Introduction à Root Guard
Root Guard est une fonctionnalité de sécurité du Spanning Tree Protocol (STP) de Cisco qui permet de protéger le réseau contre des modifications imprévues ou non autorisées (le fameux stagiaire fou). Plus précisément, Root Guard est conçu pour empêcher un switch indésirable de devenir le root bridge dans un réseau STP. Cela est particulièrement important dans des environnements où la stabilité doit être maintenue de manière rigoureuse. En gros, un peu partout, sauf chez vous dans votre lab de révision CCNA 😊
Fonctionnement de Root Guard
Pour comprendre le rôle de Root Guard, il est important de se rappeler comment le Spanning Tree Protocol (STP) fonctionne. STP est utilisé pour prévenir les boucles de commutation en créant une topologie où un switch est désigné comme root bridge. Tous les chemins vers le root bridge sont alors optimisés, et les chemins redondants sont bloqués.
Je vous invite à lire cet article pour en savoir plus : https://reussirsonccna.fr/le-spanning-tree-et-ses-3-problemes/
Root Guard intervient en spécifiant quels ports d’un switch ne doivent jamais accepter des BPDU (Bridge Protocol Data Units) revendiquant un rôle de root bridge supérieur. Lorsqu’un port configuré avec Root Guard reçoit un BPDU revendiquant une meilleure priorité que le root bridge actuel, le port passe immédiatement en état « root-inconsistent », ce qui le désactive temporairement (ouf !). Cette action empêche le switch indésirable de devenir le root bridge, mais dès que les BPDUs contestataires cessent, le port retourne automatiquement à son état actif normal.
Configuration de Root Guard
Configurer Root Guard est assez simple. Voici un exemple de configuration sur un switch Cisco :
1. Accédez au mode de configuration globale :
Switch# configure terminal
2. Sélectionnez l’interface ou la gamme d’interfaces sur laquelle vous souhaitez activer Root Guard (donc tous les ports vers les utilisateurs par exemple):
Switch(config)# interface range gigabitethernet 0/1 - 24
3. Activez Root Guard sur l’interface :
Switch(config-if-range)# spanning-tree guard root
4. Sauvegardez la configuration :
Switch(config-if-range)# end
Switch# write memory
Avantages de Root Guard
- Prévention des modifications non autorisées : Root Guard empêche quiconque d’introduire un switch indésirable (le fameux switch du stagiaire qui fait des tests et plante tout le réseau) qui pourrait perturber la topologie du réseau en devenant root bridge.
- Stabilité du réseau : En maintenant la hiérarchie souhaitée, Root Guard assure une stabilité accrue du réseau.
- Simplicité d’implémentation : Root Guard est facile à configurer et à gérer.
Limitations de Root Guard
- Port désactivé temporairement : Lorsqu’un BPDU contestataire est reçu, le port est désactivé, ce qui peut entraîner des interruptions temporaires de connectivité.
- Pas de protection contre toutes les attaques : Root Guard ne protège pas contre tous les types d’attaques ou de défaillances réseau, notamment celles qui ne concernent pas la priorité de root bridge.
Liens officiels Cisco
Pour approfondir vos connaissances et obtenir des informations directement de la source, voici quelques ressources officielles de Cisco :
- Documentation Cisco sur Root Guard (en anglais)
- Guide de configuration du Spanning Tree Protocol (en français)
- Page officielle de Cisco sur STP
Conclusion
Root Guard est une fonctionnalité essentielle pour toute personne préparant la certification Cisco CCNA nouvelle version v1.1 car il est désormais inclus.
En maintenant la stabilité et la hiérarchie du réseau, Root Guard assure une performance optimale et une gestion simplifiée.
Il est important de bien comprendre Root Guard car ça tombera lors du CCNA !