Vsphere ESXi , güvenlik sıkılaştırmaları (security hardening) dokümanına göz gezdirdiğinizde BPDU Guard satırı mutlaka dikkatinizi çekmiştir. Çünkü, vSwitch’ler Spanning Tree protokolünü desteklemedikleri için BPDU paketleri de oluşturmazlar. Fakat bu dokümana göre BPDU Filter özelliğini mutlaka aktif etmeliyiz, peki ama neden?
Sorumuzun cevabına geçmeden önce, yazımızı şekillendirecek olan teknik terimleri birer cümle ile özetleyelim. Spanning Tree, switchler arasındaki oluşabilecek Loop ‘ları önlemeye yarayan protokoldür. BPDU ise, switchler arası STP bilgilerini taşıyan paketlerdir. Bu paketler yardımıyla Spanning Tree network trafiğini şekillendirir fakat bu işlem sırasında 55 saniye kadar gecikmeler meydana gelir. Bu gecikmeleri önlemek için başka bir switch bağlantısının gerçekleşmeyeceği portlara, Port Fast ve BPDU Guard ikilisinden oluşan konfigurasyonu gerçekleştirilir. Port Fast, STP aşamalarından birkaçını doğrudan geçerek ağ kaynaklarına hızlı erişim sağlar. BPDU guard ise, herhangi bir sebeple porttan BPDU paketi alınırsa o portu kullanılmaz hale getirir. Normal şartlar altında 5-6 saatlik Spanning Tree dersi bu kadar kısa özetlenemezdi sanırım :).
Şimdi sorumuzun cevabına geçebiliriz. Vsphere ortamları için tavsiye edilen network yapılandırmalarında, uplink portlarının bağlı olduğu fiziksel switch portlarına mutlaka BPDU Guard ve Port Fast konfigurasyonunun uygulanması tavsiye edilmektedir.
İlerleyen zamanlarda ise önerilen bu ayarın “Denial of service” atakları için kullanıldığı tespit edilmiştir. Şöyle ki, vSwitch’e bağlı Vm üzerindeki zararlı bir yazılım eğer BPDU paketi üretir ise, Uplink portları fiziksel switch tarafından kapatılmakta ve ESXi host üzerindeki bütün sanal sunucular hizmet veremez hale gelmektedir.
Bu atakları önlemek içinse, Esxi 5.1 versiyonu ile birlikte BPDU Filter özelliği getirilmiştir. Bu ayar aktif edildikten sonra sanal switch ‘e gelen BPDU paketleri uplink portlarına ulaşmadan düşürülür.
Bu özelliği sunucular üzerinde aktif etmek için, Hosts and Clusters penceresinden Configuration Tab ‘ını açıyoruz ve Advanced Settings menüsüne ulaşıyoruz.
Açılan pencereden Net.BlockGuestBPDU parametresini 1 olarak değiştiriyoruz.
Faydalı olması dileğimle….
Kaynak : http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2017193
Ersin Can 
Ersin hocam eline sağlık. Yıllar sonra bu özellik nerede lazım oldu dersen bir ara anlatırım.
Faydalı olmasına sevindim hocam. O güzel bol aksiyonlu anıları zevkle dinlerim 🙂