RSTP: root guard, BPDU guard ou loop guard?

Dans vos configurations réseau vous avez peut être vu passer des réglages pour RSTP (Rapid Spanning Tree Protocol) qui vous échappent?

On vous explique rapidement et simplement l’utilité de 3 de ces réglages.

Ces réglages servent notamment quand vous avez plusieurs switches dans votre réseau et que vous voulez préserver le bon fonctionnement de celui-ci grâce à STP et RSTP.

Pour commencer, définissez bien les priorités STP de vos switches .. par exemple votre switch coeur / principal sur 0 puis les autres 4096 etc.

Le switch racine (root) avec la priorité la plus haute (la valeur la plus basse) devrait être proche de vos actifs réseaux importants comme votre routeur, vos serveurs etc.

Les réglages disponibles pour les réglages RSTP sont :

  • Désactivé
  • Root Guard
  • BPDU Guard
  • Loop Guard

A quoi sert Root Guard?

Le réglage Root Guard protège la topologie de votre réseau en empêchant les switches et actifs réseau qui sont derrière un port avec cette configuration d’envoyer un message Bridge Protocol Data Units (BPDU) qui les placerait comme ayant une priorité plus élevée dans le réseau.

Si un port de switch avec ce réglage voit passer un message avec un BPDU plus élevé que le switch a , il passe le port en mode “STP inconsistant” ce qui fait qu’il n’apprend plus les adresses MAC et ne fait plus suivre le trafic.

On applique donc ce réglage sur les ports du switch “principal” qui se connectent à des switches voisins ou d’accès. Si vous utilisez des bornes Wi-Fi qui font du Mesh, vous pouvez aussi le configurer sur les ports du switch qui servent des bornes.

A quoi sert BPDU Guard?

BPDUs – Bridge Protocol Data Units – comme expliqué plus tard est un système utilisé pour transmettre des messages sur le réseau visants à maintenir la cohérence de la topologie STP.

BPDU Gard c’est un peu un garde frontière : si un port avec ce réglage voit passer un message BPDU, le port se désactive par sécurité.

On applique donc ce réglage sur les ports qui ont des réglages Access (pour les VLANs) et qui sont donc connectés par exemple à des postes clients (ordinateurs, téléphone IP, caméra) et sur lequels un switch n’a pas lieu d’être branché.

A quoi sert Loop Guard?

Loop Guard sert à protéger un réseau de boucles unidirectionnelles.

Ce réglage est à utiliser notamment sur des fibres qui sont utilisées dans des réseaux redondants, sur des ponts WiFi et potentiellement en conjonction avec le réglage Unidirectional Link Detection (UDLD).

Tous ces réglages sont très utiles dans des réseaux même avec un seul switch mais surtout avec plusieurs switches, reliés entre eux en plusieurs fois etc pour éviter la formation de boucle réseau, qu’un utilisateur mal intentionné altère votre topologie ou que sans faire exprès quelqu’un perturbe le fonctionnement de votre réseau.