Root Guard è una feature che previene una porta (differente dalla legittima root port) di uno switch (non il root-switch)  a diventare root-port

 

Questa feature è raccomandabile a livello di aggregazione di un campus che vede la parte di accesso, evitando cosi che un eventuale errore di configurazione possa far ricalcolare un processo STP con una nuova elezione del root-bridge per una specifica vlan o istanza.

 

Anche a livello di accesso è buona norma configurare il root-guard per quelle porte di accesso alle quali sono collegati untrusted host che potrebbero introdurre malevoli traffici oppure, ad esempio, collegare external switch con un valore più basso di bridge ID rispetto a quello legittimo della rete,  scatenando un ricalcolo dello STP con conseguenze distruttive per l’intera architettura.

 

 

 

root guard