保护生成树协议拓扑 - STP
1、根防护
根防护用于控制候选根网桥在网络中出现的位置。(如果另一台交换机在启用了根防护的端口上通告了上机BUDP即网桥ID更佳的BPDU),本地交换机不允许新的交换机成为根桥,整个端口进入阻塞状态
事实上根防护指定端口只能转发BPDU,不能接受BPDU
#spanning-tree guard root
#show spanning-tree inconsistentports
2、BPDU防护
当端口为portfast,假设错将交换机接在该端口上,将有可能形成桥接环路
如果启用BPDU防护,端口上接受到任何上级或下级BPDU,该端口进入errdisable状态,端口将关闭,需手动恢复
默认qidong了portfast,就会自动启用BPDU防护
#spanning-tree portfast bpduguard default
可以在端口下禁用:switch(config-if)#no spanning-tree portfast bpduguard enable
3、防止突然丢失的BPDU
STP拓扑依赖于根桥连续定期的发送的BPDU,如果交换机没有收到BPDU,交换机认为上游或者下游交换机故障,在这种情况下阻断端口将被解除阻断。
两种检测和防范BPDU意外丢失
(1)环路防护
环路防护跟踪非指定端口上BPDU的活动,能收到BPDU时端口正常,不能收到BPDU时环路防护将端口设置为环路不一致(loop-inconsistent),此时端口将被阻塞
#spanning-tree loopguard default
可以在端口下禁用:switch(config-if)#no spanning-tree guard loop
实际应该是针对每个vlan进行配置,环路防护不是为了阻断整个端口,而是只阻断有问题的vlan
(2)单向链路检测(UDLD)
UDLD交互的检测端口,以确定链路是否是双向的
交换机定期发送特殊的UDLD帧用于标示其端口,UDLD期望远端交换机通过相同的链路送回这些帧,并在其中加入远端交换机端口标示
如果收到了返回的BPDU,且标示了两个相邻的接口,则链路是双向的,反之为单向
UDLD默认发送间隔15秒,单向检测所要时间为UDLD发送时间的3倍,大约45秒
两种运行模式
常规模式------检测到单向后允许端口继续操作,并将端口标示为undetermined状态,并生成系统日志
激进模式------检测到单向链路后,交换机采取重新建立链路。每隔一秒发送一次UDLD消息,持续8秒。如果还没收到回复,将端口置为errdisable
#udld enable
接口下#udld enable
4、使用BPDU过滤在端口上禁用STP
#spanning-tree portfast bpdufilter default
接口下#spanning-tree bpdufilter enable
一般确定该端口连接的是PC