BPDU GUARD

STP的收敛及高级特性STP算法总结步骤一：选举跟网桥选择网桥ID最小的步骤二：选择根端口1.选择端口到根网桥路径开销最小的2.选择发送方网桥ID最小的3.选择发送方端口ID最小的步骤三：选择指定端口1.选择网桥到根网桥路径开销最小的2.选择发送方网桥ID最小的3.选择发送方端口ID最小的步骤四：阻塞其它端口形成无环拓扑从图中可以看出，STP的拓扑变更后，收敛速度很慢（30-50秒），30秒到50秒的时间对于要求实施响应的业务数据（VOIP、视频会议、数据库交互业务）是无法忍受的，所以STP定义了一些加快收敛的机制。

加快STP收敛的方法：调整STP时间参数使用CISCO的STP增强特性进行协议的升级，使用RSTP或MSTP调整STP时间参数：switch(config)#spaning-tree VLAN # ( hello-time | forward-delay | max age ) #CISCO的STP增强特性portfast特性用来加快交换机上连接终端设备的边界端口（access）收敛速度的一种STP特性。

从理论上可以将STP的收敛时间变为0，即直接从disabled状态进入到forwarding状态。

portfast特性启用后并没有禁止STP，如果该端口下接STP交换机则仍然会执行正常的STP选举收敛。

portfast端口的状态变化不会触发TCNBPDU配置全局配置模式下: spanning-tree portfast default接口模式下: spanning-tree portfastplinkfast特性加快接入层交换机上联主备链路切换时间的一种快速收敛特性。

uplinkfast的注意事项：只在接入层交换机上部署，该接入层交换机上有且只有两条上行链路。

只针对接入层交换机的上行链路故障有用。

影响的是交换机上的所有VLAN。

网桥优先级和端口开销会增加，网格优先级变为49152 ，端口开销会增加3000 全局模式：spanning-tree uplinkfastBackbonefast特性加快间接链路故障STP收敛的一种特性。

cisco交换机安全配置设定方法你还在为不知道cisco交换机安全配置设定方法而烦恼么?接下来是小编为大家收集的cisco交换机安全配置设定方法教程，希望能帮到大家。

cisco交换机安全配置设定方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA 服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilterVLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard 接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。

什么是B P D U防护它起什么作用它和B P D U 过滤有什么区别Standardization of sany group #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#BPDU防护一一能够防止交换设备意外地连接到启用PortFast特性的端口D如果将交换机连接到启用PortFast特性的端口，那么就可能导致第2层环路或拓扑变更。

bpdu 保护仅用在portfast模式。

它被网络设计者用来加强stp域边界.配置过程：方法一：全局配置模式1) 全局配置模式 configure terminal2) 配置bpdu保护(config)#spanning-tree portfast bdpuguard default3) 进入接口模式 interface 接口4) 接口使能portfast，bpdu保护才能启用(config-if)#spanning-tree portfast？方法二：接口模式1) 接口模式下 interface 接口2) 使能bpdu保护(config-if)#spanning-tree bpduguard enable验证过程：show running-configure它的作用：（1）bpdu防护作为一种预防性步骤来禁用接口。

（2）bpdu防护为有效配置提供了一种安全响应。

BPDU过滤一一能够限制交换机不向接入端口发送不必要的BPDUo 根防护一一能够防止接入端口上的交换机成为根交换机。

如果接口启用了STP PortFast特性，那么当该接口接收到BPDU的时候， BPDU防护能够使其进入"err-disable"状态。

为避免桥接环路， BPDU防护作为一种预防性步骤来禁用接口。

对于能够接收BPDU且配置了PortFast特’性的接口，生成树BPDU防护能够将其关闭，而不是使得接口进入生成树阻塞状态(默认行为)。

在有效的配置中，对于配置了PortFast特性的接口，它不应当接收BPDU。

Cisco交换机端口出现“err-disabled”状态的情况分析1、引言通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态.但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭.也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口.2、现象描述当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量.从交换机外观上看去,端口相对应的LED 状态灯也将由正常的绿色变为暗黄色(或者叫做橘黄色，官方给的说法是amber,琥珀色).同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的.还有种情况是,当交换机因一种错误因素导致端口被禁用(err- disabled),这种情况通常会看到类似如下日志信息:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet0/1 with BPDU Guard enabled. Disabling port. %PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable stateerr-disabled的两个作用的:1.告诉管理员端口状态出错.2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错.err-disabled状态的起因:该特性最初是用于处理特定的冲突形势,比如过分冲突(excessive collisison)和后期冲突(late collision).由于CSMA/CD机制的制定,当发生16次冲突后帧将被丢弃,此时发生excessive collision;而late collision是指在发送方发送了64个字节之后,正常的和合法的冲突就不可能发生了.理论上正常的网络传播一定会在此之前就完成了,但是如果线路过长的话会在前64个字节完成后发生冲突,后期冲突和发生在前64个字节的冲突最明显的区别是后者网卡会自动重新传输正常的冲突帧,但不会重传后期冲突的帧.后期冲突发生在时间超时和中继器的远端.一般而言,这样的冲突在本地网段会简单地判断为一个帧校验序列(FCS)错误.引起这种错误的可能原因有:1.线缆的不规范使用,比如超出了最大传输距离或者使用了错误的线缆类型.2.网卡的不正常工作(物理损坏或者驱动程序的错误).3.端口双工模式的错误配置,如双工不匹配.如下是端口处于err-disabled状态的几种原因:1.双工不匹配.2.端口信道的错误配置.3.违反BPDU守护(BPDU Guard)特性.4.单向链路检测(UDLD).5.检测到后期冲突.6.链路振荡.7.违反某些安全策略.8.端口聚合协议(PAgP)的振荡.9.层2隧道协议(L2TP)守护(L2TP Guard).侦听限速.3、处理过程可以使用show interfaces命令查看端口状态,如:switch#show interfaces gigabitethernet 0/1 statusPortNameStatus Vlan DuplexSpeed TypeGi0/1err-disabled 100 full 1000 1000BaseSX当交换机的某个端口处于err-disabled状态后,交换机将发送为什么这么做的日志信息到控制台端口.也可以使用show log查看系统日志,如: %SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port gigabitethernet 0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi 0/1, putting Gi0/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1可以使用show interfaces status err-disabled命令查看处于err-disabled 状态的原因,如:switch #show interfaces status err-disabledPort Name Status Reason Err-disabled VlansFa0/1 err-disabled loopback当出现err-disabled状态后,首先要做的,是找出引起该状态的根源,然后重新启用该端口;如果顺序不一致,将导致该端口再次进入err-disabled状态.4、原因分析以比较常见的做为例子:1).以太网信道(EC)的错误配置:如果要让EC能够正常工作,参与到EC绑定的端口的配置,必须是一致的,比如处于同一VLAN,trunk模式相同,速率和双工模式都匹配等等.如果一端配置了EC,而另一端没有配置EC,STP将关闭配置了EC一方的参与到EC中的端口.并且当PAgP的模式是处于on模式的时候,交换机是不会向外发送PAgP信息去进行协商的(它认为对方是处于EC).这种情况下STP判定出现环路问题,因此将端口设置为err-disabled状态.如:%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfigurationof Gi0/1如下,查看EC信息显示使用的信道组数量为0:SWITCH#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Number of aggregators: 0EC没有正常工作是由于端口被设置为err-disabled状态:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duplex Speed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX为找出为何EC没有正常工作,根据错误信息暗示,STP检测到环路.之前提到过,这种情况的发生,是由于一方配置了EC,设置PAgP模式为on 模式,这种模式和desirable模式正好相反,而另一方没有配置EC.因此,为了解决这种问题的发生,将EC的PAgP模式设置为可以主动协商的desirable模式.,然后再重新启用该端口.如下:!interface gigabitethernet 0/1channel-group 1 mode desirable non-silent!2).双工模式不匹配:双工模式不匹配的问题比较常见,由于速率和双工模式自动协商的故障,常导致这种问题的发生.可以使用show interfaces命令查看双方端口的速率和双工模式.后期版本的CDP也能够在将端口处于err-disabled状态之前发出警告日志信息.另外, 网卡的不正常设置也将引起双工模式的不匹配.解决办法,如双方不能自动协商,使用duplex 命令(CISCO IOS和CatOS有所不同)修改双方双工模式使之一致.3).BPDU Guard:通常启用了快速端口(PortFast)特性的端口用于直接连接端工作站这种不会产生BPDU的末端设备.由于PortFast特性假定交换机的端口不会产生物理环路,因此,当在启用了PortFast和BPDU Guard特性的端口上收到BPDU后,该端口将进入err-disabled状态,用于避免潜在环路. 假如我们将两台6509交换机相连,在其中一台上启用PortFast特性并打开BPDU Guard特性:interface gigabitethernet 0/1spanning-tree bpduguard enablespanning-tree portfast enable此时将看到如下日志信息:%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi0/1, putting Gi0/1 inerr-disable state.验证:SWITCH#show interfaces gigabitethernet 0/1 statusPort NameStatus Vlan Duplex SpeedTypeGi0/1err-disabled 100full BaseSX像这种情况,不能启用PortFast特性,因此禁用该特性可以解决该问题.4).UDLD:UDLD 协议允许通过光纤或铜线相连的设备监控线缆的物理配置,并且可以检测是否存在单向链路.如果检测到有单向链路,UDLD将关闭相关端口并发出警告日志信息.单向链路可以引起一系列的问题,最常见的就是STP拓扑环路.注意,为了启用UDLD,双方必须都支持该协议,并且要单独在每个端口启用UDLD.如果你只在一方启用了UDLD,同样的会引起端口进入err-disabled状态,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi0/1, putting Gi0/1 inerr-disable state.5).链路振荡错误:链路振荡(flap)是指短时间内端口不停的处于up/down状态,如果端口在10秒内连续振荡5次,端口将被设置为err-disabled状态,如:%PM-4-ERR_DISABLE: link-flap error detected on Gi0/1, putting Gi0/1 inerr-disable state可以使用如下命令查看不同的振荡的值:SWITCH#show errdisable flap-valuesErrDisable Reason Flaps Time (sec)pagp-flap3 30dtp-flap3 30link-flap5 10引起链路震荡的常见因素,可能是物理层的问题,比如GBIC的硬件故障等等.因此解决这种问题通常先从物理层入手.6).回环(loopback)错误:当keepalive信息从交换机的出站端口被发送出去后,又从该接口收到该信息,就会发生回环错误.交换机默认情况下会从所有端口向外发送keepalive信息.但由于STP没能阻塞某些端口,导致这些信息可能会被转发回去形成逻辑环路.因此出现这种情况后,端口将进入err- disabled状态,如:%PM-4-ERR_DISABLE: loopback error detected on Gi0/1, putting Gi0/1 inerr-disable state从CISCO IOS 之后的版本,keepalive信息将不再从光纤和上行端口发送出去,因此解决这种问题的方案是升级CISCO IOS软件版本到或后续版本。

什么是BPDU防护它起什么作用它和BPDU过滤有什么区别BPDU防护是一种网络安全机制，用于保护交换机网络免受恶意BPDU （桥接协议数据单元）攻击。

它通过限制或禁止未经授权的交换机发送BPDU数据包，防止网络中出现恶意的广播风暴和系统崩溃。

BPDU（桥接协议数据单元）是通过交换机之间的链路传输的网络信息，用于交换网络拓扑信息以及维护回路避免网络中出现环路。

BPDU可以用于识别网络中的根交换机，计算最佳路径和检测网络的状态变化等。

然而，恶意的BPDU攻击可以导致网络故障和拒绝服务（DoS）攻击。

攻击者可以通过在网络中发送成百上千个虚假的BPDU数据包来干扰网络中的交换机。

这种攻击会导致网络中的交换机重复计算最佳路径，从而占用大量的处理能力和带宽资源，甚至可能导致网络崩溃。

为了保护网络免受这种类型攻击，BPDU防护机制应运而生。

它可以在交换机上配置，针对每个交换接口或VLAN启用或禁用BPDU防护。

BPDU防护的作用包括：1.防止恶意的BPDU攻击：BPDU防护可以识别并阻止非授权的交换机或设备发送BPDU数据包，从而防止恶意的攻击。

2.保证网络稳定性：通过防止恶意的BPDU攻击，BPDU防护可以确保网络的稳定性，避免因攻击而导致的网络故障和中断。

3.增强网络性能：BPDU防护减少了交换机处理虚假BPDU数据包的负担，从而释放了处理能力和带宽资源，提高了网络的性能和效率。

与BPDU防护相对应的是BPDU过滤。

BPDU过滤是另一种与BPDU相关的网络安全机制，它与BPDU防护有一些区别。

BPDU过滤是在交换机上配置的，可以用于阻止交换机发送所有的BPDU数据包，或者仅在交换机接收到BPDU数据包时关闭端口。

它主要用于提高网络的安全性，避免未经授权的设备通过交换机发送BPDU数据包，从而对网络进行攻击或干扰。

BPDU过滤可以用于降低网络中的BPDU数据包流量，减少网络负载。

BPDU防护和BPDU过滤的区别主要有：1.作用不同：BPDU防护主要是用于防止恶意的BPDU攻击，确保网络稳定性和性能。

XX信息中心网络设备巡检服务工作规范（H3C设备网络）V1.0信息中心2011年8月目录1概述 (5)2巡检工作流程 (5)2.1巡检前期准备 (6)2.2数据采集阶段 (7)2.3数据分析和报告生成阶段 (7)2.4汇报和满意度调查阶段 (7)3网络巡检数据采集方法 (7)3.1手工数据采集方法 (8)3.2网络管理平台数据收集方法 (8)3.3巡检工具数据采集方法 (8)4网络巡检服务基准数据库的建立 (8)5网络巡检工作内容 (9)5．1巡检工作的主要内容 (9)5．2网络巡检工作技术涵盖 (10)6网络系统巡检基本判断标准 (10)7设备相关信息收集 (12)7.1软件版本及硬件信息分析 (12)7.1.1当前设备硬件信息 (13)7.1.2当前设备运行软件信息 (14)7.2设备板卡硬件配置信息分析 (14)7.3设备运行状况检查 (15)7.3.1设备CPU工作状态检查 (16)7.3.2设备CPU利用率分析 (16)7.3.3设备MEMORY使用状态检查 (17)7.3.4设备MEMORY利用率分析表 (18)7.4设备运行状态检查 (18)7.4.1电源的工作状态 (18)7.4.2风扇的工作状态 (19)7.4.3设备工作温度 (19)8 端口的可用性、准确性检查 (19)8.1端口状态检查 (19)8.1.1基本网络接口状态分析 (22)8.1.2接口半/全双工模式和链路类型 (23)8.1.3接口稳定性统计信息 (23)8.2端口状态检查表 (23)9 设备端口负载及流量检查 (24)9.1设备缓存信息检查 (24)10 网络架构、配置信息分析 (24)10.1网络结构检查 (24)10.1.1检查内容 (24)10.1.2检查方式 (24)10.2网络配置信息检查 (27)10.2.1检查内容 (27)10.2.2检查方式 (27)11 LOG信息检查 (30)11.1标准的LOG格式 (30)11.2LOG日志等级 (30)11.3日志信息分析表 (30)关于文档为保障XX信息中心网络的平稳运行，将在每月进行网络巡检，并根据巡检结果给出相应的网络系统改进和优化建议。

BPDU Guard BPDU的保护sw1本来接的是一个pc，但是有人把pc换掉了，但是现在重新接了一个sw,那么那个重新连接的那个sw的优先级是最低的，那么这个SW会改变原来的网络架构的，所以我们要让这个交换机不再发BPDU的帧，或者说sw1不再收dpdu的帧当我的SW1的那个接口已经设定了bpdu guard以后，那么如果我再收到交换机的bpdu的帧，那么我就会把接口设置为err-disable 状态，那么erro-disable状态其实蛮严重的，类似于shutdown，物理层和协议层都down，在交换环境中有很多的情况可以造成err - disable 状态。

默认情况下是不能恢复的恢复方式1.手动，上交换机shutdown noshutdown2.自动恢复，必须手动配置命令（多少秒以后up状态）sw1------sw2假设sw1的fa0/11 收到sw2的bpdu，看看接口状态sw1span mode pvst必须要sw2能发bpdu，可以把sw2的优先级改低一点sw1 spn bpduguard enable 这就是开启了然后你就会发现自己进入error disable了如何自动恢复sw1(config)errdisable recovery cause（原因）里面选bpduguard 默认300秒后接口自动恢复当然也可以改小点把时间，err recovery interval 30show errdisable recoverysw1 30后就up了，又会down 因为又发bpdu了defa inter fa0/11 使接口默认span portfast bpduguard default 将这个交换机的所有接口全部默认为bpduguard开启那么要结合上行线路配合适用int fa0/1span bpduguard disableBPDU filter BPDU的过滤如果做的BPDU filter在接口上只是drop掉bpdu，但是接口还是可以用的int fa0/11span bpdufilter enableRoot Guard 根桥的防护将sw2的优先级改小sw1int fa0/11span guard root (开启根桥保护) 只能在接口下做由于我收到了一个优质的bpdu，那么直接将这个接口blocking了show span inter fa0/11 detail 详细信息直接可以看到root inconsistent 不一致的bpdu如果我收不到更优质的，我还是会up的。

导致交换机接口出现err-disable的几个常见原因：引用1. EtherChannel misconfiguration2. Duplex mismatch3. BPDU port guard4. UDLD5. Link-flap error6. Loopback error7. Port security violation第一个当F EC两端配置不匹配的时候就会出现err-disable。

假设Switch A把FEC模式配置为on，这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的，它假设Switch B已经配置好FEC了。

但实事上Swtich B并没有配置FEC，当Switch B的这个状态超过1分钟后，Switch A的STP就认为有环路出现，因此也就出现了err-disable。

解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel，否则接口还处于正常状态。

第二个原因就是双工不匹配。

一端配置为half-duplex后，他会检测对端是否在传输数据，只有对端停止传输数据，他才会发送类似于ack的包来让链路up，但对端却配置成了full-duplex，他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去，链路状态就变成err-disable了。

三、第三个原因BPDU，也就是和portfast和BPDU guard有关。

如果一个接口配置了portfast，那也就是说这个接口应该和一个pc连接，pc是不会发送spanning-tree的BPDU帧的，因此这个口也接收BPDU来生成spanning-tree，管理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性，但他恰恰不小心把一个交换机接到这个同时配置了portfast和BPDU guard接口上，于是这个接口接到了BPDU帧，因为配置了BPDU guard，这个接口自然要进入到err-disable状态。

STP保护——root guard、BPDU guard、loop guard2010-07-04 22:44●STP也可能遭受到各种类型的攻击，所以STP的保护工作也非常重要●对接入端口的保护：Root Guard和BPDU Guard对于接入端口而言，可能临时新连接一台交换机在其下，而这可能会引起STP拓扑不必要的变化。

要防止此问题，可以在接入端口激活BPDU Guard和Root Guard来监控是否有BPDU进入。

它们的基本操作如下：1）BPDU Guard：在每个或者单个端口上激活；如果接收到任何BPDU，该端口即被屏蔽。

用来防止对交换机STP的DOS 攻击，需要配置errdisable后可自动恢复。

#errdisable recovery cause bpduguard#errdisable recovery interval 30 指定errdisable关闭的端口恢复的时间扩展：spanning-tree portfast bpduguard 命令作用是将所有配置了portfast的端口启用bpduguard2）Root Guard：在每个或接收到优先级更高BPDU的端口上激活；如果启用root guard端口收到优先级更高的BPDU 报文则端口会被置为root-inconsistent状态，这种状态类似于listen状态，忽略任何优先级更高的BPDU，这样可以阻止连接在此端口的交换机成为根交换机。

无需配置即可自动恢复，但是前提是在3个周期也就是6秒内没有再接收到优先级更高的BPDU报文。

命令：全局或者端口下spanning-tree rootguard●对中继端口的保护：UDLD和Loop Guard对于中继端口而言，最主要的问题是要避免因为单向（Unidirectional）链路（链路一端失败，可能是因为一端接插问题而引起）的存在而导致交换机端口错误地从阻塞状态转换到转发状态。

什么是BPDU保护，如何配置BPDU 保护文档版本02发布日期2020-06-04版权所有 © 华为技术有限公司 2020。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://目录1 简介 (1)2 什么是BPDU保护 (2)3 如何配置BPDU保护 (4)4 BPDU保护相关信息 (5)1简介本文档介绍了BPDU（Bridge Protocol Data Unit）保护功能的原理以及如何配置BPDU保护功能。

二层网络中部署生成树协议时，建议在边缘端口上配置BPDU保护功能，避免边缘端口受到BPDU报文攻击导致网络拓扑改变及业务流量中断，提高交换网络的可靠性和安全性。

2什么是BPDU保护在二层网络中，运行生成树协议（STP/RSTP/MSTP/VBST）的交换机之间通过交互BPDU报文进行生成树计算，将环形网络修剪成无环路的树形拓扑。

生成树协议部署时通常将交换机与用户终端（如PC）或文件服务器等非交换设备相连的端口配置为边缘端口。

边缘端口不参与生成树计算，可以由Disable直接转到Forwarding状态，且不经历时延，就像在端口上将生成树协议禁用。

网络中用户终端频繁上下线时，部署边缘端口可以避免交换机不断地重新计算生成树拓扑，增强网络的可靠性。