Switch/BPDU-Guard: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „==BPDU-Guard und -Filter== * BPDU-Guard deaktiviert einen Switchport, sobald er ein BPDU-Paket empfängt. * Die Ursache kann in einem Angriff oder im unerlaub…“ |
K Dirkwagner verschob die Seite Switch:BPDU-Guard nach Switch/BPDU-Guard, ohne dabei eine Weiterleitung anzulegen: Textersetzung - „:“ durch „/“ |
||
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 19: | Zeile 19: | ||
[[Datei:Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png|Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png]] | [[Datei:Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png|Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png]] | ||
[[Kategorie:Switch]] |
Aktuelle Version vom 29. März 2023, 12:24 Uhr
BPDU-Guard und -Filter
- BPDU-Guard deaktiviert einen Switchport, sobald er ein BPDU-Paket empfängt.
- Die Ursache kann in einem Angriff oder im unerlaubten Anschließen eines Switches liegen.
- Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder.
- BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein.
- Das geschieht im Interface mit »spanning-tree bpduguard enable« oder global mit »spanning-tree portfast bpduguarddefault« .
- BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt.
- Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit »spanning-tree bpdu-filter enable« im Interface oder global mit »spanning-tree portfast bpdufilter default« .
- Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches.
- Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge.
- Das zöge allerdings eine Änderung der gesamten Netzwerktopologie und damit möglicherweise suboptimale Pfade sowie Performance-Engpässe nach sich.
- Schutz gegen eine versehentliche oder auch böswillige Änderung der Root Bridge bietet der Root Guard
- Abbildung 2 zeigt eine Ausgangslage, in der Switch D zum Netzwerk hinzukommt.
- Unterbietet dessen Bridge Priority aus einem der genannten Gründe die der bisherigen Root Bridge, ändert sich die Topologie daraufhin wie in Abbildung 3.