La Unidad de datos de protocolo de puente (BPDU) es una unidad de mensaje de protocolo de árbol de expansión (STP) que describe los atributos del puerto del conmutador, como la dirección MAC, la prioridad y el costo, lo que permite que los conmutadores participen en el Protocolo de árbol de expansión para recopilar información entre sí. .
Guardia BPDU
BPDU Guard es una función que defiende la topología del protocolo de árbol de expansión (STP) de capa 2 contra las amenazas relacionadas con BPDU y está diseñada para proteger la red de conmutación. La función de protección de BPDU debe activarse en los puertos que no deben recibir BPDU de los dispositivos conectados. Si utiliza la función PortFast del Protocolo de árbol de expansión (STP) para configurar los puertos del conmutador, debe conectarse a los dispositivos finales (estaciones de trabajo, servidores, impresoras, etc.). PortFast solo está habilitado en el puerto de acceso para acelerar la transición del puerto de acceso al estado de reenvío STP. Los dispositivos finales no deben generar BPDU porque los conmutadores de red intercambian mensajes de BPDU en un entorno de red normal.
Para evitar un posible bucle de puente, BPDU Guard bloquea las interfaces como medida preventiva. El mecanismo BPDU Guard se utiliza para mantener las influencias externas fuera del dominio del árbol de expansión. BPDU Guard está desactivado de forma predeterminada, pero se recomienda encarecidamente para todos los puertos que tengan activada la función Port Fast. En los puertos donde Spanning Tree está desactivado, esto evita que se inyecte información incorrecta en el dominio de Spanning Tree.
En el modo de configuración global, la función BPDU Guard se puede habilitar globalmente o por interfaz en el modo de configuración de interfaz. El puerto se deshabilita y el estado del puerto se establece en Errdisable (igual que el estado de apagado) cada vez que un puerto habilitado para BPDU Guard obtiene una BPDU del dispositivo vinculado.
La protección de BPDU se puede habilitar o deshabilitar por puerto. Cuando se recibe una BPDU en el puerto, la protección de BPDU la desactiva. Los dispositivos detrás de dichos puertos están efectivamente bloqueados para que no participen en el STP como resultado de la desactivación. Un puerto se debe volver a habilitar manualmente después de haberlo deshabilitado. La protección de BPDU está desactivada de forma predeterminada.
Configuración de BPDU Guard globalmente en el modo de configuración global
Comandos para habilitar BPDU Guard de forma predeterminada en todos los puertos PortFast Edge:
system#configure terminal system(config)#spanning-tree portfast edge bpduguard default system(config)#exit system#
Comandos para deshabilitar BPDU Guard en todos los puertos PortFast Edge:
system#configure terminal system(config)#no spanning-tree portfast edge bpduguard default system(config)#exit system#
Configuración de BPDU Guard en el modo de configuración de interfaz por interfaz
Comandos para habilitar BPDU Guard para una interfaz
system#configure terminal system(config)#interface giga 0/0 system(config-if)#spanning-tree bpduguard enable system(config-if)#exit system(config)#exit system#
Comandos para deshabilitar BPDU Guard para una interfaz
system#configure terminal system(config)#interface giga 0/0 system(config-if)#spanning-tree bpduguard disable system(config-if)#exit system(config)#exit system#
Ventajas
- BPDU Guard evita que los dispositivos de conmutación se conecten accidentalmente a puertos habilitados para PortFast.
- Si alguien intenta conectar un dispositivo L2 a la red, el protector de BPDU asegura que será rechazado. Antes de que se interrumpa el árbol de expansión, se recorta.
Desventaja
- Siempre que el usuario necesite un puerto de conmutador de acceso con un conmutador conectado, el usuario debe visitar la CLI del conmutador de acceso para desactivar la protección de BPDU.
Publicación traducida automáticamente
Artículo escrito por siddheshsagar y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA