分类:
2012-02-07 20:33:27
要阻止网络中的环路发生,PortFast功能仅在非中继的访问端口上支持,因为这些端口通常是不传递或接收BPDU包的。PortFast的更安全执行方式是仅在连接到终端的端口上启用它,因为PortFast如果在连接两台交换机的非中继端口上启用,这样就可能会形成生成树环,BPDU包可能会在两交换机的连接端口上循环传递。
PortFast BPDU guard(PortFast BPDU保护)功能通过在某端口接收了BPDU时转换该端口为错误禁止状态(Errdisable State)实现。当在交换机上启用PortFast BPDU保护时,生成树关闭接收了BPDU包并配置了PortFast功能的端口,然后把这些端口转换成生成树阻塞状态。通过有效的配置,使配置了PortFast的端口不接收BPDU包。如果配置了PortFast的端口接收了BPDU包,则说明存在无效配置,如连接了一个非法的设备。PortFast BPDU保护功能提供一个到无效配置的安全响应,因为管理员必须手动把这个端口置为阻塞状态。
【说明】一旦在交换机上启用PortFast BPDU保护功能,则生成树会在所有配置了PortFast功能的端口上应用它。
要在IOS系统交换机上启用BPDU保护(BPDU guard),以关闭配置了PortFast功能的接口接收BPDU包,可以按照表12-29所示的步骤进行。
【示例1】在交换机上所有配置了PortFast功能的接口上启用BPDU保护。
Switch(config)# spanning-tree portfast bpduguard
Switch(config)# end
Switch#
表12-29 在IOS系统交换机上启用BPDU保护的步骤
|
步骤 |
命令 |
用途说明 |
|
1 |
Switch(config)# [no] spanning-tree portfast bpduguard |
在交换机上为所有配置了PortFast功能的接口启用BPDU保护。可用no关键字禁止BPDU保护 |
|
2 |
Switch(config)# end |
退出配置模式 |
|
3 |
Switch# show spanning-tree summary totals |
校验BPDU配置 |
【示例2】校验交换机的BPDU配置汇总(注意输出信息中的粗体字部分)。
Switch# show spanning-tree summary totals
Root bridge for: none.
PortFast BPDU Guard is enabled
Etherchannel misconfiguration guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Default pathcost method used is short
Name Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
34 VLANs 0 0 0 36 36
Switch#
