STP保護機制

1       BPDU保護

在STP中，若是網橋鏈接的終端設備，會將鏈接該終端設備的端口設置爲邊緣端口以實現這些端口的快速遷移。正常狀況下，邊緣端口不會收到BPDU，但若是有人僞造BPDU發送給交換機的邊緣端口或意外將邊緣端口鏈接到運行STP的設備時，系統會自動將邊緣端口設置爲非邊緣端口，從新進行生產數的計算，這將引發網絡拓撲的振盪。

解決該網絡拓撲振盪的方案是在邊緣端口啓用BPDU保護，在啓用該種保護以後，當邊緣端口再次收到BPDU報文以後，系統會自動關閉着端口。

命令：

在全局視圖：stp bpdu-protection

邊緣端口視圖：stp edged-port enable

2       根橋保護

因爲維護人員的錯誤配置或網絡中的惡意***，網絡中的合法根橋有可能會收到優先級更高的BPDU，這樣當前根橋會失去根橋的地位，引發網絡拓撲結構的變更，從而是鏈路負載分配不合理。

解決根橋變更問題得方案是啓用根橋保護機制，在啓用根橋保護機制以後，端口角色只能保持在指定端口，一旦這種端口上收到優先級更高的BPDU，這些端口的狀態將會被設置爲Listerning狀態，再也不轉發報文（至關於將此端口相連的鏈路斷開）。

端口經歷從Listerning狀態到Forwarding狀態的轉變，在此期間若是端口沒有收到更優的BPDU時，端口會恢復原來的轉發狀態。

開啓根橋保護命令：

在端口視圖下：stp root-protection

3       環路保護

交換機各端口的STP狀態依靠不斷接收上游交換機發送的BPDU來維護，當因鏈路擁塞或單向鏈路故障，根端口會收不到上游的BPDU，此時下游交換機會從新選擇根端口，原來的根端口通過計算以後變爲指定端口，而原來的阻塞端口從新計算以後變爲根端口而遷移到轉發狀態，從而使得交換機網絡中會產生環路。

解決這個產生環路的方案就是啓用環路保護機制，在啓用環路保護機制以後，當端口保存的BPDU老化以後，環路保護生效。根端口的角色若是發生變化就會變爲Discardign狀態，再也不發送報文，從而不會在網絡中造成環路。Discarding會一直維持，直到端口再次收到BPDU，從新成爲根端口。

在MSTP中，此功能對根端口、Alternate端口和Backup端口有效。

啓用命令：

在端口視圖：stp loop-protection

 注：不能再端口上同時啓用環路保護、根橋保護盒邊緣端口中的任意兩種。

4       TC保護

當交換機在接受到TC-BPDU報文後，會執行MAC地址表項和ARP表項的刪除操做（ARP表項是經過MAC地址的刪除而更新的，不是直接刪除）。在有人僞造TC-BPDU報文惡意***交換機時，交換機短期內會收到不少的TC-BPDU報文，頻繁的刪除操做會給交換機帶來很大的負擔，給網絡的穩定帶來很大隱患。

解決這個發送惡意TC-BPDU的方案是啓用TC保護機制，TC保護功能使能後，設備再收到TC-BDPU報文的10s內，容許收到的TC-BPDU報文後當即進行地質表項的刪除，操做的次數能夠由用戶控制（次數限制爲X）。同時系統會監控在該時間段內收到的TC-BPDU報文數是否大於X，若是大於X。則設備再該時間超時後再進行一次地址表項刪除操做，這樣能夠避免頻繁地刪除轉發地址表項。

TC保護使能命令：

在全局視圖下：stp tc-protection enable

在全局視圖下：stp tc-protection threshold X  (默認爲6次)