Comme le fait justement remarquer Nicolas, bpdufilter en global ou par port n'a pas le même comportement. Si bpdufilter par port est sauf exceptions un nid à emmerdes (puisqu'il équivaut à ne pas avoir de spanningtree sur le port), en global il est moins pire puisqu'il transmet 10 BPDU avant de filtrer. Mais il y a rarement d'intérêt à empêcher les clients de voir les bpdu. bpduguard est par contre pertinent, sauf bien sûr face à un switch de blade center, où rootguard est la solution.
Le 23 sept. 2011 à 14:19, Damien Fleuriot a écrit : > > > On 9/23/11 2:12 PM, Nicolas MICHEL wrote: >> UDLD sur du copper faut pas avoir de bol :) >> >> Pour approfondir un peu, un bpdufilter en global configuration va aussi >> te permettre de perdre ton portfast si le port reçoit un BPDU. >> BPDU gard et portfast pour moi en général :) >> >> Bon vendredi. >> > > Ici, portfast sur les ports access, portfast trunk sur les ports trunk > non uplink. > > bpdufilter pour que les machines clientes ne voient rien, bpduguard pour > que leur port tombe si ils font des conneries. > > En projet: > - UDLD > - DAI > - DHCP snooping, c'est vrai que je l'avais pas mentionné mais ça serait > vraiment une bonne idée > > > Reste la question de: loopguard, intéressant ou pas, si oui sur quel > type de port (edge, uplink) ... > > Sauf erreur, on ne peut pas avoir root et loop guard en même temps :/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
