Generando un loop de capa 2 con un enlace WiFi

Fecha: 10 de Octubre del 2013

A través de esta prueba se intenta crear un loop de layer 2 (un bucle) mediante dos access

point conectados como AP y cliente, y cerrando el bucle mediante un patch cord conectado

al switch Catalyst 2960, al que se le desactivó el spanning-tree para lograr la prueba.

 

La conexión accidental a un switch que no posea spanning-tree, por ejemplo un switch no

administrable o (unmanaged), también se simuló con un hub, logrando el mismo efecto.

 

Escenario

 

Configuración de AP_1

 

 

 

Configuración de AP_2

 

 

Configuración del Catalyst 2960

 

!

interface FastEthernet0/11

 switchport mode access

 storm-control broadcast level pps 1k (umbral de 1000 paquetes por segundo)

 storm-control action trap (para verificar el bucle)

 spanning-tree portfast (para acelerar el proceso)

 spanning-tree bpdufilter enable (desactiva spanning-tree)

 spanning-tree bpduguard disable (desactiva spanning-tree)

!

interface FastEthernet0/12

 storm-control broadcast level pps 1k

 storm-control action trap

 spanning-tree portfast

 spanning-tree bpdufilter enable

 spanning-tree bpduguard disable

!

 

Pruebas

C:\>ping 10.0.0.1 -t -l 1272

Haciendo ping a 10.0.0.1 con 1272 bytes de datos:

 

Respuesta desde 10.0.0.1: bytes=1272 tiempo=3ms TTL=64

Respuesta desde 10.0.0.1: bytes=1272 tiempo=3ms TTL=64

Respuesta desde 10.0.0.1: bytes=1272 tiempo=3ms TTL=64

Respuesta desde 10.0.0.1: bytes=1272 tiempo=3ms TTL=64

Respuesta desde 10.0.0.1: bytes=1272 tiempo=5ms TTL=64

---resumido---

Respuesta desde 10.0.0.1: bytes=1272 tiempo=3ms TTL=64

Respuesta desde 10.0.0.1: bytes=1272 tiempo=3ms TTL=64

Respuesta desde 10.0.0.1: bytes=1272 tiempo=3ms TTL=64

Tiempo de espera agotado para esta solicitud.

Tiempo de espera agotado para esta solicitud.

Tiempo de espera agotado para esta solicitud.

Tiempo de espera agotado para esta solicitud.

 

Un solo broadcast desencadena la tormenta:

 

 

Verificación en Catalyst 2960:

 

Switch#

00:15:08: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to up

00:15:08: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to up

00:15:08: %SW_MATM-4-MACFLAP_NOTIF: Host d4ca.6d81.8a11 in vlan 1 is flapping between port Fa0/11 and port Fa0/12

00:15:08: %SW_MATM-4-MACFLAP_NOTIF: Host 001b.387e.f171 in vlan 1 is flapping between port Fa0/11 and port Fa0/12

00:15:09: %STORM_CONTROL-3-FILTERED: A Broadcast storm detected on Fa0/12. A packet filter action has been applied on the interface.

00:15:09: %SW_MATM-4-MACFLAP_NOTIF: Host d4ca.6d9f.5429 in vlan 1 is flapping between port Fa0/11 and port Fa0/12

Switch#

 

 

Puede apreciarse que los paquetes pasan al umbral del storm control del switch y se pierde la conexión.

 

                                               

 

Los intentos de conexión son fallidos hasta eliminar el bucle.

 

  

 

De tener habilitado el spanning-tree en el switch este bucle no puede generarse, otra opción también es

configurar el spanning-tree en el bridge formado por las interfaces  Wlan1 y Eth2 en el AP_1, y el bridge

entre Wlan1, Eth2 y Eth3 en el AP_2.

 

El objetivo del laboratorio era demostrar que la tormenta de broadcast puede transmitirse por WiFi, en

este caso a 54 Mbps, lo que no tiene tanto impacto en el segmento de cobre.

 

 

 

(2013) Tales from uncle Ernst

Rosario, Argentina