转：ROOT/LOOP/BPDU guard/BPDU filter

ROOT/LOOP/BPDU guard/BPDU filter

BPDU GUARD 的功能是当这个端口收到任何的 BPDU 就马上设为 Error-Disabled 状态。我们知道，当交换机 STP 功能启用的时候 , 默认所有端口都 会参与 STP, 并发送和接受 BPDU ，当 BPDU GUARD 开启后 , 在正常情况下，一个下联的端口是不会收到任何 BPDU 的，因为 PC 和非网管换机都不支持 STP, 所以不会收发 BPDU 。当这个端口下如 果有自回环的环路，那么它发出去的 BPDU 在非网管换机上回环后就会被自己接收到，这个时候 BPDU GUARD 就会把它立刻设为 Error-Disabled 状态 , 这个端口就相当于被关闭了，不会转发任何数据，也就切断了环路 , 保护了整个网络。 BPDU Guard 特性可以全局启用也可以基于基于接口的启用 , 两种方法稍有不同 . 当在启用了 Port Fast 特性的端口收到了 BPDU 后， BPDU Guard 将关闭 该端口 ，使该 端口处于 err-disable 状态，这时必须手动才能把此端口回复为正常状态。 配置 BPDU Guard: Switch(config)# spanning-tree portfast bpduguard default          /--- 在启用了 PortFast 特性的端口上启用 BPDUguard---/ Switch(config-if)# spanning-tree bpduguard enable                      /--- 在没启用 PortFast 特性的情况下启用 BPDUguard---/ BPDU Filtering 特性和 BPDU Guard 特性非常类似 . 通过使用 BPDU Filtering, 将能够防止交换机在启用了 Port Fast 特性的端口上发送 BPDU 给主机。 如果全局配置了 BPDU Filtering， 当某个Port Fast端口接收到了 BPDU, 那么交换机将禁用 Port Fast 和 BPDU Filtering 特性 , 把端口更改回正常的 STP 状态 . 如果在单独的Port Fast端口启用 BPDU Filtering, 此端口将不发送任何的 BPDU 并忽略所有接收到的 BPDU. 注意 , 如果在连接到其他交换机的端口 ( 不是连的主机的端口 ) 上配置了 BPDUFiltering, 那么就有可能导致层 2 环路（ Prevent from sending and receiving BPDU ） . 另外 , 如果在与启用了 BPDU Filtering 的相同端口上配置了 BPDU Guard 特性 , 所以 BPDU Guard 将不起作用 , 起作用的将是 BPDU Filtering. 配置 BPDU Filtering: Switch(config)# spanning-tree portfast bpdufilter default              /--- 在启用了 Port Fast 特性的端口上启用 BPDU Filtering---/ Switch(config-if)# spanning-tree bpdufilter enable                          /--- 在不启用 Port Fast 特性的情况下启用 BPDU Filtering---/ ROOT Guard Root Guard： 防止新加入的交换机(有更低根网桥ID)影响一个已经稳定了（已经存在根网桥）的交换网络,阻止未经授权的交换机成为根网桥。 工作原理：当一个端口启动了此特性，当它收到了一个比根网桥优先值更优的BPDU包，则它会立即阻塞该端口，使之不能形成环路等情况。这个 端口 特性是动态的，当没有收到更优的包时，则此端口又会自己变成转发状态了。 ROOT Guard 在 DP(designated port) 指定端口上做，该端口就不会改变了，只会是 DP 了，这样可以防止新加入的交换机成为 root ，该端口就变成了永久的 DP 了，（ show spann inconsistentport ），若新加入的交换机想成为 root ，则它的端口不能工作，直到这个新交换机委曲求全做 RP 为止。 Loop Guard Loop Guard ：防止一个阻断的端口由于链路不正常（不能双向通信等）接不到 BPDU 后变成转发，配了此项后，即使接不到 BPDU 也是阻断的 loop-inconsistent blocking state （启用 loop guard 时自动关闭 root guard ）； Loop guard 在 RP 接口或替代端口启用： Switch(config-if)# spanning-tree guard loop 全局启用： Switch(config)#spantree global-default loopguard enable 如果在一个启用了 root guard 的端口上启用 loop guard ， loop guard 将禁用 root guard 功能。