Cisco | STP ToolKits & Tunning

1. PortFast adalah metode untuk mendisable BPDU checking. Contoh ketika di port switch kita colok komputer maka akan menunggu sekitar 50 detik untuk proses listening, learning dan forwarding. Jd untuk menskip waktu dari 50 detik ke menjadi lebih singkat sekitr 20 detik maka dibuthkn konfigurasi PortFast.

2. BPDU Guard fungsinya untuk memblok BPDU dari switch tetangga yg terhubung ke port switch yg mengarah ke endpoint (PC/laptop), lebih tepatnya untuk mencegah access port bepartisipasi dalam spanning tree. Misalnya dalam case ini ketika ada switch baru dipasang pada port Fa1/0 di S2 maka si switch baru akan mengirim BPDU dan akan menyebabkan loop. Maka untk menghindari hal (loop) poerlu konfigurasi BPDU Guard.

Masalahnya disini jika kita mengaktifkan fitur Portfast pada interface f1/0 di di S2 kita harus selalu mencolokkan interface itu ke end devices (pc/laptop), jika suatu saat kita mencolokkan interface itu ke switch lain, maka beresiko terjadi looping, karena si switch tidak mengirim maupun menerima BPDU yang berfungsi mencegah loooping di jaringan.

Catatan: Jika di swith Rapid-PVST diaktifkan, maka BPDU Guard ini ga perlu, karena begitu port yang dipasang portfast nerima BPDU, maka status portfast-nya hilang, hence named: EDGEPORT (jadi klo di Rapid PVST lu cuma ngasih konfig portfast aja…ga perlu BPDU Guard.

S2(config)#interface Fa1/0

S2(config-if)#spanning-tree portfast

S2(config-if)#spanning-tree bpduguard enable

Coba colok switck ke port yang sdh aktif PortFast, maka akan ada notifikasi errdisable dan portnya akan menjadi down.

VERIFiKASI
show spanning-tree interface gi1/0 detail

Lalu karena port shutdown, untuk mengaktifkan kembali perlu lakukan no shutdown, hal ini agar tidak mereportkan maka ada solusi yaitu dengan mengaktifkan auto recover errordisable .Untuk mengaktifkan auto recovery dengan interval 120 makan tambahkan perintah ini di switch S2.

S2(config)#errdisable recovery cause bpduguard

S2(config)#errdisable recovery interval 120

3. Root Guard

Befungsi untuk mencegah switch lain menjadi Root Bridge. Contoh gambar dibawah, apabila SW1 yg sekarang posisinya sebagai root bridge tiba2 mati, maka SW2 otomatis yg menjadi root bridge, bukan S3 dan S4. Supaya S3 dan S4 tidka akan menjadi root bridge maka aktifkan root guard seperti script command dibawah ini.

Berikut perintahnya

S1
spanning-tree vlan 1,10,20 priority 0

!
interface Fa0/1
description # Link to SW3 Port Fa0/1 #
switchport trunk allowed vlan 1,4,60,68,101,102,131,147
switchport mode trunk
spanning-tree guard root

S2
spanning-tree vlan 1,10,20 priority 4096
!
interface Fa0/1
description #Link to SW2 Fa0/0 #
switchport trunk allowed vlan 1,4,60,68,101,102,131,147
switchport mode trunk
spanning-tree guard root
!

interface Fa1/0
description #Link to SW4 #
switchport access vlan 4
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
!

4. BPDU Filter

Filter BPDU dapat berguna dalam mencegah BPDU melewati jaringan. Beberapa serangan yang diketahui mengeksploitasi BPDU yang diterima dan dengan sengaja merubah Prioritasnya lebih rendah daripada root bridge. Secara umum disarankan untuk menggunakan BPDU Guard dan bukan BPDU Filter karena mengarah ke topologi jaringan yang lebih terkontrol dan dapat diprediksi.

Jadi untuk mencegah mengirim dan menerima BPDU, dan kita tidak ingin BPDu saling bertukar antara S3 melalui port Fa1/15 yg di PT Kawasan Industri dengan S6 port Fa1/15 di PT Batamindo. Maka dari itu perlu mengaktifkan BPDU Filter di kedua switch S3 dan S6 pada port fa/15 .

Switch 3

S3(config)#interface Fa1/15

S3(config-if)#spanning-tree bpdufilter enable

Switch 6

S6(config)#interface Fa1/15

S6(config-if)#spanning-tree bpdufilter enable