Root Guard

Spanning Tree

Root Guard

 

 

Le Spanning-Tree est un gros chapitre !

Pour ce faire , j’ai du diviser ce sujet en plusieurs articles :

00 – Introduction

01 – Protocole STP

02 – Protocole RSTP

03 – Type de Spanning-Tree

031 – PVST+
032 – Rapid-PVST+
033 – MST

04 – Sécurisation

041 – Portfast
042 – Root Guard
043 – BPDU Guard
044 – Loop Guard
045 – UDLD

 

Pour une bonne compréhension :

Les articles 00 – Introduction , 01 – Protocole STP et 02 – Protocole RSTP sont à lire dans cet ordre.

Après avoir lu ces 3 articles, vous pouvez naviguer librement dans les catégories 03 – Type de Spanning-Tree et 04 – Sécurisation

 


 

042 – Root Guard

 

 

Présentation


 

Par défaut, tous les ports d’un switch sont capables de recevoir et de traiter des trames BPDU.

Sachant que les protocoles Spanning-Tree ne sont pas sécurisés, il suffit simplement qu’un équipement envoi une trame BPDU avec un Bridge ID plus faible que le Root-Bridge pour que notre topologie Spanning-Tree change du tout au tout.

La commande Root Guard se configure sur un port

Elle va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus faible que le Root-Bridge Actuel.

 

Configuration


 

Switch(config-if)#spanning-tree guard root

Cette sécurité ce met sur une interface physique.

 

Conclusion


 

Dans une topologie Spanning-Tree, le Root-Bridge doit faire partie Core (Cœur de réseau).

Il faut donc mettre le « spanning tree guard root » sur toutes nos interfaces Trunk :

– Interne aux SWITCH BLOC

– Vers le CORE

 

Concernant les utilisateurs connectés à la partie ACCESS. Nous allons faire en sorte qu’il ne reçoivent et n’émettent aucune trame BPDU.

Pour ce faire, nous allons utiliser le:

BPDU Guard

BPDU Filter

 

Prochain article


 


>>>>>>>>> BPDU Guard <<<<<<<<<<

 

Avez vous déjà mis en place cette sécurité ?

 

@Fingerinthenet

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

4 thoughts on “Root Guard”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *