La función BPDU Guard se utiliza para proteger la topología del protocolo de árbol de expansión de capa 2 (STP) de los ataques relacionados con BPDU. La función BPDU Guard debe estar habilitada en un puerto que nunca debe recibir una BPDU de su dispositivo conectado. Si un puerto del switch está configurado con la función PortFast del Protocolo de árbol de expansión (STP), debe estar conectado a un dispositivo final (por ejemplo, una estación de trabajo, un servidor, una impresora, etc.). La función PortFast se activa sólo en los puertos de acceso para acelerar la transición del puerto de acceso al estado de reenvío STP. Los dispositivos finales no deben generar BPDUs, porque en un entorno de red normal, los mensajes BPDU son intercambiados por los conmutadores de red.
La función BPDU Guard puede activarse globalmente en el modo de configuración global o por interfaz en el modo de configuración de interfaz. Cuando un puerto habilitado para BPDU Guard recibe BPDU del dispositivo conectado, BPDU Guard deshabilita el puerto y el estado del puerto cambia al estado Errdisable.
Cómo configurar BPDU Guard globalmente en el modo de configuración global
Los siguientes comandos de configuración habilitan BPDU Guard por defecto en todos los puertos de borde PortFast.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Los siguientes comandos de configuración deshabilitan BPDU Guard en todos los puertos de borde PortFast.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#no spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Cómo configurar BPDU Guard por interfaz en el modo de configuración de interfaz
Los siguientes comandos de configuración habilitan BPDU Guard para una interfaz.