerto mediante el comando de configuración de la interfaz spanning-tree bpduguard enable. Alternativamente, usa el comando de configuración global spanning-tree portfast bpduguard default para habilitar globalmente BPDU guarden todos los puertos habilitados para PortFast.
Para mostrar información sobre el estado del árbol de expansión, usa el comando show spanning-tree summary
. En el ejemplo, PortFast default y BPDU Guard están ambos habilitados como estado por defecto/Default para los puertos configurados como modo de acceso.
S1(config)# interface fa0/1 S1(config-if)# spanning-tree bpduguard enable S1(config-if)# exit S1(config)# spanning-tree portfast bpduguard default S1(config)# end S1# show spanning-tree summary Switch is in pvst mode Root bridge for: none Extended system ID is enabled Portfast Default is enabled PortFast BPDU Guard Default is enabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short (output omitted) S1#
4. Comprobador de Sintaxis: Mitigar Ataques STP
Implementa Portfast y BPDU Guard para un switch basado en la siguiente topología y requerimientos específicos.

Te encuentras actualmente en una sesión en S1. Completa los siguientes pasos para implementar PortFast y BPDU Guard en todos los puertos de acceso.
- Entra en el modo de configuración de la interfaz para fa0/1 – 24.
- Configura los puertos en modo de acceso.
- Vuelve al modo de configuración global.
- Habilita PortFast por defecto para todos los puertos de acceso.
- Habilita BPDU Guard por defecto para todos los puertos de acceso.
S1(config)#interface range fa0/1 - 24 S1(config-if-range)#switchport mode access S1(config-if-range)#exit S1(config)#spanning-tree portfast default S1(config)#spanning-tree portfast bpduguard default S1(config)# exit
Verifica que PortFast y BPDU Guard están habilitadas por defecto revisando un resumen/summary de la información de STP.
S1#show spanning-tree summary
Switch is in pvst mode Root bridge for: none Extended system ID is enabled Portfast Default is enabled PortFast BPDU Guard Default is enabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short (output omitted) S1#
Has configurado y verificado exitosamente Portfast y BPDU Guard para el switch
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.