STP 保护

Posted 2020-08-02

主要介绍root guard 和bpdu guard 

root guard 和bpdu guard 是在access端口上配置，其目的是防止用户非法接入其它交换机，从而造成stp重新收敛，甚至stp的根发生变化

 基本配置：

SW3是一台新交换机，且优先级为4096，SW1和SW2采用默认优先级。当没有配置任何防护措施时，SW3一旦接入网络，将会造成原有网络stp根的变化。此时的SW3不过是一个接入层交换机，并且性能一般，一旦它成为根，网络将会出现无法想象的后果。因此需要在SW1和SW2上的access接口配置root guard或bpdu guard。

首先介绍root guard的配置：例如在连接SW3的接口fa0/19上配置

SW2(config)#interface fa0/19

SW2(config-if)#spanning-tree guard root

配置root guard后，该接口将拒绝接收比现有根桥更优的bpdu。

下面介绍bpdu guard，同样也是在SW2的fa0/19上配置：

SW2(config)#interface fa0/19

SW2(config-if)#spanning-tree bpduguard enable

此时将交换机SW3与SW2连接起来，会发现SW2的fa0/19 down，通过命令SW2#show interface fa0/19

Fastethernet 0/19 is down,line protocol is down (err-disabled)，如果出现这种情况，要想使得fa0/19启用，首先必须移除bpdu源，然后在接口下执行shutdown、no shutdown命令。当然也可以通过配置相关命令，使其自动恢复SW2(config)#errdisabled recovery cause bpduguard，同时也可以指定恢复的时间SW2(config)#errdisabled recovery interval 60。

本文出自 “陈华文” 博客，请务必保留此出处http://chenwxfyygy.blog.51cto.com/1998230/1794962