BPDU防护

释放双眼,带上耳机,听听看~!


BPDU防护一一能够防止交换设备意外地连接到启用PortFast特性的端口D如果将交换机连 接到启用PortFast特性的端口,那么就可能导致第2层环路或拓扑变更。 bpdu保护仅用在portfast模式。它被网络设计者用来加强stp域边界. 配置过程:
方法一:全局配置模式
1) 全局配置模式:configure terminal
2) 配置bpdu保护:(config)#spanning-tree portfast bdpuguard default
3) 进入接口模式:interface 接口
4) 接口使能portfast,bpdu保护才能启用:(config-if)#spanning-tree portfast
方法二:接口模式
1) 接口模式下 interface 接口
2) 使能bpdu保护:(config-if)#spanning-tree bpduguard enable
验证过程:show running-configure
它的作用:
(1)bpdu防护作为一种预防性步骤来禁用接口。
(2)bpdu防护为有效配置提供了一种安全响应。
• BPDU过滤一一能够限制交换机不向接入端口发送不必要的BPDUo
•根防护一一能够防止接入端口上的交换机成为根交换机。 如果接口启用了STP PortFast特性,那么当该接口接收到BPDU的时候, BPDU防护能够使其 进入”err-disable”状态。为避免桥接环路, BPDU防护作为一种预防性步骤来禁用接口。 对于能够接收BPDU且配置了PortFast特’性的接口,生成树BPDU防护能够将其关闭,而不是使 得接口进入生成树阻塞状态(默认行为)。在有效的配置中,对于配置了 PortFast特性的接口,它不应当接收BPDU。如果配置了PortFast特性的接口接收了BPDU,那么就表示无效配置,例如连接 到非授权设备。在调整完无效配置之后,因为管理员必须手工重新启用”err-disable”状态的接口, 所以BPDU防护为有效配置提供了一种安全响应。此外,也可以设置交换机的超时时间间隔,交换 机将在此之后自动重新启用接口O虽然如此,但如果仍然存在元效配置,那么交换机将重新使得 接口进入”err-disable”状态。 注释:生成树将全局性地向所有自己直PortFast特性的接口应用BPDU防护特性,但是只能以接 口为基础来启用或禁用该特性。
BPDU过滤
通过使用BPDU过滤功能,将能够防止Catalyst交换机在启用PortFast特性的接口上发送BPDU。 对于配置了PortFast特性的端口,它通常连接到主机设备。因为主机不需要参与STP,所以它将丢 弃所接收到的BPDU。基于上述原因,通过使用BPDU过滤功能,将能够防止向主机设备发送不f 要的BPDUo Catalyst交换机支持以每个端口或全局为基础而配置BPDU过滤。如果在接口上明确配置BPDl¬过滤的功能,那么交换机将不发送任何BPDU,并且将把接收到的所有BPDU都丢弃。 如果全局性地配置了BPDU过滤的功能,并且如果端口在各自接口接收到任何BPDU,那么交 换机将把接口更改回正常的STP操作。例如,对于启用PortFast特性的接口,如果它接收到BPDU. 那么它将丢弃PortFast状态和BPDU过滤特性。在这种情况下,交换机将禁用各接口的PortFas: BPDU过滤特性, STP将继续从该端口向所连接的设备发送BPDUo 警告:如果在连接到其他交换机的端口上配置BPDU过滤,那么就可能导致桥接环路;在部圣 BPDU过滤的时候,用户应当格外小心。 BPDU过滤不是一种推荐配置。
如果在与启用了bpdu过滤的相同接口上配置了bpdu保护,因为bpdu过滤的优先级高于bpdu保护,所以bpdu保护将不起作用。

人已赞赏
6 条回复 A文章作者 M管理员
  1. 测试

个人中心
今日签到
有新消息 消息中心
有新私信 私信列表
搜索