当原本认为不会产生回路的Portfast端口因为管理人员的一些错误或失误操作而出现回路时,必须要有一种机制能够对其进行保护。BPDU Guard功能就是针对生成树Portfast端口意外接入非法设备所进行的处理。在端口启用Portfast但没有启用BPDU Guard的情况下,如果该端口收到BPDU数据包,那么生成树会将该端口设置为阻塞状态;如果端口同时启用了Portfast和BPDU Guard,那么当端口收到BPDU数据包的时候该端口就会被关闭,进入err-disable状态
BPDU Guard同样可以在全局模式下和接口模式下配置。如果需要对大量接口配置,则适合于全局模式。
1.全局模式配置BPDU Guard
全局配置是配合Portfast使用的,当接口启用了Portfast之后,该接口才会启用BPDU Guard,如果该接口没有启用Portfast,那么该接口不会启用BPDU Guard。例如:
可以通过在接口f0/1上接入一台交换机来验证是否BPDU Guard生效,如果在接口f0/1上接入一台交换机后接口f0/1的指示灯很快熄灭了,说明此端口已经被关闭,查看此接口状态,为“disabled”。表示网络中可能被非法用户增加了一台网络设备,使网络拓扑发生改变。
在全局模式下使用指令“errdisable recovery”来恢复接口状态,在恢复之前可以先关闭BPDU Guard,或者拆除接口上连接的线缆。(www.xing528.com)
读者可以尝试一下,如果接口没有启用 Portfast,那么命令“spanning-tree portfast bpduguard default”不会使该接口启用BPDU Guard。
2.端口模式下配置BPDU Guard
在端口配置模式下用“spanning-tree bpduguard enable”命令来打开单个接口的 BPDU Guard,与该端口是否开启了Portfast无关。如果该端口此时收到了 BPDU数据包,就进入Error-disabled 状态。
端口模式下配置BPDU Guard具有很强的针对性,端口的恢复同样使用“errdisable recovery”指令。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
