实际应用中，STP需要配合一些保护机制提升网络的可靠性。

一、BPDU保护

说明：在实际应环境中，BPDU保护是STP保护机制中应用最多的，一般在开启边缘端口的交换机都配置BPDU保护。这样可以有效避免BPDU攻击，保障网络的可靠性。

1. 技术背景

当边缘端口收到BPDU后，将转换成非边缘端口，重新参与生成树计算，使用PC伪造BPDU报文恶意攻击，将导致STP频繁重计算，最终造成网络拥塞甚至瘫痪。

2. 解决方案

开启BPDU保护后，边缘端口收到BPDU，则MSTP会关闭该端口。

二、根桥保护

1. 技术背景

合法根网桥收到优先级更高的BPDU，将失去根网桥角色，并引起STP重计算。

2. 解决方案

设置根桥保护的端口，一旦收到优先级更高的BPDU，则立即将端口设置为Listening状态，不在转发报文。

三、环路保护

说明：如果配置了环路保护，正常链路如果发生故障，备用链路也不会自动开启，这样就起不到链路冗余的作用。所以环路保护机制有好有坏，需要慎重选择。

​

1. 技术背景

合法根网桥收到优先级更高的BPDU，将失去根网桥角色，并引起STP重计算。

2. 解决方案

设置根桥保护的端口，一旦收到优先级更高的BPDU，则立即将端口设置为Listening状态，不在转发报文。

四、TC保护

1. 技术背景

使用PC伪造TC-BPDU发送，将导致交换机频繁清除MAC地址表，导致网络不稳定。

2. 解决方案

设置交换机在收到TC-BPDU的10秒内，MAC地址表删除的最大次数。

五、相关命令

附：

 关注我，获取此次配置工程、更多配置案例、最新影视及常用办公软件

1. BPDU保护：
   为了保护边缘端口，因为当一个边缘端口收到一个BPDU时，会状变为非边缘端口，会参与生成树的计算，如果频繁的UP/DOWN，就使网络一直处于生成树的计算。解决方法：在交换机的端口开启BPDU保护，当设置为BPDU保护的端口收到BPDU时，系统会将该端口变为down状态。配置：
2. 根桥保护：当网络中出现优先级更高的网桥时，根网桥可能会发生变化，导致闭塞端口发生变化，导致网络流量路径的转变，高速链路状变为低速链路。解决办法，根桥保护
   在端口下开启根桥保护，该端口收到一个优先级更高的BPDU时，该端口马上将变为侦听（Listening）状态，不在收发数据报文，如果在此期间，没有收到更高的BPDU时，则会恢复原来的转发状态。配置：
3. 环路保护：当由于网络拥塞，导致下游交换机收不到上游交换机的配置BPDU，在规定时间内，下游交换机没有收到，则会开启闭塞端口，选定端口角色，可能会导致临时环路。解决办法：环路保护，如果在规定周期内，没有收到上游交换机的BPDU则会闭塞上游端口。
   4.TC保护：交换机收到TCN置位的BPDU时，会删除除接收外的所有指定端口mac地址和ARP表，立即进行生成树的计算，导致网络频繁的计算。解决办法：配置TC保护，设置交换机在10秒内交换机删除mac地址表的次数。配置：

交换机STP的安全保护措施

本篇讲一下交换机生成树的安全保护措施，防止不法分子利用STP的特性来截取流量的走向和破坏网络的稳定性，也能有效的防止环路的形成。

安全原理

我们知道，STP的选举规则是在一个广播域中优先级小的选举为根桥，因此决定了流量的走向。那么只需在其对应的网络加入一台交换机，修改该交换机的优先级，使其抢占根桥，那么该广播域的流量走向将由该交换机决定，该交换机就能对流量进行监控等等非法活动。
那么我们对应的解决办法也是围绕着不能使其抢占根桥，从而不对我们原来的网络环境造成影响。

STP的保护措施及命令

BPDU保护：在对应的接口开启该功能，该功能会直接将收到BPDU的接口down掉。此时接口处于双down状态，并且若是想重新启动，则需先shutdown再no shutdown。原因是此时是处于err-disabled状态。也可以设置一段时间之后自动启动。
SW2（config）#int e0/0
SW2(config-if)#spanning-tree bpduguard enable //开启STP保护
SW2(cofig)#errdisable recovery cause bpduguard //开启BPUD导致的端口关闭恢复起来
SW2(cofig)#errdisable recovery interval 30 //设置接口恢复时间为30秒（最低30秒）
sw2(config)#spanning-tree portfast bpduguard default //在所有portfast接口开启BPDU保护，配置之前需配置好protfast接口

STP桥保护：在接口开启根桥保活后，若交换机的接口接收到了更优BPDU时，将该接口阻塞；直到该接口不再收到更优BPDU才恢复，从而保护根桥不会被抢。此时接口处于双UP，只是接口生成树状态为BKN。
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree guard root 接口开启根网保护

BPDU过滤：开启BPDU过滤后，若接入层接口收到BPDU信息，将仅丢弃BPDU数据帧，正常转发用户流量（不参与生成树）
sw2(config)#interface e0/0 接口开启或关闭
sw2(config-if)#spanning-tree bpdufilter enable

实例举例

配置前提：在SW2,SW3,SW4形成的生成树基础上，加入一个SW5，并修改SW5优先级为最小，使得SW5抢占根桥。
需求：要求对SW2做STP保护，使得SW5无法抢占根桥，即无法对SW2上面的链路造成影响。要求使用三种STP保护措施分别分析。

配置：
先将SW5得e0/0接口down掉，由于这里是EVE做测试，不支持热插拔。
SW5(config)#spanning-tree vlan 1 priority 4096 //修改SW5优先级
做保护之前，我们先来查看SW2与SW5的生成树状况。


可以看出，此时SW2作为(SW2,SW3,SW4)这个区域的根桥。
SW5作为（SW5）区域的根桥。

倘若将SW5的接口e0/0打开，SW5就会抢占根桥。
Interesting e0/0
no shutdown

关闭SW5接口e0/0，开始做STP配置
第一种保护方式，BPDU保护：直接将收到BPDU的接口down掉。
Interesting e0/0
no shutdown
SW2（config）#int e0/0
SW2(config-if)#spanning-tree bpduguard enable //开启STP保护

配置完成，将SW5的e0/0接口打开，查看是否能抢占根桥。



可以看到STP保护生效，由于检测在e0/0接口检测到BPDU报文，所以直接把e0/0接口直接down掉，并且SW5也无法抢占根桥。（这也是这种STP保护的特性）
补充配置：
sw2(config)#spanning-tree portfast bpduguard default //在所有portfast接口开启BPDU保护，配置之前需配置好protfast接口
SW2(cofig)#errdisable recovery cause bpduguard //开启BPUD导致的端口关闭恢复起来
SW2(cofig)#errdisable recovery interval 30 //设置恢复时间30秒（最低30秒）
配置完成，我们等待30秒

可以看到，30秒后，SW2的f0/0将重新变为UP，但是由于SW5还是继续发BPDU问题，所以又变为DOWN，若是此时将SW5的e0/0接口关掉，可以清楚的看到SW2的接口重新UP起来。

第二种保护方式
STP桥保护：在接口开启根桥保活后，若交换机的接口接收到了更优BPDU时，将该接口阻塞；直到该接口不再收到更优BPDU才恢复，从而保护根桥不会被抢。
配置：
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree guard root 接口开启根网保护
配置完成，来查看SW2的生成树状态


可以看出，SW5也无法抢到根桥，并且将e0/0直接给阻塞掉。但是这里不会down掉接口，与第一种方法又有所区别。

第三种方法
BPDU过滤：开启BPDU过滤后，若接入层接口收到BPDU信息，将仅丢弃BPDU数据帧，正常转发用户流量（不参与生成树）
sw2(config)#interface e0/0 接口开启或关闭
sw2(config-if)#spanning-tree bpdufilter enable
sw2(config)#spanning-tree portfast bpdufilter default //在所有portfast接口开启BPDU过滤，配置之前需配置好protfast接口
配置完成，打开接口SW5的e0/0接口，查看SW2生成树状态。

可以看出生成树没被抢，而且也没发生端口状态变化，这种STP保护方法就是启动过滤BPDU的效果。

最后

到此，三种STP保护方法介绍完毕，各有所长，重点看需求如何再考虑运用。感谢观看！谢谢！