BPDU Guard

BPDU Guard

 

Pré-Requis


Le Spanning-Tree est un gros chapitre !

Pour ce faire , j’ai du diviser ce sujet en plusieurs articles :

00 – Introduction

01 – Protocole STP

02 – Protocole RSTP

03 – Type de Spanning-Tree

031 – PVST+
032 – Rapid-PVST+
033 – MST

04 – Sécurisation

041 – Portfast
042 – Root Guard
043 – BPDU Guard
044 – Loop Guard
045 – UDLD

 

Pour une bonne compréhension :

Les articles 00 – Introduction , 01 – Protocole STP et 02 – Protocole RSTP sont à lire dans cet ordre.

Après avoir lu ces 3 articles, vous pouvez naviguer librement dans les catégories 03 – Type de Spanning-Tree et 04 – Sécurisation

 

Présentation


 

BPDU = Bridge Protocol Data Unit

Les trames BPDU sont des trames générées par le protocole Spanning-Tree.

 

 

Elles permettent de :

– S’annoncer aux autres Switchs

– Recevoir des informations Spanning-Tree de ses voisins.

 

 

 

 

 

 

 

 

 

Dans l’article précédent, nous avons vu l’utilité du PortFast.

Le BPDUGuard permet d’ignorer toutes les trames BPDU reçu sur un port.

 

Pourquoi activer le BPDU Guard


 

Situation


Prenons cette architecture en exemple :

– Le PVST+ est activé par défaut

– Tous nos équipements ont la valeur de Bridge-ID par défaut.

– Le Switch B à l’adresse MAC la plus basse, il devient donc le ROOT-BRIDGE.

PVST en conclue la topologie suivante :

Dans la peau d’un Pirate


Action

J’ai un ordinateur avec deux cartes réseaux.

Je me connecte sur le Switch B et C.

Je génère des trames BPDU sur mes deux interfaces avec un Bridge ID que le root-bridge actuel.

Conséquence

Je deviens le Root Bridge de la topologie Spanning Tree !!

La topologie est recalculé par PVST :

Notre topologie à changé ,

Tous les flux transitent par le « Pirate »!

Deux solutions s’offre à lui :

– Se comporter comme un Switch (Pour récupérer des informations)

– Faire du déni de service.

Si le BPDUGuard est activé sur une interface et que celle ci reçoit une trame BPDU, le port va se mettre en ERR-DISABLE.

Ceci permet à l’administrateur réseau de traiter la source du problème tout en gardant la topologie spanning-tree opérationnelle .

Configuration


Exemple :

Nous avons un Switch 24 ports FastEthernet + 2 Ports GigaBitEthernet :

Les ports FastEthernet vont nous servir de port d’accèss client

Les port GigaBitEthenet vont être nos ports Trunk.

Nous voulons activer le portfast sur tous nos ports d’accès client.

Pour se faire, deux solutions :

Activer le BPDUGuard port par port


Switch(config)#interface range Fa 0/1 - 24
Switch(config-if)#spanning-tree bpduguard enable

Activer le BPDUGuard pour tous les ports du Switch


Switch(config)#spanning-tree portfast default
Switch(config)#spanning-tree portfast bpduguard default

Switch(config)#interface range Gi 1/1 - 2 
Switch(config-if)#spanning-tree portfast disable

La commande spanning-tree portfast default permet d’activer le PortFast sur tous les ports du switch.

La commande spanning-tree portfast bpduguard default permet d’activer le BPDUGuard sur tous les ports utilisant le PortFast.

La commande spanning-tree portfast disable  permet de désactiver le PortFast précédemment activé. Par conséquence, le BPDUGuard vas aussi être désactivé.

 

Conclusion


 

 

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

8 thoughts on “BPDU Guard”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *