Spanning-Tree BPDU Guard
Article de blog | Finger In The Net
Spanning-Tree BPDU Guard
- Nombre de lecteurs : 5651
- Rédigé par : Noël NICOLAS
Présentation du Spanning-Tree BPDU Guard
BPDU = Bridge Protocol Data Unit
Les trames BPDU sont des trames générées par le protocole Spanning-Tree.
Elles permettent de :
- S’annoncer aux autres Switchs
- Recevoir des informations Spanning-Tree de ses voisins.
Dans l’article précédent, nous avons vu l’utilité du PortFast.
Le BPDUGuard permet d’ignorer toutes les trames BPDU reçu sur un port utilisant le PortFast
Pourquoi activer le BPDU Guard
Mise en situation
Prenons cette architecture en exemple :
- Le PVST+ est activé par défaut
- Tous nos équipements ont la valeur de Bridge-ID par défaut.
- Le Switch B à l’adresse MAC la plus basse, il devient donc le ROOT-BRIDGE.
PVST en conclut la topologie suivante :
Dans la peau d'un pirate
Action
- J’ai un ordinateur avec deux cartes réseau.
- Je me connecte sur le Switch B et C.
- Je génère des trames BPDU sur mes deux interfaces avec un Bridge ID inférieur au root-bridge actuel.
Conséquences
- Je deviens le Root Bridge de la topologie Spanning Tree !!
- La topologie est recalculée par PVST :
Notre topologie à changer ,
Tous les flux transitent par le “Pirate”!
Deux solutions s’offrent à lui :
- Se comporter comme un Switch (pour récupérer des informations)
- Faire du déni de service.
Si le BPDUGuard est activé sur une interface et que celle-ci reçoit une trame BPDU, le port va se mettre en ERR-DISABLE.
Ceci permet à l’administrateur réseau de traiter la source du problème tout en gardant la topologie spanning-tree opérationnelle .
Configuration du BPDU Guard
Exemple :
- Nous avons un Switch 24 ports Fast Ethernet + 2 Ports GigaBitEthernet :
- Les ports Fast Ethernet vont nous servir de port d’accès client
- Les ports GigaBitEthenet vont être nos ports Trunk.
- Nous voulons activer le portfast sur tous nos ports d’accès client.
Pour ce faire, deux solutions :
Activer le BPDUGuard port par port
Switch(config)# interface range Fa 0/1 - 24
Switch(config-if)# spanning-tree bpduguard enable Activer le BPDUGuard pour tous les ports
Switch(config)# spanning-tree portfast default Switch(config)# spanning-tree portfast bpduguard default Switch(config)# interface range Gi 1/1 - 2 Switch(config-if)# spanning-tree portfast disable
La commande spanning-tree portfast default permet d’activer le PortFast sur tous les ports du switch.
La commande spanning-tree portfast bpduguard default permet d’activer le BPDUGuard sur tous les ports utilisant le PortFast.
La commande spanning-tree portfast disable permet de désactiver le PortFast précédemment activé. Par conséquence, le BPDUGuard vas aussi être désactivé.
Conclusion
Si vous activez le Portfast, activez aussi le BPDU Guard !
Sur le même thème :
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
Noël NICOLAS
Auteur de l'article
Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet
Eric JOUFFRILLON
Co-auteur de l'article
Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.
CURSUS DE FORMATION
Administrateur Réseau
Présentation
Les protocoles
En pratique
Les options
Présentation
Les bases
Les tables OSPF
La Sécurité
Autres
Présentation
Les échanges
Choix de la route
Choix du masque
Sécurité