Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

Spanning-Tree BPDU Guard

Finger In The Net
Chapitre 1

Présentation du Spanning-Tree BPDU Guard

BPDU = Bridge Protocol Data Unit

Les trames BPDU sont des trames générées par le protocole Spanning-Tree.

Présentation du BPDU Guard
Présentation du BPDU Guard

Elles permettent de :

  • S’annoncer aux autres Switchs
  • Recevoir des informations Spanning-Tree de ses voisins.

Dans l’article précédent, nous avons vu l’utilité du PortFast.
Le BPDUGuard permet d’ignorer toutes les trames BPDU reçu sur un port utilisant le PortFast

Chapitre 2

Pourquoi activer le BPDU Guard

Mise en situation

Prenons cette architecture en exemple :

BPDU Guard - Exemple 1
Architecture de base
  • Le PVST+ est activé par défaut
  • Tous nos équipements ont la valeur de Bridge-ID par défaut.
  • Le Switch B à l’adresse MAC la plus basse, il devient donc le ROOT-BRIDGE.

PVST en conclut la topologie suivante :

BPDU Guard - Topologie PVST
Topologie PVST

Dans la peau d'un pirate

Action

  • J’ai un ordinateur avec deux cartes réseau.
  • Je me connecte sur le Switch B et C.
  • Je génère des trames BPDU sur mes deux interfaces avec un Bridge ID inférieur au root-bridge actuel.

Conséquences

  • Je deviens le Root Bridge de la topologie Spanning Tree !!
  • La topologie est recalculée par PVST :
BPDU Guard - Dans la peau d'un Pirate
Dans la peau d’un Pirate

Notre topologie à changer ,

[contentcropnow]

Tous les flux transitent par le “Pirate”!

Deux solutions s’offrent à lui :

  • Se comporter comme un Switch (pour récupérer des informations)
  • Faire du déni de service.

Si le BPDUGuard est activé sur une interface et que celle-ci reçoit une trame BPDU, le port va se mettre en ERR-DISABLE.
Ceci permet à l’administrateur réseau de traiter la source du problème tout en gardant la topologie spanning-tree opérationnelle .

Le BPDU Guard met le port en mode ERR-DISABLE
Le BPDU Guard met le port en mode ERR-DISABLE
Chapitre 3

Configuration du BPDU Guard

Exemple :

  • Nous avons un Switch 24 ports Fast Ethernet + 2 Ports GigaBitEthernet :
  • Les ports Fast Ethernet vont nous servir de port d’accès client
  • Les ports GigaBitEthenet vont être nos ports Trunk.
  • Nous voulons activer le portfast sur tous nos ports d’accès client.

Pour ce faire, deux solutions :

Activer le BPDUGuard port par port

Switch(config)# interface range Fa 0/1 - 24 
Switch(config-if)# spanning-tree bpduguard enable 

Activer le BPDUGuard pour tous les ports

Switch(config)# spanning-tree portfast default 
Switch(config)# spanning-tree portfast bpduguard default 

Switch(config)# interface range Gi 1/1 - 2 
Switch(config-if)# spanning-tree portfast disable

La commande spanning-tree portfast default permet d’activer le PortFast sur tous les ports du switch.
La commande spanning-tree portfast bpduguard default permet d’activer le BPDUGuard sur tous les ports utilisant le PortFast.
La commande spanning-tree portfast disable  permet de désactiver le PortFast précédemment activé. Par conséquence, le BPDUGuard vas aussi être désactivé.

Chapitre 4

Conclusion

Si vous activez le Portfast, activez aussi le BPDU Guard !

Sur le même thème :

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

quinze − 2 =

Guide de préparation officiel au

CCNA 200-301

CURSUS DE FORMATION