Spanning-Tree Root Guard

 

 

Pré-requis


Introduction au Spanning Tree
Protocole STP
Protocole RSTP

 

Présentation


Par défaut, tous les ports d’un switch sont capables de recevoir et de traiter des trames BPDU.
Sachant que les protocoles Spanning-Tree ne sont pas sécurisés, il suffit qu’un équipement envoi une trame BPDU avec un Bridge ID plus faible que le Root-Bridge pour que notre topologie Spanning-Tree change du tout au tout.
La commande Root Guard se configure sur un port

 

But 


 La commande spanning tree guard root va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus faible que le Root-Bridge Actuel.

 

Configuration


Switch(config-if)# spanning-tree guard root

Cette sécurité se met sur une interface physique.

 

Conclusion


Dans une topologie Spanning-Tree, le Root-Bridge doit faire partie Core (Cœur de réseau).
Il faut donc mettre le « spanning tree guard root » sur toutes nos interfaces Trunk :

– Interne aux SWITCH BLOC
– Vers le CORE

Root Guard - Où le mettre en place

Root Guard – Où le mettre en place

 

Concernant les utilisateurs connectés à la partie ACCESS. Nous allons faire en sorte qu’il ne reçoivent et n’émettent aucune trame BPDU.
Pour ce faire, nous allons utiliser le:

BPDU Guard
BPDU Filter

 

Prochain article


 


>>>>>>>>> BPDU Guard <<<<<<<<<<

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

 

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

1
Poster un Commentaire

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
Kayoumt
Invité
Kayoumt

Félicitations !

Je suis tombé sur un document de CISCO qui dit ceci : « To enable root guard on a Layer 2 access port (to force it to become a designated port) ».

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/31sga/configuration/guide/config/stp_enha.pdf

Le document semble vouloir dire deux choses :

– Une interface configurée RootGuard ne deviendra pas RP.
– Le RootGuard est confifigurée sur les ports Access.