DÉVERROUILLEZ LE MONDE DE L'IT

Apprentissage Sans Frontières

Accédez gratuitement à nos supports de cours et élargissez vos horizons en IT

Abonnez-vous à la Newsletter & Accédez à des Contenus Exclusifs

PortFast et BPDU Guard : pour une sécurisation du réseau

PortFast et BPDU Guard : pour une sécurisation du réseau

Damien.SO Damien.SO
7 minutes de lecture

PortFast et BPDU Guard

PorfFast et BPDU Guard : Le spanning tree permet d'avoir une topologie réseau sans boucles.

Il est important de prendre des précautions, à chaque fois que l'on active un port de switch.

Si le port qu'on active est connecté à un autre switch, alors des BPDU seront échangées pour s'assurer qu'il n'y a aucune boucle dans le réseau.

Pendant ce temps de convergence, le port passe dans différents états.

  • D'abord, il se met dans un état de Blocage, durant 20 secondes au maximum.
  • Ensuite, il passe en état d'Écoute, durant 15 secondes. C'est-à-dire que le port écoute les BPDU qu'il reçoit pour savoir s'il doit repasser en état de blocage ou s'il peut continuer son processus.
  • Si tout se passe bien, le port passe dans un état de Learning, pendant 15 secondes au maximum.
  • Et pour finir, il passe dans l'état de Forwarding, une fois que le port du switch est certain qu'il n'y aura aucune boucle réseau, s'il envoie des données.

Le port restera en surveillance, et se désactivera automatiquement à la moindre modification de la topologie, pour éviter qu'une boucle se produise…

Pour résumer, si le port du switch se connecte à un autre switch, alors le cycle d'initialisation du spanning tree s'effectuera pour assurer une topologie sans boucle.

Par contre, pour les périphériques du type « accès », comme des ordinateurs ou des serveurs, les retards causés par le protocole STP peuvent causer pas mal de problèmes.

Surtout au niveau des délais de réponses.

Le spanning tree est conçu pour empêcher les boucles, mais sur les équipements en bout de chaîne, en théorie, il ne peut pas y avoir de boucle.

PortFast et BPDU Guard

C'est pourquoi Cisco a conçu les fonctionnalités :

  • « PortFast »
  • Et « Garde BPDU »

Pour réduire le temps que met un port pour atteindre l'état de transit.

PortFast permet de démarrer la communication beaucoup plus rapidement.

C'est-à-dire qu'il va contourner les différents états du spanning tree, pour arriver directement à l'état de forwarding.

Il se configure uniquement sur les ports du switch qui sont déjà en mode « accès ».

Généralement, on combine le porfast avec la fonction « BPDUGUARD » qui permet de désactiver le port immédiatement, dès qu'il reçoit des BPDU.

Dans une configuration PortFast, c'est-à-dire sans spanning tree, les BPDU ne doivent pas exister, car des périphériques d'accès ou finaux n'en génèrent pas.

Si le port reçoit tout de même des BPDU, c'est qu'un utilisateur a connecté un switch à la place de son PC, ce qui pourrait provoquer une boucle.

C'est là qu'intervient « BPDU GUARD ».

Si des BPDU sont reçus sur un port configuré en port rapide, alors il désactivera immédiatement le port et fera apparaître un message de ce type sur la console.

Les fonctions PortFast et BPDUGUARD  peuvent être configurées par port ou globalement sur tous les ports d'un switch.

La commande  « spanning-tree portfast »  configure PortFast uniquement sur une interface.

Et la commande  « spanning-tree bpduguard activate »  active la protection BPDU sur l'interface.

Si on souhaite configurer ces 2 fonctions sur toutes les interfaces du switch, il faudra utiliser les commandes :

  • « Spanning-Tree Portfast bpduguard par défaut »
  • et « spanning-tree portfast par défaut »,

En mode de configuration global !

Pour vérifier si ces deux fonctions sont bien actives, on peut le voir dans le fichier de la running-config,

Ou bien en faisant un  « show spanning-tree summary ».

Cette dernière commande permet de voir si c'est activé en globalité sur l'équipement !

PortFast et BPDU Guard sont deux fonctionnalités cruciales dans la configuration des switches Cisco, visant à accélérer la convergence du réseau et à renforcer sa sécurité en prévenant les boucles indésirables.

Le protocole Spanning Tree Protocol (STP) est fondamental pour assurer une topologie réseau sans boucles. Cependant, lors de l'activation d'un port sur un switch, surtout s'il est connecté à un autre switch, des échanges de BPDUs (Bridge Protocol Data Units) sont nécessaires pour garantir l'absence de boucles. Ce processus peut entraîner des retards de convergence, ce qui peut être problématique pour les périphériques d'accès comme les ordinateurs ou les serveurs.

Pour remédier à ces problèmes, Cisco a développé deux fonctionnalités clés : PortFast et BPDU Guard. PortFast permet d'accélérer le processus de convergence en contournant les différents états du Spanning Tree pour atteindre rapidement l'état de forwarding. Cette fonctionnalité est spécifiquement conçue pour les ports déjà configurés en mode « accès ». En combinaison avec PortFast, BPDU Guard désactive immédiatement un port dès qu'il reçoit des BPDUs. Cela évite la formation de boucles réseau potentiellement dangereuses.

La configuration de PortFast et BPDU Guard peut se faire soit individuellement par port, soit globalement sur tous les ports d'un switch. Les commandes spécifiques, telles que "spanning-tree portfast" et "spanning-tree bpduguard activate", sont utilisées pour activer ces fonctionnalités sur des interfaces spécifiques. En revanche, pour une configuration globale sur l'ensemble des interfaces du switch, les commandes "spanning-tree portfast default" et "spanning-tree portfast bpduguard default" sont utilisées au niveau de la configuration globale.

Il est essentiel de vérifier régulièrement la configuration de ces fonctionnalités pour s'assurer qu'elles sont correctement activées. Cela peut être fait en consultant la running-config du switch ou en utilisant la commande "show spanning-tree summary". La mise en place efficace de PortFast et BPDU Guard contribue à garantir la stabilité et la sécurité du réseau, en réduisant les temps de convergence et en prévenant les éventuelles boucles qui pourraient compromettre ses performances.

Conclusion

PortFast et ses équivalents sont des atouts incontournables pour les professionnels du réseau, assurant une convergence rapide et une défense contre les boucles, garantissant ainsi le bon fonctionnement et la sécurité des switches Cisco dans tout environnement réseau. Ces fonctionnalités offrent une configuration agile et une prévention efficace des anomalies, contribuant à maintenir la stabilité opérationnelle et la fiabilité des infrastructures réseau. En bref, leur intégration dans l'arsenal des administrateurs réseau est cruciale pour soutenir les performances optimales et la sécurité des réseaux informatiques modernes.

Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.

 

 

« Retour au blog