La funzione BPDU Guard è usata per proteggere la topologia STP (Layer 2 Spanning Tree Protocol) dagli attacchi BPDU. La funzione BPDU Guard deve essere abilitata su una porta che non dovrebbe mai ricevere una BPDU dal suo dispositivo collegato. Se una porta dello switch che è configurata con la funzione PortFast dello Spanning Tree Protocol (STP), deve essere collegata a un dispositivo finale (per esempio: workstation, server, stampante ecc.). Il PortFast è abilitato solo sulle porte di accesso per accelerare la transizione della porta di accesso allo stato di inoltro STP. I dispositivi finali non dovrebbero generare BPDU, perché in un normale ambiente di rete, i messaggi BPDU sono scambiati dagli switch di rete.
La funzione BPDU Guard può essere abilitata globalmente nella modalità di configurazione globale o per interfaccia nella modalità di configurazione dell’interfaccia. Quando una porta abilitata a BPDU Guard riceve BPDU dal dispositivo collegato, BPDU Guard disabilita la porta e lo stato della porta viene cambiato in stato Errdisable.
Come configurare BPDU Guard globalmente in modalità configurazione globale
I seguenti comandi di configurazione abilitano BPDU Guard per default su tutte le porte edge PortFast.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
I seguenti comandi di configurazione disabilitano BPDU Guard su tutte le porte edge PortFast.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#no spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Come configurare BPDU Guard per interfaccia in modalità configurazione interfaccia
I seguenti comandi di configurazione abilitano BPDU Guard per una interfaccia.