Created by potrace 1.10, written by Peter Selinger 2001-2011

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Login
Logout
Logo FingerInTheNet en blanc

Spanning-Tree BPDU Guard

Article de blog | Finger In The Net

Table des matières

Switch-cisco

Spanning-Tree BPDU Guard

  • Nombre de lecteurs : 5651
  • Rédigé par : Noël NICOLAS

Table des matières

Chapitre 1

Présentation du Spanning-Tree BPDU Guard

BPDU = Bridge Protocol Data Unit

Les trames BPDU sont des trames générées par le protocole Spanning-Tree.

Présentation du BPDU Guard
Présentation du BPDU Guard

Elles permettent de :

  • S’annoncer aux autres Switchs
  • Recevoir des informations Spanning-Tree de ses voisins.

Dans l’article précédent, nous avons vu l’utilité du PortFast.
Le BPDUGuard permet d’ignorer toutes les trames BPDU reçu sur un port utilisant le PortFast

Chapitre 2

Pourquoi activer le BPDU Guard

Mise en situation

Prenons cette architecture en exemple :

BPDU Guard - Exemple 1
Architecture de base
  • Le PVST+ est activé par défaut
  • Tous nos équipements ont la valeur de Bridge-ID par défaut.
  • Le Switch B à l’adresse MAC la plus basse, il devient donc le ROOT-BRIDGE.

PVST en conclut la topologie suivante :

BPDU Guard - Topologie PVST
Topologie PVST

Dans la peau d'un pirate

Action

  • J’ai un ordinateur avec deux cartes réseau.
  • Je me connecte sur le Switch B et C.
  • Je génère des trames BPDU sur mes deux interfaces avec un Bridge ID inférieur au root-bridge actuel.

Conséquences

  • Je deviens le Root Bridge de la topologie Spanning Tree !!
  • La topologie est recalculée par PVST :
BPDU Guard - Dans la peau d'un Pirate
Dans la peau d’un Pirate

Notre topologie à changer ,

[contentcropnow]

Tous les flux transitent par le “Pirate”!

Deux solutions s’offrent à lui :

  • Se comporter comme un Switch (pour récupérer des informations)
  • Faire du déni de service.

Si le BPDUGuard est activé sur une interface et que celle-ci reçoit une trame BPDU, le port va se mettre en ERR-DISABLE.
Ceci permet à l’administrateur réseau de traiter la source du problème tout en gardant la topologie spanning-tree opérationnelle .

Le BPDU Guard met le port en mode ERR-DISABLE
Le BPDU Guard met le port en mode ERR-DISABLE
Chapitre 3

Configuration du BPDU Guard

Exemple :

  • Nous avons un Switch 24 ports Fast Ethernet + 2 Ports GigaBitEthernet :
  • Les ports Fast Ethernet vont nous servir de port d’accès client
  • Les ports GigaBitEthenet vont être nos ports Trunk.
  • Nous voulons activer le portfast sur tous nos ports d’accès client.

Pour ce faire, deux solutions :

Activer le BPDUGuard port par port 

Switch(config)# interface range Fa 0/1 - 24 
Switch(config-if)# spanning-tree bpduguard enable

Activer le BPDUGuard pour tous les ports 

Switch(config)# spanning-tree portfast default 
Switch(config)# spanning-tree portfast bpduguard default 

Switch(config)# interface range Gi 1/1 - 2 
Switch(config-if)# spanning-tree portfast disable

La commande spanning-tree portfast default permet d’activer le PortFast sur tous les ports du switch.
La commande spanning-tree portfast bpduguard default permet d’activer le BPDUGuard sur tous les ports utilisant le PortFast.
La commande spanning-tree portfast disable  permet de désactiver le PortFast précédemment activé. Par conséquence, le BPDUGuard vas aussi être désactivé.

Chapitre 4

Conclusion

Si vous activez le Portfast, activez aussi le BPDU Guard !

Sur le même thème :

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.