المفهوم الأساسي لـ BPDU Guard و Root Guard الذي يعد أحد أكثر الموضوعات إثارة للاهتمام لمعظم مهندسي الشبكات . معظم الناس في حيرة من أمرهم حول الفرق بينهما . لنتحدث عن كلاهما واحدًا تلو الآخر .
ما هو الـ BPDU Guard ؟
BPDU Guard
يقوم BPDU Guard بتعطيل البورت عند استقبال BPDU إذا تم تمكين Port-fast على البورت . يمنع التعطيل فعليًا الأجهزة الموجودة خلف هذه البورتات من المشاركة في STP .
يجب عليك إعادة تفعيل البورت الذي تم وضعه في حالة تعطيل الخطأ يدويًا أو تكوين مهلة تعطيل الخطأ . قد يكون استلام وحدات BPDU غير المتوقعة عرضيًا أو قد يكون جزءًا من محاولة غير مصرح بها لإضافة سويتش إلى الشبكة . من الأفضل نشر BPDU guard نحو المنافذ التي تواجه المستخدم لمنع امتدادات شبكة السويتشات المارقة من قبل المهاجم .
BPDU Guard ، تمنع المنافذ المخصصة لوصول المستخدم ، من الاتصال بأي سويتش غير مصرح له .. لذا فإن BPDU guard تشبه إلى حد كبير خيار الأمان القياسي لمنافذ الحواف العادية (منفذ سريع) .
هناك طريقتان لاستخدام BPDU guard :-
على الواجهة ، سيقوم BPDU guard بوضع المنفذ في حالة تعطيل إذا تم تلقي BPDU
في وضع التكوين العام ، سيقوم BPDU guard بتعطيل المنفذ سريعًا على أي واجهة إذا تم استلام BPDU .
ما هو الـ Root guard ؟
Root guard
عندما نتحدث عن Root guard ، إذا كان لديك منفذ تم تكوينه باستخدام root guard ويتلقى BPDU ، فسوف ينقل ذلك vlan المحدد إلى حالة Root غير المتسقة مما يعني بشكل فعال أنه سيتوقف عن تمرير حركة المرور إلى شبكة vlan من هذا المنفذ . لهذا السبب ، يجب أن تكون حذرًا جدًا في المكان الذي تضع فيه root-guard ليس فقط لسيناريوهات البيئة العادية ولكن عليك أن تكون على دراية بما سيحدث إذا تعطل الـ Root guard الأساسي .
سيكون أسهل شيء يمكنك القيام به هو إعداد root-guard فقط على الـ Root bridge الأساسي الخاص بك لتجنب سيناريو ينخفض فيه الـ Root bridge ويصادف أن يكون لديك الـ Root guard مهيأ على المنفذ الوحيد المتاح للوصول إلىالـ Root bridge الجديد .
يسمح Root guard للجهاز بالمشاركة في STP طالما أن الجهاز لا يحاول أن يصبح الـ Root . إذا قام الـ Root guard بحظر المنفذ ، فسيتم الاسترداد التالي تلقائيًا . يحدث الاسترداد بمجرد توقف الجهاز المخالف عن إرسال وحدات BPDU المتفوقة .
تم تصميم ميزة الـ Root guard لسويتشات سيسكو لتوفير طريقة لفرض وضع Root bridge في الشبكة . يحد Root guard من منافذ السويتش التي يمكن من خلالها التفاوض على Root bridge . إذا تلقى المنفذ الذي تم تمكين root-guard به وحدات BPDU متفوقة على تلك التي يرسلها Root bridge الحالي ، فسيتم نقل هذا المنفذ إلى حالة Root المزيفة .
ملاحظات :-
- من الأفضل نشر Root guard نحو المنافذ التي تتصل بالمفاتيح التي لا ينبغي أن تكون Root bridge .
- يمكن تمكين ميزة Root Guard على جميع منافذ السيوتش في الشبكة التي لا يجب أن يظهر Root bridge . تعمل أدوات حماية الـ Root على حماية Root bridge من التعديل بدون إذن المسؤول بواسطة سوييتش آخر .
- إذا كنت تدير جميع السويشتات ، فلن تحتاج إلى حماية ال Root ، لأنه يمكنك فقط تعيين أولويات التبديل . يعد Root guard مطلوبًا عند توصيل شبكة تديرها بشبكة لا تقوم أنت بإدارتها .