BPDU过滤 根防护 提高生成树STP的弹性.docVIP

BPDU过滤 根防护 提高生成树STP的弹性 第6章使用高级特性增加生成树弹性和STP排错 返回本教程目录 6.2提高生成树的弹性 STP不提供检测机制和平衡机制来确保多层交换网络的高可用性。基于上述原因，Cisco提出 下列特性来帮助精确调整和增加STP的弹性。 ?BPDU防护一一能够防止交换设备意外地连接到启用PortFast特性的端口D如果将交换机连接到启用PortFast特性的端口，那么就可能导致第2层环路或拓扑变更。 ?BPDU过滤一一能够限制交换机不向接入端口发送不必要的BPDUo?根防护一一能够防止接入端口上的交换机成为根交换机。 6.2.1 BPDU防护 如果接口启用了STP PortFast特性，那么当该接口接收到BPDU的时候，BPDU防护能够使其进入err-disable状态。为避免桥接环路，BPDU防护作为一种预防性步骤来禁用接口。 对于能够接收BPDU且配置了PortFast特性的接口，生成树BPDU防护能够将其关闭，而不是使得接口进入生成树阻塞状态(默认行为)。在有效的配置中，对于配置了PortFast特性的接口，它不应当接收BPDU。如果配置了PortFast特性的接口接收了BPDU，那么就表示无效配置，例如连接到非授权设备。在调整完无效配置之后，因为管理员必须手工重新启用err-disable状态的接口，所以BPDU防护为有效配置提供了一种安全响应。此外，也可以设置交换机的超时时间间隔，交换机将在此之后自动重新启用接口O虽然如此，但如果仍然存在元效配置，那么交换机将重新使得接口进入err-disable状态。 注释：生成树将全局性地向所有自己直PortFast特性的接口应用BPDU防护特性，但是只能以接口为基础来启用或禁用该特性。 如果希望在基于Cisco IOS软件的Catalyst交换机上启用或禁用BPDU防护，那么就需要使用下列全局配置命令： [no]spanning-tree port fast bpduguard 例6-6举例说明配置和验证生成树PortFast BPDU防护的特性。 例6-6在基于Cisco 10S软件的Catalyst交换机上配置和验证BPDU防护的特性 Switch#configure terminal Enter configuration commands，one per line.End with CNTL/Z. Switch(config)#spanning-tree portfast bpduguard Switch(config)#end Switch#show spanning-tree summary totals Root bridge for：none. Port Fast BPDU Guard is enabled Etherchannel misconfiguration guard is enabled UplinkFast is disabled BackboneFast is disabled Default pathcost method used is short Name Blocking Listening Learning Forwarding STP Active ------------------ 34 VLANs 01 OO 36 36 6.2.2 BPDU过滤 通过使用BPDU过滤功能，将能够防止Catalyst交换机在启用PortFast特性的接口上发送BPDU。 对于配置了PortFast特性的端口，它通常连接到主机设备。因为主机不需要参与STP，所以它将丢弃所接收到的BPDU。基于上述原因，通过使用BPDU过滤功能，将能够防止向主机设备发送不f要的BPDUo Catalyst交换机支持以每个端口或全局为基础而配置BPDU过滤。如果在接口上明确配置BPDl?过滤的功能，那么交换机将不发送任何BPDU，并且将把接收到的所有BPDU都丢弃。 如果全局性地配置了BPDU过滤的功能，并且如果端口在各自接口接收到任何BPDU，那么交换机将把接口更改回正常的STP操作。例如，对于启用PortFast特性的接口，如果它接收到BPDU.那么它将丢弃PortFast状态和BPDU过滤特性。在这种情况下，交换机将禁用各接口的PortFas： BPDU过滤特性，STP将继续从该端口向所连接的设备发送BPDUo 警告：如果在连接到其他交换机的端口上配置BPDU过滤，那么就可能导致桥接环路；在部圣BPDU过滤的时候，用户应当格外小心。BPDU过滤不是一种推荐配置。 表6-1列出PortFast BPDU过滤的所有可能组合。 表6-1 PortFast BPDU过滤端口配置 每端口配置全局配置PortFast状态Port Fast BP