CCNA 200-301 · Switching

Le Spanning-Tree Root Guard

Empêcher qu’un équipement non autorisé devienne Root-Bridge en bloquant les BPDU à Bridge ID trop faible sur un port.

Présentation du Spanning-Tree Root Guard

Par défaut, tous les ports d’un switch sont capables de recevoir et de traiter des trames BPDU.
Sachant que les protocoles Spanning-Tree ne sont pas sécurisés, il suffit qu’un équipement envoie une trame BPDU avec un Bridge ID plus faible que le Root-Bridge pour que notre topologie Spanning-Tree change du tout au tout.
La commande Root Guard se configure sur un port.

Objectif du Spanning-Tree Root Guard

La commande spanning tree guard root va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus faible que le Root-Bridge actuel.

Configuration du Spanning-Tree Root Guard

Switch(config-if)# spanning-tree guard root

Cette sécurité se met sur une interface physique.

Conclusion

Dans une topologie Spanning-Tree, le Root-Bridge doit faire partie du Core (Cœur de réseau).
Il faut donc mettre le « spanning tree guard root » sur toutes nos interfaces Trunk :

  • Interne aux SWITCH BLOC
  • Vers le CORE
Root Guard - Où le mettre en place
Root Guard – Où le mettre en place

Concernant les utilisateurs connectés à la partie ACCESS, nous allons faire en sorte qu’il ne reçoive et n’émette aucune trame BPDU.
Pour ce faire, nous allons utiliser le :

Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →