Switch/BPDU-Guard: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „==BPDU-Guard und -Filter== * BPDU-Guard deaktiviert einen Switchport, sobald er ein BPDU-Paket empfängt. * Die Ursache kann in einem Angriff oder im unerlaub…“ |
K Textersetzung - „«“ durch „''“ |
||
| (9 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
* Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder. | * Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder. | ||
* BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein. | * BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein. | ||
* Das geschieht im Interface mit | * Das geschieht im Interface mit ''spanning-tree bpduguard enable'' oder global mit ''spanning-tree portfast bpduguarddefault'' . | ||
* BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt. | * BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt. | ||
* Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit | * Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit ''spanning-tree bpdu-filter enable'' im Interface oder global mit ''spanning-tree portfast bpdufilter default'' . | ||
* Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches. | * Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches. | ||
* Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge. | * Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge. | ||
| Zeile 19: | Zeile 19: | ||
[[Datei:Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png|Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png]] | [[Datei:Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png|Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png]] | ||
[[Kategorie:Switch]] | |||
Aktuelle Version vom 31. März 2025, 12:10 Uhr
BPDU-Guard und -Filter
- BPDU-Guard deaktiviert einen Switchport, sobald er ein BPDU-Paket empfängt.
- Die Ursache kann in einem Angriff oder im unerlaubten Anschließen eines Switches liegen.
- Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder.
- BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein.
- Das geschieht im Interface mit spanning-tree bpduguard enable oder global mit spanning-tree portfast bpduguarddefault .
- BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt.
- Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit spanning-tree bpdu-filter enable im Interface oder global mit spanning-tree portfast bpdufilter default .
- Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches.
- Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge.
- Das zöge allerdings eine Änderung der gesamten Netzwerktopologie und damit möglicherweise suboptimale Pfade sowie Performance-Engpässe nach sich.
- Schutz gegen eine versehentliche oder auch böswillige Änderung der Root Bridge bietet der Root Guard
- Abbildung 2 zeigt eine Ausgangslage, in der Switch D zum Netzwerk hinzukommt.
- Unterbietet dessen Bridge Priority aus einem der genannten Gründe die der bisherigen Root Bridge, ändert sich die Topologie daraufhin wie in Abbildung 3.
