Vsphere ESXi , güvenlik sıkılaştırmaları (security hardening) dokümanına göz gezdirdiğinizde BPDU Guard satırı mutlaka dikkatinizi çekmiştir. Çünkü, vSwitch’ler Spanning Tree protokolünü desteklemedikleri için BPDU paketleri de oluşturmazlar. Fakat bu dokümana göre BPDU Filter özelliğini mutlaka aktif etmeliyiz, peki ama neden?
Sorumuzun cevabına geçmeden önce, yazımızı şekillendirecek olan teknik terimleri birer cümle ile özetleyelim. Spanning Tree, switchler arasındaki oluşabilecek Loop ‘ları önlemeye yarayan protokoldür. BPDU ise, switchler arası STP bilgilerini taşıyan paketlerdir. Bu paketler yardımıyla Spanning Tree network trafiğini şekillendirir fakat bu işlem sırasında 55 saniye kadar gecikmeler meydana gelir. Bu gecikmeleri önlemek için başka bir switch bağlantısının gerçekleşmeyeceği portlara, Port Fast ve BPDU Guard ikilisinden oluşan konfigurasyonu gerçekleştirilir. Port Fast, STP aşamalarından birkaçını doğrudan geçerek ağ kaynaklarına hızlı erişim sağlar. BPDU guard ise, herhangi bir sebeple porttan BPDU paketi alınırsa o portu kullanılmaz hale getirir. Normal şartlar altında 5-6 saatlik Spanning Tree dersi bu kadar kısa özetlenemezdi sanırım :).
Şimdi sorumuzun cevabına geçebiliriz. Vsphere ortamları için tavsiye edilen network yapılandırmalarında, uplink portlarının bağlı olduğu fiziksel switch portlarına mutlaka BPDU Guard ve Port Fast konfigurasyonunun uygulanması tavsiye edilmektedir.
Ersin Can 