3
STP - BPDU vs Root Guard
Hi,
eine kleine Verständnisfrage zu STP, wenn ich BPDU Guard an einem Port aktiviert habe, dann brauche ich doch Root Guard nicht noch zustälich aktivieren?
Mein Verständnis:
- BPDU Guard dropt alle BPDUs die ingress an dem Port reinkommen = kein STP an dem Port möglich
- Root Guard, dropt alle BPDUs die die bestehende Root Bridge ändern würden = STP möglich, aber alles was dran hängt kann keine Root Bridge werden
BPDU Guard scheint mir restriktiver zu sein, weshalb Root Guard nicht noch zusätzlich aktiviert werden muss?
Sehe ich da so richtig (unter der Prämisse, dass an dem Port kein STP betrieben werden soll)?
Danke
eine kleine Verständnisfrage zu STP, wenn ich BPDU Guard an einem Port aktiviert habe, dann brauche ich doch Root Guard nicht noch zustälich aktivieren?
Mein Verständnis:
- BPDU Guard dropt alle BPDUs die ingress an dem Port reinkommen = kein STP an dem Port möglich
- Root Guard, dropt alle BPDUs die die bestehende Root Bridge ändern würden = STP möglich, aber alles was dran hängt kann keine Root Bridge werden
BPDU Guard scheint mir restriktiver zu sein, weshalb Root Guard nicht noch zusätzlich aktiviert werden muss?
Sehe ich da so richtig (unter der Prämisse, dass an dem Port kein STP betrieben werden soll)?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 590096
Url: https://administrator.de/contentid/590096
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
BPDU-Guard ist hier gut erklärt
Cisco BPDU-Guard und unmanaged Switch (Port Mirroring)
ist aber etwas anderes, als du es beschreibst und in dem Schaubild schon ersichtlich.
Kurzum: Die BPDUs werden nicht gedroppt, sondern der Port deaktiviert, wenn entweder das eigens ausgesendete BPDU-Paket wieder zurückkommt (siehe Schaubild), oder ein BPDU-Paket von einem anderen Switch auf dem Port eingeht.
Mit Root-Guard arbeite ich selber nicht, ist auch idR überflüssig, wenn man die Priorities sauber durchkonfiguriert.
BPDU-Guard ist hier gut erklärt
Cisco BPDU-Guard und unmanaged Switch (Port Mirroring)
ist aber etwas anderes, als du es beschreibst und in dem Schaubild schon ersichtlich.
Kurzum: Die BPDUs werden nicht gedroppt, sondern der Port deaktiviert, wenn entweder das eigens ausgesendete BPDU-Paket wieder zurückkommt (siehe Schaubild), oder ein BPDU-Paket von einem anderen Switch auf dem Port eingeht.
Mit Root-Guard arbeite ich selber nicht, ist auch idR überflüssig, wenn man die Priorities sauber durchkonfiguriert.
Die Erklärung ist nicht ganz richtig. STP Pakete werden durch diese Funktion niemals "gedropt" sondern bei BPDU Guard aktivierten Ports geht dieser in den sog. Error disable Mode. Sprich er wird schlicht abgeschaltet. So merkst du auch als Admin wenn einer mit unauthorisierten STP Switches im Netz rumfummelt.
Je nach Konfiguration des Switches kann man den Error Disable so einstellen das er nach einem Zeitintervall X den Link automatisch wieder aktiviert oder das das manuell durch den Admin geschieht.
Kollege @chgorges hat hier also Recht und es oben ja schon gesagt.
Root Guard ist auch Port basierend und man definiert dies in der Regel auf seinem Root Switch (STP Priority höher 32768) im Netzwerk den man bei STP Beteieb immer zwingend definieren sollte.
Versucht also jemand wieder mit einem unauthorisierten Root Switch deine Netzwerk Topologie zu kapern schütz das indem man damit statisch definiert was Root Port ist und was nicht.
Mehr oder minder hast du recht, denn BPDU Guard inkludiert indirekt ja auch Root Guard. Root Guard ist nur dann relevant wenn jemand an deine Backbone Struktur kommt wo in der Regel ja kein BPDU Guard aktiviert ist.
Kannst du das sicher ausschliessen reicht BPDU Guard aus.
Weitere Erklärungen inkl. bunter Bilder auch hier:
BPDU Guard:
https://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-p ...
Root Guard:
https://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-p ...
Je nach Konfiguration des Switches kann man den Error Disable so einstellen das er nach einem Zeitintervall X den Link automatisch wieder aktiviert oder das das manuell durch den Admin geschieht.
Kollege @chgorges hat hier also Recht und es oben ja schon gesagt.
Root Guard ist auch Port basierend und man definiert dies in der Regel auf seinem Root Switch (STP Priority höher 32768) im Netzwerk den man bei STP Beteieb immer zwingend definieren sollte.
Versucht also jemand wieder mit einem unauthorisierten Root Switch deine Netzwerk Topologie zu kapern schütz das indem man damit statisch definiert was Root Port ist und was nicht.
Mehr oder minder hast du recht, denn BPDU Guard inkludiert indirekt ja auch Root Guard. Root Guard ist nur dann relevant wenn jemand an deine Backbone Struktur kommt wo in der Regel ja kein BPDU Guard aktiviert ist.
Kannst du das sicher ausschliessen reicht BPDU Guard aus.
Weitere Erklärungen inkl. bunter Bilder auch hier:
BPDU Guard:
https://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-p ...
Root Guard:
https://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-p ...
Vielen Dank!
Unsere Switche können übrigens BPDUs droppen, was ich für unsere sehr sepezielle Situation sehr praktisch finden.
Deshlab habe ich das so gesagt - mea cupla: Idr. gehen sie in err-disabeld.
Unsere Switche können übrigens BPDUs droppen, was ich für unsere sehr sepezielle Situation sehr praktisch finden.
Deshlab habe ich das so gesagt - mea cupla: Idr. gehen sie in err-disabeld.
