交换-loopguardSTP也可能遭受到各种类型攻击所以STP保护工作非常重要

●STP也可能到各种类型的，所以STP的保护工作也非常重对接入端口的保护：RootGuard和BPDU化。要防止此问题，可以在接入端口激活BPDUGuard和RootGuard来是否有BPDU ，需要配置errdisable后可自动恢复#errdisablerecoverycause#errdisablerecoveryinterval30errdisable扩展：spanning-treeportfastbpduguardportfast2）RootGuard：在每个或接收到优先级更高BPDUrootguard端口收到优先级更高的BPDU报文则端口会被置为root-inconsistent状态，这种状态类似于36秒内没有再接收到优先级更高的BPDUspanning-tree对中继端口的保护：UDLDLoop解决这个问题的办法是：UDLD（两种模式）和LoopGuard，具体操作如下：传输接口置为错误状态。配置后可自动恢复。没有反应，那么两端都置为错误状态。配置后可自动恢复。环路（loop-inconsistent）状态。无需配置即可自动恢复BPDUBPDUPortFastSTP域边界。从而保持与其的活动拓扑。在启用STPPortFast端口之后的设备被影响STP拓扑。对于配置了portfast特BPDUPortFastBPDU，那就表示了无效的配置，可能就会产生桥接环路，通过配置BPDU保护后，配置了PortFast的端口如果收到BPDU将会把端口状态调整到Err-Disable.如下是一个信息：2000May1215:13:32%SPANTREE-2-RX_PORTFAST:ReceivedBPDUonenableport.Disabling2000May1215:13:32%PAGP-5-PORTFROMSTP:Port2/1leftbridgeportAGbit/s链路，CDPortFast.其他的STP参数都是默认值，网桥C上连接到网桥B得端口处于STP阻塞状态。设D（PC）不参与STPBPDU流向，如下左图如果D为一台基于Linux的网桥，可以发送BPDU报文，并将自身BID的优先级设置为0，此时，D将成为根桥BPDU流向变为右图，A，BGbit/s链路被阻塞C100Mbit/sBPDU保护的目的就是基于这种情况，configure(config)#spanning-treeportfastbdpuguardinterface接口使能portfast，BPDU(config-if)#spanning-treeinterface(config-if)#spanning-treebpduguardshowrunning-BPDU过滤（BPDU通过使用BPDU过滤功能，将能够防止交换机在启用了PortFast特性的接口上发送BPDU。PortFastSTP，所有交换机支持以每个端口或者整个交换机配置BPDU如果全局配置了BPDUBPDU，那么交换机将把接STP操作，也就是它将禁用PortFast和BPDU过滤特性。收到的所有BPDU都丢弃。所以在部署BPDU过滤时要格外，一般不使用BPDU过滤。BPDUBPDUBPDU过滤的优先级高BPDUBPDU保护将不起作用。configure(config)#spanning-treeportfastbdpufilterinterface接口使能portfast，BPDU(config-if)#spanning-treeinterface(config-if)#spanning-treebpduguardshowrunning-802.1DSTP2层网络拓扑安全。如下图，当新接除非连接到两个或多根网桥的端口。如果网桥在启用根保护的端口上收到一个较好的STPSTPABSW，CSWACSW时，由于D流量不能直接发送到B，而得使用C来转发，这样很不合理（AB之间为千兆）。为了避免这种情况，CRootGuard，RootPort，从而防止D成为RootSW，确保A为RootSW。使用RootGuard后，SWD接入网络后，C的下联D的端口会收到一个更新的BPD（前提是D的优先级最高C将该端口转为Block状态，直到DBPDU或更改D的优先级。%SPANTREE-2-ROOTGUARDBLOCK:Port1/1triedto enon-designatedinVLAN77.Movedtoroot-inconsistentstateVLAN。不要再一个起用了UplinkFastUplinkFast，在出现故障时备份端口（处于阻塞interfacespanning-treeguardshowrunning-configinterfaceshowspanning-tree换路保护能够对第2层转发环路（STP环路）提供额外的保护。当冗余拓扑中的STP阻塞端口ABC之间的链路发生单向链路失效，交换机不之后，交换机C上的STP阻塞端口将转换到STP状态，并最终会在两倍的转发延迟时间之如果启用了环路保护特性之后当最大计时器到器之后交换机C上的阻塞端口将过渡到“不在非指定端口上使用LoopGuard。防止环路产生。避免上于处于Block端口的SW在Max_age时间内接收不到对方（邻居）的 BPDU而将端口状态转为Listen->Learning->Forward状态。使用LoopGuard后，等接收不到对方的BPDU消息后，将端口Block状态转为Loop-inconsistent（环路不一致）状态，从而避免产生环路。如果使用LoopGuard，那么RootGuard将会被关闭。两者不能同时启用configure(config)#spanning-treeportfastloopguardinterface(config-if)#spanning-treeguardshowrunning-configureshowspanning-treeactiveshowspanning-treeinterfacePort23(FastEthernet0/23)ofVLAN0001isPortpathcost19,Portpriority128,PortIdentifier128.23.Designatedroothaspriority32769,address000b.5f2c.2080Designatedbridgehaspriority32769,address000b.5f2c.2080Designatedportidis128.23,designatedpathcost0Timers:messageage0,for