防止攻击者拿一台交换机,设置成更低优先级,使其成为根交换机,然后span监控用户流量等。
1根防护switch(config)#int f0/0switch(config-if)#spanning-tree guard root
2 BPDU Guardswitch(config)# spanning-tree portfast bpduguard default或者switch(config)#int f0/0switch(config-if)#spanning-tree bgduguard enable
3 BPDU filterswitch(config)#spanning-tree portfast bpdufilter default或switch(config)#int f0/0switch(config-if)#spanning-tree bpdufilter enable
BPDU guard 接口下配置收到 bpdu 后会置端口为 error disable状态,本身还发BPDU,全局下打,portfast 接口会变成监听。
bpdu filter 在接口下是不发送bpdu 和忽略收到的 bpdu。而在全局下,收到bpdu后禁用port fast 和filter。这样端口经历stp的状态,避免环路(效果同guard,但方法不一样)区别:1 当在端口下两种都配了,filter会起作用2 guard 不收但会发bpdu 而filter 不收不发。3 如果将两者都配置在了非host接口下,guard 没问题,但filter 会产生环路,因为对面的接口收不到bpdu 会进入forward。