Le Spanning-Tree Root Guard
Par défaut, tous les ports d’un switch sont capables de recevoir et de traiter des trames BPDU.
Sachant que les protocoles Spanning-Tree ne sont pas sécurisés, il suffit qu’un équipement envoie une trame BPDU avec un Bridge ID plus faible que le Root-Bridge pour que notre topologie Spanning-Tree change du tout au tout.
La commande Root Guard se configure sur un port.
La commande spanning tree guard root va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus faible que le Root-Bridge Actuel.
Switch(config-if)# spanning-tree guard rootCette sécurité se met sur une interface physique.
Dans une topologie Spanning-Tree, le Root-Bridge doit faire partie Core (Cœur de réseau).
Il faut donc mettre le “spanning tree guard root” sur toutes nos interfaces Trunk :
Concernant les utilisateurs connectés à la partie ACCESS. Nous allons faire en sorte qu’il ne reçoit et n’émet aucune trame BPDU.
Pour ce faire, nous allons utiliser le:
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet
Comments (1)
Félicitations !
Je suis tombé sur un document de CISCO qui dit ceci : “To enable root guard on a Layer 2 access port (to force it to become a designated port)”.
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/31sga/configuration/guide/config/stp_enha.pdf
Le document semble vouloir dire deux choses :
– Une interface configurée RootGuard ne deviendra pas RP.
– Le RootGuard est confifigurée sur les ports Access.