De BPDU Guard-functie wordt gebruikt om de Layer 2 Spanning Tree Protocol (STP)-topologie te beschermen tegen BPDU-gerelateerde aanvallen. De BPDU-bewakingsfunctie moet worden ingeschakeld op een poort die nooit een BPDU van het aangesloten apparaat mag ontvangen. Als een switchpoort die is geconfigureerd met Spanning Tree Protocol (STP) PortFast-functie, moet deze worden verbonden met een eindapparaat (Bijvoorbeeld: werkstation, server, printer, enz.). De PortFast is alleen ingeschakeld op toegangspoorten om de overgang van toegangspoort naar STP forwarding status te versnellen. Eindapparaten worden niet verondersteld BPDU’s te genereren, omdat in een normale netwerkomgeving BPDU-berichten worden uitgewisseld door netwerk-switches.
BPDU Guard kan globaal worden ingeschakeld in de Global configuration mode of per interface in de Interface configuration mode. Wanneer een ingeschakelde poort BPDU Guard ontvangt van het aangesloten apparaat, schakelt BPDU Guard de poort uit en wordt de poortstatus gewijzigd in de status Errdisable.
Hoe BPDU Guard globaal configureren in de Global Configuration Mode
Onderstaande configuratiecommando’s schakelen standaard BPDU Guard in op alle PortFast edge poorten.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Onderstaande configuratiecommando’s schakelen BPDU Guard uit op alle PortFast edge poorten.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#no spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Hoe BPDU Guard per interface te configureren in de Interface Configuratie Modus
Onderstaande configuratiecommando’s schakelen BPDU Guard in voor een interface.