bpduguard
일반적으로 엑세스 포트(사용자 단말 연결 포트)에는 BPDU가 오면 안 됨
오면 문제가 생겼다고 판단
즉, 2계층 보호를 위해 BPDu 차단
- 수신 시 포트 강제 셧다운
- portfast와 함께 설정하기에 적합
portfast 설정
Switch0(config)#spanning-tree vlan 1 priority 4096
Switch1(config)#spanning-tree vlan 1 priority 0
spaninng-tree portfast
bpduguard 설정
Switch0(config-if)#spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast has been configured on FastEthernet0/3 but will only
have effect when the interface is in a non-trunking mode.
Switch0(config-if)#spanning-tree bpduguard enable- 강제로 다운된 뒤에 포트를 활성화 시키기위해서는 다음과 같이 실행
shutdown
no shutdown
또는
Switch(config)# errdisable recovery cause bpduguard
Switch(config)# errdisable recovery interval 30위와 같이 자동 설정해줄 수도 있음
bpduguard VS bpdufilter
BPDU Guard: 엑세스 포트에서 BPDU가 들어오면 허용하지 않은 스위치 연결로 판단, 포트 다운
- 루프나 공격을 막기 위한 보안용
BPDU Filter: BPDU를 보내지도 않고 받아도 무시하는 기능, STP가 아예 작동하지 않아서 루프가 생길 위험이 큼
- 실험용이나 특별한 상황에서 사용
많은 경험을 해보고자 하는