BPDU Guard y Root Guard son mejoras al Protocolo de Árbol de expansión (STP) que mejoran la fiabilidad del protocolo ante eventos inesperados.

Recuerde que el propósito del algoritmo de Árbol de expansión es crear una ruta única a través de la red para evitar bucles porque el marco Ethernet no tiene un mecanismo de prevención de bucles. Como resultado, una red Ethernet siempre está diseñada como un árbol invertido como este:

Hay bucles en este diseño que se implementan para la resiliencia es decir. STP bloqueará una ruta dada en la operación planificada, pero se puede activar una ruta alternativa si falla la ruta principal.

Sin embargo, STP es susceptible a varios fallos debido a un diseño de red deficiente 1 o a ciertos tipos de problemas operativos. Tanto BPDU Guard como Root Guard se utilizan para imponer la disciplina de diseño y garantizar que el protocolo STP funcione según lo diseñado.

BPDU Guard

BPDU guard desactiva el puerto tras la recepción de BPDU si PortFast está habilitado en el puerto. Esto impide que los dispositivos conectados a estos puertos participen en el STP diseñado, protegiendo así el núcleo de su centro de datos.

Nota: En el caso de que se reciba la BPDU, el puerto normalmente se apagará en estado «errdisable» y requerirá volver a habilitar manualmente el puerto. Alternativamente, puede configurar el puerto para intentar volver a activarlo configurando el»tiempo de espera errdisable»

Root Guard

Root guard permite que el dispositivo participe en STP siempre que el dispositivo no intente convertirse en root. Si root guard bloquea el puerto, la recuperación posterior es automática. La recuperación se produce tan pronto como el dispositivo infractor deja de enviar BPDU superiores.

¿Dónde ?

Dado que la protección BPDU y la Protección Raíz son principalmente para garantizar la aplicación del diseño ( integridad / seguridad) , deben configurarse en ubicaciones específicas de las redes.