STP - BPDU Guard



 ◆ STPの拡張技術 - BPDUガードの設定

 BPDUガードは、PortFastが設定されているCatalystスイッチポートで
BPDUを受信した時、そのポートを
 
error-disabledにする機能です。PortFastが設定されているポートではPC、サーバなどを接続することを
 前提としています。従って、BPDUガードを設定しておけば、スイッチ(つまりBPDUを送信する機器)が
 PortFastが設定されたポートに接続した場合でも、ポートを error-disabled にして不正接続を防止できて
 さらに、想定しないスイッチ機器の接続を防止することから、Layer2ループの発生を防ぐことができます。


     


 BPDUガードは、Catalystスイッチでポート単位で有効化することも、グローバルに有効化することも、
 できます。グローバルに有効化した場合とポート単位に有効化した場合とでは、適用範囲が異なります。


 ◆ BPDUガードの設定(ポート単位で有効化)
 (config-if)#
spanning-tree bpduguard enable

 ◆ BPDUガードの設定(スイッチ上でのグローバルでの有効化)
 (config)#
spanning-tree portfast bpduguard default

BPDUガードの適用方法 BPDUガードの適用範囲
ポート単位での有効化

 ポート単位で有効化した場合、portfastの設定の有無に関係なく該当ポートで
 BPDUガードを適用することになる。

スイッチ上でのグローバルでの有効化

 スイッチ全体で有効化することで、portfastが設定されている全てのポートに
 BPDUガードを適用することになる。



 ◆ BPDUガードが設定されたポートでスイッチを接続した場合の出力メッセージ例


 
%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0/1 with BPDU Guard enabled. Disabling port.
 %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state



 
上記メッセージが出力されて error-disabled になったポートは、手動で shutdown と no shutdown を実行すれば復旧します。
 あるいは、以下のrecoveryコマンドを設定しておけば300秒(デフォルト)ごとに自動的にポートを復旧させることができます。

 Catalyst(config) # errdisable recovery cause bpduguard



BPDUフィルタリング

ネットワークエンジニアとして

Copyright (C) 2002-2017 ネットワークエンジニアとして All Rights Reserved.