Created by potrace 1.10, written by Peter Selinger 2001-2011
Created by potrace 1.10, written by Peter Selinger 2001-2011
Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

Spanning-Tree BPDU Guard

Finger In The Net
Chapitre 1

Présentation du Spanning-Tree BPDU Guard

BPDU = Bridge Protocol Data Unit

Les trames BPDU sont des trames générées par le protocole Spanning-Tree.

Présentation du BPDU Guard
Présentation du BPDU Guard

Elles permettent de :

  • S’annoncer aux autres Switchs
  • Recevoir des informations Spanning-Tree de ses voisins.

Dans l’article précédent, nous avons vu l’utilité du PortFast.
Le BPDUGuard permet d’ignorer toutes les trames BPDU reçu sur un port utilisant le PortFast

Chapitre 2

Pourquoi activer le BPDU Guard

Mise en situation

Prenons cette architecture en exemple :

BPDU Guard - Exemple 1
Architecture de base
  • Le PVST+ est activé par défaut
  • Tous nos équipements ont la valeur de Bridge-ID par défaut.
  • Le Switch B à l’adresse MAC la plus basse, il devient donc le ROOT-BRIDGE.

PVST en conclut la topologie suivante :

BPDU Guard - Topologie PVST
Topologie PVST

Dans la peau d'un pirate

Action

  • J’ai un ordinateur avec deux cartes réseau.
  • Je me connecte sur le Switch B et C.
  • Je génère des trames BPDU sur mes deux interfaces avec un Bridge ID inférieur au root-bridge actuel.

Conséquences

  • Je deviens le Root Bridge de la topologie Spanning Tree !!
  • La topologie est recalculée par PVST :
BPDU Guard - Dans la peau d'un Pirate
Dans la peau d’un Pirate

Notre topologie à changer ,

[contentcropnow]

Tous les flux transitent par le “Pirate”!

Deux solutions s’offrent à lui :

  • Se comporter comme un Switch (pour récupérer des informations)
  • Faire du déni de service.

Si le BPDUGuard est activé sur une interface et que celle-ci reçoit une trame BPDU, le port va se mettre en ERR-DISABLE.
Ceci permet à l’administrateur réseau de traiter la source du problème tout en gardant la topologie spanning-tree opérationnelle .

Le BPDU Guard met le port en mode ERR-DISABLE
Le BPDU Guard met le port en mode ERR-DISABLE
Chapitre 3

Configuration du BPDU Guard

Exemple :

  • Nous avons un Switch 24 ports Fast Ethernet + 2 Ports GigaBitEthernet :
  • Les ports Fast Ethernet vont nous servir de port d’accès client
  • Les ports GigaBitEthenet vont être nos ports Trunk.
  • Nous voulons activer le portfast sur tous nos ports d’accès client.

Pour ce faire, deux solutions :

Activer le BPDUGuard port par port 

Switch(config)# interface range Fa 0/1 - 24 
Switch(config-if)# spanning-tree bpduguard enable

Activer le BPDUGuard pour tous les ports 

Switch(config)# spanning-tree portfast default 
Switch(config)# spanning-tree portfast bpduguard default 

Switch(config)# interface range Gi 1/1 - 2 
Switch(config-if)# spanning-tree portfast disable

La commande spanning-tree portfast default permet d’activer le PortFast sur tous les ports du switch.
La commande spanning-tree portfast bpduguard default permet d’activer le BPDUGuard sur tous les ports utilisant le PortFast.
La commande spanning-tree portfast disable  permet de désactiver le PortFast précédemment activé. Par conséquence, le BPDUGuard vas aussi être désactivé.

Chapitre 4

Conclusion

Si vous activez le Portfast, activez aussi le BPDU Guard !

Sur le même thème :

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

16 − 16 =

LA BOUTIQUE
DES GEEKS

Voir la boutique

CURSUS DE FORMATION

CHAPITRE 1 :

Les bases du réseau

CHAPITRE 2 :

La partie Switching

CHAPITRE 3 :

La partie ROUTING

CHAPITRE 4 :

Les services

CHAPITRE 5 :

La sécurité

CHAPITRE 6 :

Les VPNs

CHAPITRE 7 :

Spanning-Tree

LA BOUTIQUE
DES GEEKS

Guide de configuration CISCO

Ajouter au panier