Switch/BPDU-Guard: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite Switch:BPDU-Guard nach Switch/BPDU-Guard, ohne dabei eine Weiterleitung anzulegen: Textersetzung - „:“ durch „/“ |
K Textersetzung - „»“ durch „''“ |
||
| Zeile 4: | Zeile 4: | ||
* Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder. | * Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder. | ||
* BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein. | * BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein. | ||
* Das geschieht im Interface mit | * Das geschieht im Interface mit ''spanning-tree bpduguard enable« oder global mit ''spanning-tree portfast bpduguarddefault« . | ||
* BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt. | * BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt. | ||
* Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit | * Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit ''spanning-tree bpdu-filter enable« im Interface oder global mit ''spanning-tree portfast bpdufilter default« . | ||
* Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches. | * Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches. | ||
* Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge. | * Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge. | ||
Version vom 31. März 2025, 12:05 Uhr
BPDU-Guard und -Filter
- BPDU-Guard deaktiviert einen Switchport, sobald er ein BPDU-Paket empfängt.
- Die Ursache kann in einem Angriff oder im unerlaubten Anschließen eines Switches liegen.
- Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder.
- BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein.
- Das geschieht im Interface mit spanning-tree bpduguard enable« oder global mit spanning-tree portfast bpduguarddefault« .
- BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt.
- Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit spanning-tree bpdu-filter enable« im Interface oder global mit spanning-tree portfast bpdufilter default« .
- Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches.
- Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge.
- Das zöge allerdings eine Änderung der gesamten Netzwerktopologie und damit möglicherweise suboptimale Pfade sowie Performance-Engpässe nach sich.
- Schutz gegen eine versehentliche oder auch böswillige Änderung der Root Bridge bietet der Root Guard
- Abbildung 2 zeigt eine Ausgangslage, in der Switch D zum Netzwerk hinzukommt.
- Unterbietet dessen Bridge Priority aus einem der genannten Gründe die der bisherigen Root Bridge, ändert sich die Topologie daraufhin wie in Abbildung 3.
