M2 · Switching e LAN

Proteção STP — Root Guard e BPDU Guard

O STP protege a rede contra loops, mas não se protege sozinho de switches não autorizados ou mal configurados. Root Guard e BPDU Guard são mecanismos complementares que blindam a topologia STP em redes de produção.

Por que proteger o STP?

Sem proteção, qualquer switch conectado à rede pode:

  • Disputar o papel de Root Bridge enviando BPDUs com prioridade menor
  • Causar convergência desnecessária, derrubando tráfego por segundos ou minutos
  • Abrir vetores de ataque para manipulação de topologia (STP manipulation attack)

BPDU Guard

Função

Desativa imediatamente uma porta que recebe qualquer BPDU. Usado em portas de acesso onde nunca deveria haver switch conectado — tipicamente portas com PortFast ativado.

Comportamento

Ao receber uma BPDU, a porta entra em estado err-disabled e para de encaminhar tráfego. Requer intervenção manual (ou timer) para reativação.

Configuração

Habilitar globalmente em todas as portas com PortFast:

spanning-tree portfast bpduguard default

Habilitar por interface:

interface GigabitEthernet0/1
 spanning-tree bpduguard enable

Reativar porta em err-disabled manualmente:

interface GigabitEthernet0/1
 shutdown
 no shutdown

Reativação automática (em segundos):

errdisable recovery cause bpduguard
errdisable recovery interval 300

Verificação

show spanning-tree summary
show errdisable recovery
show interfaces GigabitEthernet0/1 status

Root Guard

Função

Impede que uma porta específica aceite uma BPDU Superior — ou seja, bloqueia a chegada de um switch que tentaria se tornar o novo Root Bridge. Usado em portas de distribuição ou acesso conectadas a segmentos onde o Root Bridge nunca deve estar.

Comportamento

Ao receber uma BPDU Superior, a porta entra em root-inconsistent (bloqueada pelo STP), sem derrubar o link. Quando as BPDUs superiores cessam, a porta retorna automaticamente ao estado normal — sem necessidade de intervenção manual.

Configuração

Aplicado por interface:

interface GigabitEthernet0/2
 spanning-tree guard root

Verificação

show spanning-tree inconsistentports
show spanning-tree interface GigabitEthernet0/2 detail

Comparativo direto

Característica BPDU Guard Root Guard
Reage a Qualquer BPDU BPDU Superior (menor Bridge ID)
Porta típica Acesso / PortFast Uplinks para switches não confiáveis
Estado ao disparar err-disabled root-inconsistent
Recuperação Manual ou timer Automática
Configuração Global ou por interface Somente por interface

Pontos críticos para o exame

  • BPDU Guard + PortFast é a combinação padrão para portas de usuário final
  • Root Guard não usa err-disabled — a recuperação é automática
  • Nunca ative Root Guard na porta que conecta ao Root Bridge atual
  • BPDU Guard pode ser habilitado globalmente; Root Guard sempre por interface
  • Ambos os recursos são independentes e podem coexistir na mesma porta