Switch/BPDU-Guard

Aus Foxwiki

BPDU-Guard und -Filter

  • BPDU-Guard deaktiviert einen Switchport, sobald er ein BPDU-Paket empfängt.
  • Die Ursache kann in einem Angriff oder im unerlaubten Anschließen eines Switches liegen.
  • Optional aktiviert der BPDU-Guard einen abgeschalteten Switchport mit einem Timer nach Ablauf einer gewissen Zeit automatisch wieder.
  • BPDU-Guard sollte auf jedem Access-Switchport konfiguriert sein.
  • Das geschieht im Interface mit »spanning-tree bpduguard enable« oder global mit »spanning-tree portfast bpduguarddefault« .
  • BPDU-Filter verhindert, dass ein Switch BPDUs über einen Switchport verschickt.
  • Auch dieses Feature sollte auf jedem Access-Port aktiviert sein mit »spanning-tree bpdu-filter enable« im Interface oder global mit »spanning-tree portfast bpdufilter default« .
  • Auch nachdem die Root Bridge gewählt und der gesamte Spanning Tree aktiv ist, können weitere Switches dem Netzwerk beitreten, beispielsweise bei der Installation eines neuen Stockwerk-Switches.
  • Hat eins der neuen Geräte eine niedrigere Bridge Priority, würde es dann zur neuen Root Bridge.
  • Das zöge allerdings eine Änderung der gesamten Netzwerktopologie und damit möglicherweise suboptimale Pfade sowie Performance-Engpässe nach sich.
  • Schutz gegen eine versehentliche oder auch böswillige Änderung der Root Bridge bietet der Root Guard
  • Abbildung 2 zeigt eine Ausgangslage, in der Switch D zum Netzwerk hinzukommt.
  • Unterbietet dessen Bridge Priority aus einem der genannten Gründe die der bisherigen Root Bridge, ändert sich die Topologie daraufhin wie in Abbildung 3.

Abbildung 2- Hat der neue Switch D eine niedrigere Bridge-Priority als Switch A.png

Abbildung 3- … ändert Spanning Tree die Netzwerktopologie..png

Abgerufen von „https://wiki.foxtom.de/index.php?title=Switch/BPDU-Guard&oldid=25332