CCNA实验十五 STP的保护

CCNA实验十五 STP的保护

环境：Windows XP 、Packet Tracert 5.3.

目的：了解如何去保护STP网络

说明：

BPDU Guard(BPDU保护)：BPDU保护一般用在PortFast模式下。在启用PortFast模式的端口上通过配置BPDU保护后，如果收到BPDU将会把端口变为Err-Disable状态.（portfast一般用在接入模式（access）的端口上）

Root Guard(根保护)：根保护的目的是确保现有的STP网络不发生改变。当在现有的STP网络中加入一个新的交换机，而且它带有更低的网桥ID或优先级时，那么原有的STP网络可能会发生改变。但如果在连接这个新加入的交换机的端口上启用了根保护，那么当这个端口收到一个比现有更优的BPDU时，它会阻塞这个端口，直到BPDU比原网络更差时，端口才会变为转发状态。这样就能保护STP网络不受影响。

BPDU Filtering(BPDU过滤)：BPDU过滤能够防止交换机向启用了PortFast特性的接口上发送BPDU。PortFast特性的端口通常连接主机设备而且这些主机不需要参与STP，所以它不需要接收到BPDU。注意当在一个接口上同时配置了BPDU Guard 和BPDU Filtering时，由于BPDU Filtering的优先级比较高，所以BPDU Guard将不起作用。

Loop Guard（环路保护）：环路保护能够对STP环路提供额外的保护，当STP冗余链路中的阻塞端口错误地过渡到转发状态的时候，就将发生桥接环路情况。注意当在一个端口上同时配置Rootguard和LoopGuard时，Rootguard将不起作用。

打开Packet Tracert建立拓扑如下：

说明：由上图可以看出STP网络中的根桥是SW1。而SW0的fa0/10为阻塞端口。

1、配置SW0 上开启BPDUGuard和RootGuard保护：

Switch>en

Switch#conf t

Switch(config)#host SW0

SW0(config)#int fa0/1

SW0(config-if)#switchport mode access

SW0(config-if)#spanning-tr portfast

SW0(config-if)#spanning-tr bpduguard enable

SW0(config-if)#exit

SW0(config)#int fa0/15

SW0(config-if)#spanning-tr guard root

SW0(config-if)#exit

移除计算机PC0，并拉进一台交换机连接到fa0/1观察BPDU Guard产生的效果：

在SW0 的fa0/15的端口上接入一台新交换机，并对新加入的交换机进行如下配置：

Switch>en

Switch#sh spanning-tr

Switch#conf t

Switch(config)#spanning-tr vlan 1 priority 4096

观察Root Guard产生的效果：

从实验效果上可以看出PBDUGuard 和RootGuard 可以防止未经授权的非法设备接入网络，并且保护现有网络不受任何影响。