Thibaut Maquet – Architecte réseau et sécurité à Lyon

➡️ Parce qu’on n’est jamais à l’abri d’un switch pirate planqué sous un bureau 🧑‍🎓🔌

🌉 STP 101 : le rappel express

Le Spanning Tree Protocol (STP), c’est le bodyguard de ton réseau Ethernet. Il évite les boucles grâce aux BPDU 📨 que les switchs s’échangent pour s’organiser gentiment.
Mais que se passe-t-il quand un port est en portfast, qu’il est censé être connectés à des hôtes finaux, qu’il saute la procédure STP, et qu’un BPDU arrive par surprise ?
💥 PANIC !

🛡️ BPDU Guard : Le vigile du VLAN
👊 C’est le videur du réseau. Il garde l’entrée de ton STP avec des lunettes noires et un t-shirt « PORTFAST ONLY ».

🔧 Fonctionnement :
Active sur un port en mode portfast. Si ce port reçoit un BPDU → ⚠️ ce n’est pas normal ! 🧨 Il désactive immédiatement le port (→ err-disable) pour éviter tout risque de boucle.

🧠 En résumé :
« Ici c’est portfast. Si tu parles BPDU, tu dégages. »

✅ Avantages :
Ultra efficace
Zéro BPDU pirate
Protège contre les erreurs humaines (ou les stagiaires curieux 🧑‍🎓🔌)

🔄 Récupération : Manuelle (shutdown / no shutdown) ou automatique avec un errdisable recovery

🕵️ BPDU Filter : Le ninja un peu trop discret
💨 Lui, c’est le ninja. Il veut rester discret, ne rien envoyer, ne rien recevoir, comme s’il n’existait pas… mais parfois, il en fait trop.

📌 Il a deux personnalités, selon comment tu l’actives :

👼 Mode global (spanning-tree portfast bpdufilter default). Comportement intelligent et plutôt safe Le port n’émet pas de BPDU tant qu’il n’en reçoit pas. Mais si un BPDU est détecté 👀 → il désactive portfast et le port rejoint STP normalement.
✅ C’est flexible, réactif, et ça évite les faux positifs.
🧠 En gros : « Je reste discret tant que tout va bien. Mais si un autre switch arrive, je rentre dans le rang. »

😈 Mode interface (spanning-tree bpdufilter enable)
La face sombre du ninja. Le port ne reçoit ni n’émet AUCUN BPDU. Il est invisible pour STP… et donc dangereux.
➡️ Si quelqu’un branche un switch ici : STP ne saura jamais qu’il y a un lien actif, et tu peux créer une boucle mortelle sans aucun avertissement ⚰️
🧠 En gros : « J’ignore tout. Je suis libre. Je suis le chaos. »

🎬 Résumé façon Marvel :

🎖️ BPDU Guard → le super-héros L2
➡️ Un BPDU non autorisé ? Il dégaine. Port err-disable. Réseau protégé.
😈 BPDU Filter → le double agent
➡️ En mode global, il coopère.
➡️ En mode interface, il agit dans l’ombre… et peut te trahir 👀

🧠 TL;DR (Too Long; Didn’t Read… mais t’as tout lu quand même 😏)

✅ BPDU Guard
– Protège tes ports portfast
– Coupe tout BPDU pirate
– À activer sans hésiter

⚠️ BPDU Filter
– En mode global = OK
– En mode interface = DANGER
– À manier avec précaution (et backup plan !)

👇 Tu l’as déjà vu le stagiaire avec son switch perso ?

Ou pire… tu étais ce stagiaire ? 😅
Partage ton anecdote ou ton fail STP préféré 💬