Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Created by potrace 1.10, written by Peter Selinger 2001-2011

Le Spanning-Tree Root Guard

Finger In The Net
Chapitre 1

Présentation du Spanning-Tree Root Guard

Par défaut, tous les ports d’un switch sont capables de recevoir et de traiter des trames BPDU.
Sachant que les protocoles Spanning-Tree ne sont pas sécurisés, il suffit qu’un équipement envoie une trame BPDU avec un Bridge ID plus faible que le Root-Bridge pour que notre topologie Spanning-Tree change du tout au tout.
La commande Root Guard se configure sur un port.

Chapitre 2

Objectif du Spanning-Tree Root Guard

La commande spanning tree guard root va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus faible que le Root-Bridge Actuel.

Chapitre 3

Configuration du Spanning-Tree Root Guard

Switch(config-if)# spanning-tree guard root

Cette sécurité se met sur une interface physique.

Chapitre 4

Conclusion

Dans une topologie Spanning-Tree, le Root-Bridge doit faire partie Core (Cœur de réseau).
Il faut donc mettre le “spanning tree guard root” sur toutes nos interfaces Trunk :

  • Interne aux SWITCH BLOC
  • Vers le CORE
Root Guard - Où le mettre en place
Root Guard – Où le mettre en place

Concernant les utilisateurs connectés à la partie ACCESS. Nous allons faire en sorte qu’il ne reçoit et n’émet aucune trame BPDU.
Pour ce faire, nous allons utiliser le:

Sur le même thème :

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Félicitations !

Je suis tombé sur un document de CISCO qui dit ceci : “To enable root guard on a Layer 2 access port (to force it to become a designated port)”.

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/31sga/configuration/guide/config/stp_enha.pdf

Le document semble vouloir dire deux choses :

– Une interface configurée RootGuard ne deviendra pas RP.
– Le RootGuard est confifigurée sur les ports Access.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

3 × cinq =