Le Spanning-Tree Root Guard
Empêcher qu’un équipement non autorisé devienne Root-Bridge en bloquant les BPDU à Bridge ID trop faible sur un port.
Présentation du Spanning-Tree Root Guard
Par défaut, tous les ports d’un switch sont capables de recevoir et de traiter des trames BPDU.
Sachant que les protocoles Spanning-Tree ne sont pas sécurisés, il suffit qu’un équipement envoie une trame BPDU avec un Bridge ID plus faible que le Root-Bridge pour que notre topologie Spanning-Tree change du tout au tout.
La commande Root Guard se configure sur un port.
Objectif du Spanning-Tree Root Guard
La commande spanning tree guard root va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus faible que le Root-Bridge actuel.
Configuration du Spanning-Tree Root Guard
Switch(config-if)# spanning-tree guard rootCette sécurité se met sur une interface physique.
Conclusion
Dans une topologie Spanning-Tree, le Root-Bridge doit faire partie du Core (Cœur de réseau).
Il faut donc mettre le « spanning tree guard root » sur toutes nos interfaces Trunk :
- Interne aux SWITCH BLOC
- Vers le CORE

Concernant les utilisateurs connectés à la partie ACCESS, nous allons faire en sorte qu’il ne reçoive et n’émette aucune trame BPDU.
Pour ce faire, nous allons utiliser le :
