STP保护机制

1       BPDU保护

在STP中，若是网桥链接的终端设备，会将链接该终端设备的端口设置为边缘端口以实现这些端口的快速迁移。正常状况下，边缘端口不会收到BPDU，但若是有人伪造BPDU发送给交换机的边缘端口或意外将边缘端口链接到运行STP的设备时，系统会自动将边缘端口设置为非边缘端口，从新进行生产数的计算，这将引发网络拓扑的振荡。

解决该网络拓扑振荡的方案是在边缘端口启用BPDU保护，在启用该种保护以后，当边缘端口再次收到BPDU报文以后，系统会自动关闭着端口。

命令：

在全局视图：stp bpdu-protection

边缘端口视图：stp edged-port enable

2       根桥保护

因为维护人员的错误配置或网络中的恶意***，网络中的合法根桥有可能会收到优先级更高的BPDU，这样当前根桥会失去根桥的地位，引发网络拓扑结构的变更，从而是链路负载分配不合理。

解决根桥变更问题得方案是启用根桥保护机制，在启用根桥保护机制以后，端口角色只能保持在指定端口，一旦这种端口上收到优先级更高的BPDU，这些端口的状态将会被设置为Listerning状态，再也不转发报文（至关于将此端口相连的链路断开）。

端口经历从Listerning状态到Forwarding状态的转变，在此期间若是端口没有收到更优的BPDU时，端口会恢复原来的转发状态。

开启根桥保护命令：

在端口视图下：stp root-protection

3       环路保护

交换机各端口的STP状态依靠不断接收上游交换机发送的BPDU来维护，当因链路拥塞或单向链路故障，根端口会收不到上游的BPDU，此时下游交换机会从新选择根端口，原来的根端口通过计算以后变为指定端口，而原来的阻塞端口从新计算以后变为根端口而迁移到转发状态，从而使得交换机网络中会产生环路。

解决这个产生环路的方案就是启用环路保护机制，在启用环路保护机制以后，当端口保存的BPDU老化以后，环路保护生效。根端口的角色若是发生变化就会变为Discardign状态，再也不发送报文，从而不会在网络中造成环路。Discarding会一直维持，直到端口再次收到BPDU，从新成为根端口。

在MSTP中，此功能对根端口、Alternate端口和Backup端口有效。

启用命令：

在端口视图：stp loop-protection

 注：不能再端口上同时启用环路保护、根桥保护盒边缘端口中的任意两种。

4       TC保护

当交换机在接受到TC-BPDU报文后，会执行MAC地址表项和ARP表项的删除操做（ARP表项是经过MAC地址的删除而更新的，不是直接删除）。在有人伪造TC-BPDU报文恶意***交换机时，交换机短期内会收到不少的TC-BPDU报文，频繁的删除操做会给交换机带来很大的负担，给网络的稳定带来很大隐患。

解决这个发送恶意TC-BPDU的方案是启用TC保护机制，TC保护功能使能后，设备再收到TC-BDPU报文的10s内，容许收到的TC-BPDU报文后当即进行地质表项的删除，操做的次数能够由用户控制（次数限制为X）。同时系统会监控在该时间段内收到的TC-BPDU报文数是否大于X，若是大于X。则设备再该时间超时后再进行一次地址表项删除操做，这样能够避免频繁地删除转发地址表项。

TC保护使能命令：

在全局视图下：stp tc-protection enable

在全局视图下：stp tc-protection threshold X  (默认为6次)