📌  相关文章
📜  什么是 BPDU Guard 以及如何配置 BPDU Guard?

📅  最后修改于: 2022-05-13 01:57:02.521000             🧑  作者: Mango

什么是 BPDU Guard 以及如何配置 BPDU Guard?

桥接协议数据单元(BPDU) 是一个生成树协议 (STP) 消息单元,它描述了交换机端口属性,如 MAC 地址、优先级和实现成本,允许交换机参与生成树协议以相互收集信息.

BPDU 守卫

BPDU Guard是一种保护第 2 层生成树协议 (STP) 拓扑免受 BPDU 相关威胁的功能,旨在保护交换网络。必须在不应接收来自连接设备的 BPDU 的端口上激活 BPDU 防护功能。如果您使用生成树协议 (STP) PortFast 功能配置交换机端口,则必须连接到终端设备(工作站、服务器、打印机等)。 PortFast 仅在接入端口上启用,以加快从接入端口到 STP 转发状态的转换。终端设备不应生成 BPDU,因为 BPDU 消息是由正常网络环境中的网络交换机交换的。

为避免可能的桥接环路,BPDU Guard 阻止接口作为预防措施。 BPDU Guard 机制用于将外部影响排除在生成树域之外。 BPDU Guard 默认是关闭的,但是强烈推荐所有开启了 Port Fast函数的端口使用。在生成树关闭的端口上,这可以防止不正确的信息被注入到生成树域中。

在全局配置模式下,可以全局启用 BPDU Guard 功能,也可以在接口配置模式下按接口启用 BPDU Guard 功能。每当启用 BPDU Guard 的端口从链接设备获得 BPDU 时,端口就会被禁用并且端口状态设置为 Errdisable(与关闭状态相同)。

可以按端口启用或禁用 BPDU 防护。当端口收到 BPDU 时,BPDU 防护将其禁用。由于禁用,此类端口后面的设备被有效阻止参与 STP。端口在禁用后必须手动重新启用。 BPDU 防护默认关闭。

在全局配置模式下全局配置 BPDU Guard

默认情况下在所有 PortFast 边缘端口上启用 BPDU Guard 的命令: 

system#configure terminal
system(config)#spanning-tree portfast edge bpduguard default
system(config)#exit
system#

在所有 PortFast 边缘端口上禁用 BPDU Guard 的命令: 

system#configure terminal
system(config)#no spanning-tree portfast edge bpduguard default
system(config)#exit
system#

在每个接口的接口配置模式下配置 BPDU Guard

为接口启用 BPDU Guard 的命令

system#configure terminal
system(config)#interface giga 0/0
system(config-if)#spanning-tree bpduguard enable
system(config-if)#exit
system(config)#exit
system#

为接口禁用 BPDU Guard 的命令

system#configure terminal
system(config)#interface giga 0/0
system(config-if)#spanning-tree bpduguard disable 
system(config-if)#exit
system(config)#exit
system#

好处

  1. BPDU Guard 可防止交换设备意外连接到启用 PortFast 的端口。
  2. 如果有人试图将 L2 设备连接到网络,BPDU 保护会确保它会被拒绝。在生成树被破坏之前,它被剪掉了。

坏处

  1. 每当用户需要接入交换机端口并插入交换机时,用户需要访问接入交换机的 CLI 以禁用 BPDU 防护。