2day > KnowHow > Cisco > BPDU Guard

BPDU Guard

Mit BPDU-Guard wird ein Switchport deaktiviert, sobald der Port eine BPDU empfängt. BPDU-Guard eignet sich für alle Edge-Ports eines Switches die für PCs, Netzwerkdrucker und VoIP-Telefone vorgesehen sind.

BPDU-Guard schützt vor falschen Patchungen, unberechtigt installierten Switches (mit STP) und Angreifern mit Tools wie ettercap und Yersinia. Mit BPDU-Filter lassen sich alle BPDUs auf einem Interface filtern.
Portfast

Im Normalfall durchläuft ein Switchport beim Aktivieren die Phasen des Spanning Tree Protokolls: Blocking, Listening, Learning und Forwarding. Dadurch dauert es etwa 30 Sekunden bis der Port Nutzdaten transportiert. Das kann zu Problemen mit DHCP führen. Oft bekommen PCs keine IP-Adresse vom DHCP-Server und ziehen sich eine Adresse via Auto-IP (169.254.nnn.nnn). Mit Portfast wechselt der Port von Blocking direkt zu Forwarding.
BPDU Guard einrichten

BPDU-Guard kann gezielt pro Interface aktiviert werden. Die folgende Konfiguration schaltet BPDU-Guard auf FastEthernet 0/1 an.

interface FastEthernet0/1
 spanning-tree bpduguard enable

Der Admin kann BPDU-Guard auch global auf allen Ports mit Portfast einschalten:

spanning-tree portfast bpduguard default

interface FastEthernet0/1
 spanning-tree portfast

BPDU Guard in Aktion

Bei aktiviertem BPDU-Guard wird ein Port beim Empfang einer Spanning Tree BPDU sofort deaktiviert (err-disable).

00:26:38: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.
00:26:38: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state
00:26:38: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

network lab Empfehlung

BPDU Guard und Portfast sollten auf allen Edge-Ports aktiviert werden. Den Bpdufilter zu aktivieren, macht nur in Spezialfällen Sinn.

interface FastEthernet0/1
 spanning-tree portfast
 spanning-tree bpduguard enable
2day Technik 4 Events