Die BPDU Guard-Funktion wird verwendet, um die Layer 2 Spanning Tree Protocol (STP)-Topologie vor BPDU-bezogenen Angriffen zu schützen. Die BPDU Guard-Funktion muss an einem Port aktiviert werden, der niemals eine BPDU von seinem angeschlossenen Gerät empfangen soll. Wenn ein Switch-Port mit der Spanning Tree Protocol (STP) PortFast-Funktion konfiguriert ist, muss er mit einem Endgerät verbunden sein (z. B. Workstation, Server, Drucker usw.). Die PortFast-Funktion ist nur auf Zugangsports aktiviert, um den Übergang des Zugangsports in den STP-Weiterleitungszustand zu beschleunigen. Endgeräte sollen keine BPDUs erzeugen, da in einer normalen Netzwerkumgebung BPDU-Nachrichten von Netzwerk-Switches ausgetauscht werden.
Die Funktion BPDU Guard kann global im globalen Konfigurationsmodus oder pro Schnittstelle im Schnittstellenkonfigurationsmodus aktiviert werden. Wenn ein mit BPDU Guard aktivierter Port BPDU von einem angeschlossenen Gerät empfängt, deaktiviert BPDU Guard den Port und der Portstatus wird in den Errdisable-Status geändert.
So konfigurieren Sie BPDU Guard global im globalen Konfigurationsmodus
Die folgenden Konfigurationsbefehle aktivieren BPDU Guard standardmäßig auf allen PortFast Edge-Ports.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Nachfolgende Konfigurationsbefehle deaktivieren BPDU Guard auf allen PortFast Edge Ports.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#no spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Wie Sie BPDU Guard pro Schnittstelle im Schnittstellen-Konfigurationsmodus konfigurieren
Nachfolgende Konfigurationsbefehle aktivieren BPDU Guard für eine Schnittstelle.