Présentation du Spanning-Tree Root Guard
Par défaut, tous les ports d’un switch sont capables de recevoir et de traiter des trames BPDU.
Sachant que les protocoles Spanning-Tree ne sont pas sécurisés, il suffit qu’un équipement envoie une trame BPDU avec un Bridge ID plus faible que le Root-Bridge pour que notre topologie Spanning-Tree change du tout au tout.
La commande Root Guard se configure sur un port.
Objectif du Spanning-Tree Root Guard
La commande spanning tree guard root va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus faible que le Root-Bridge Actuel.
Configuration du Spanning-Tree Root Guard
Switch(config-if)# spanning-tree guard root
Cette sécurité se met sur une interface physique.
Conclusion
Dans une topologie Spanning-Tree, le Root-Bridge doit faire partie Core (Cœur de réseau).
Il faut donc mettre le “spanning tree guard root” sur toutes nos interfaces Trunk :
- Interne aux SWITCH BLOC
- Vers le CORE

Concernant les utilisateurs connectés à la partie ACCESS. Nous allons faire en sorte qu’il ne reçoit et n’émet aucune trame BPDU.
Pour ce faire, nous allons utiliser le:
Sur le même thème :
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
Comments (1)
Félicitations !
Je suis tombé sur un document de CISCO qui dit ceci : “To enable root guard on a Layer 2 access port (to force it to become a designated port)”.
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/31sga/configuration/guide/config/stp_enha.pdf
Le document semble vouloir dire deux choses :
– Une interface configurée RootGuard ne deviendra pas RP.
– Le RootGuard est confifigurée sur les ports Access.