全局与接口的BPDU Guard功能是有重大区别的

理解并演示:全局与接口的BPDUGuard功能是有重大区别的

 

关键提示:

1、理解BPDU Guard的意义(BPDU Guard在全局配置与接口配置上的区别)

2、通过实验取证全局与接口上BPDU Guard的区别

 

理解BPDU Guard的意义(BPDU Guard在全局配置与接口配置上的区别)

     BPDU Guard(BPDU保护),简单的讲它的意义就是一个不该接收BPDU的端口,比如被启动了portfast的端口,一旦收到BPDU报文,那么BPDU保护功能将会立即关闭该端口,并将端口状态置为error-disabled状态。BPDU Guard的配置分为全局型的配置和接口级的配置,注意这两种配置将带来一些不同的效果。

全局配置BPDU Guard

全局配置BPDU Guard将使用spanning-tree portfast bpduguard default的全局配置命令,能过命令不难看出,全局配置BPDU Guard功能是必须依附于portfast而存在的,因为一个被规划为portfast的端口默认情况下是不应该连二层接桥接类设备,一般用户连接桌面机和服务器,那么这样的端口是不应该接收BPDU报文的,如果在全局配置了BPDUGuard功能,当portfast端口一旦收到BPDU报文,那么该端口将被关闭并转入error-disabled状态。

在接口上的BPDU Guard配置

在接口模式下配置BPDU Guard是通过spanning-tree bpduguard enable接口配置命令来完成,注意在接口模式下启动BPDU Guard功能,不需要依赖portfast而存在,换言之,在接口模式下启动BPDU Guard功能时,无论该接口是一个什么接口,是否是portfast接口这些都不重要,只要管理员认为该接口不应该接收BPDU报文,那么就可以在接口上配置BPDUGuard功能,一旦这个接口被启动BPDUGuard功能后,它接收到BPDU报文,那么那么该端口将被关闭并转入error-disabled状态。

注意:一旦某个端口被转入error-disabled状态,必须通过管理员手工重启并恢复该接口!

 

    如果在某些时候,出现这样一个题目:某台交换机由于某种原因在一些连接桌面机或者服务器的接口上是没有启动portfast功能的,此时需要一种保护机制,当这些端口一旦收到 BPDU报文就将被关闭被转入error-disabled状态,请问应该使用一种什么配置?回答是在接口上通过spanning-treebpduguard enable来完成。因为接口上的BPDU保护是不需要依赖于portfast功能的。

 

演示:BPDU Guard在全局与接口上的配置

 

演示目标:

ü  测试全局模式下BPDU Guard的功能

ü  测试接口模式下BPDU Guard的功能并区别全局配置

演示环境:如图所示

演示背景:为了更好的测试BPDU Guard的效果,就必须存在一台能发送BPDU的设备,为了测试方便,笔者在如图所示的环境中将S2和S3引入作为发送BPDU的设备,为了读者全程的看到BPDU Guard检测行为的完整效果,建议实验人员首先将交换机S2和S3相应端口的交换功能关闭(no switchport),这样在初始状态由于交换功能被关闭就不再发送BPDU,然后在S1对BPDU Guard配置完成后,再到S2或者S3上逐个端口下启动交换机功能(switchport),使其产生BDPU报文的发送来检测S1的BPDU Guard功能。

演示步骤:

第一步:在S2的e0/0-3的接口范围和S3的e1/0上关闭交换功能,先不让其发送BPDU报文,具体配置如下:

关闭交换机S2的E0/0-3的交换功能:

S2(config)#interface range e0/0-3   * 进入S2的E0/0-3的接口范围

S2(config-if-range)#no switchport   * 关闭交换功能,暂时就会在该接口上发送BPDU报文

S2(config-if-range)#no shutdown    * 确保端口被激活

S2(config-if-range)#exit

关闭交换机S3的E0/0的交换功能:

S3(config)#interface e1/0         * 进入S3的E0/0的接口

S3(config-if)#no switchport       * 关闭交换功能,暂时就会在该接口上发送BPDU报文

S3(config-if)#no shutdown  * 确保端口被激活

S3(config-if)#exit

第二步:现在首先来测试全局模式下BPDU Graud的效果,注意全局模式下的BPDU Graud是需要依赖于portfast存在的,所以应该先将交换机S1的所有端口配置为接入模式,并在所有端口上启动portfast功能,具体配置如下:

将交换机S1的所有端口规划到接入模式并启动portfast端口:

S1(config)#interface range e0/0-3            * 接入模块0的e0/0-3的接口范围

S1(config-if-range)#switchport mode access   * 将该接口范围配置为接入模式

S1(config-if-range)#no shutdown            * 激活该接口范围

S1(config-if-range)#exit

S1(config)#interface range e1/0-3            * 接入模块1的e1/0-3的接口范围

S1(config-if-range)#switchport mode access    * 将该接口范围配置为接入模式

S1(config-if-range)#no shutdown            * 激活该接口范围

S1(config-if-range)#exit

S1(config)#spanning-tree portfast default     * 将所有接入端口配置为portfast接口

%Warning: this command enables portfast by default onall interfaces. You     *这部分是系统给出启动portfast后,注意防环的提示

 should nowdisable portfast explicitly on switched ports leading to hubs,

 switches andbridges as they may create temporary bridging loops.

当完成上述的配置后,可以通过在交换机S1上执行show spanning-tree如图所示,可以看出当前的portfast配置生效,因为该交换机的所有端口都是Edge(边缘端口),从某种意义上讲,这里的边缘端口就是portfast。

在交换机S1上通过全局命令配置BPDUGuard功能:

S1(config)#spanning-treeportfast bpduguard default  *在所有portfast端口上启动BPDU Guard

在全局启用BPDU Guard必须要依赖于portfast存在!接下来开始检测S1全局BPDU Guard功能的效果,在交换机S2的e0/0开启交换功能,当交换机功能开启时,交换机S2将会向S1发送BPDU报文,这样就可以触发交换机S1上配置的BPDUGruad功能。

在交换机S2的e0/0开启交换机功能:

S2(config)#intee0/0

S2(config-if)#switchport   *开启交换功能,此时发始像S1发送BPDU

当交换机S2的E0/0接口的交换功能开启时,再次切换到交换机S1的控制台,很快就可以看到如下所示的系统提示,内容的大致意思是:交换机S1的e0/0被启动了BPDU保护功能,但是此时它正在接收BPDU报文,所以该端口正在被禁用,状态被转为error-disabled,E0/0端口被关闭。

%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on portEthernet0/0 with BPDU Guard enabled. Disabling port.

%PM-4-ERR_DISABLE: bpduguard error detected on Et0/0,putting Et0/0 in err-disable state

%LINEPROTO-5-UPDOWN: Line protocol on InterfaceEthernet0/0, changed state to down

%LINK-3-UPDOWN: Interface Ethernet0/0, changed state todown

 

此时管理员可以通过在交换机S1上执行show inte e0/0查看接口的状态,如图所示,E0/0的物理状态和线路属性状态被关闭,而且被转为error-disabled。如果需要解除E0/0的error-disabled就需要管理手工恢复并激活该端口。这就是BPDU Guard全局的作用。此时用户可以通过在S1上执行showspanning-tree summary totals来查看生成树的参数,如图所示,指示在portfast接口上已经启动了BPDU保护功能。

第三步:现在来测试在接口上BPDU Gruad的效果,首先进入S1的E1/0接口,将该接口从portfast功能中脱离出来,因为接口级的BPDU Gruad不需要依赖portfast功能,具体配置如下所示:

首先将S1E1/0接口从portfast功能中脱离出来:

S1(config)#intee1/0

S1(config-if)#spanning-treeportfast disable    * 禁用该接口的portfast功能

S1(config-if)#exit

在完成上面禁用E1/0的portfast功能后,可以通过show spanning-tree interface e1/0查看当前端口已经回退到常规的生成树端口类型中,如图所示。

此时在交换机S3上的e1/0接口上通过switchport来开启交换机功能,让S3的E1/0发送BPDU报文,由于目前暂时还没有在S1的E1/0接口上启动BPDUGurad功能,并且该端口也不再属于portfast端口,所以它S1上全局的BPDU Gurad配置不会限制S1的E1/0,所以在这种情况下,S1的E1/0即便是收到BPDU报文,也不会关闭端口,具体如图所示。确定S1的E1/0端口工作正常后,请再次在S3上的E1/0上关闭交换机功能(no switchport),为后面的测试做准备。

在S1的E1/0接口上启动BPDU保护功能:

S1(config)#intee1/0

S1(config-if)#spanning-treebpduguard enable    * 在接口上启动BPDU Gruad功能

S1(config-if)#exit

现在开始来测试S1的E1/0接口上的BPDU Gruad效果,请在S3的E1/0接口上启动交换功能(switchport),其目的是为了让S1的E1/0发送BPDU报文,由于S1的E1/0接口上启动了BPDU保护功能,所以在交换机S1的控制台上系统会给出如下提示,此时可以在交换机S1上通过show intee1/0查看该接口的状态,如图所示,该接口被关闭并转入error-disabled状态。

交换机S1的E1/0被关闭并转入error-disabled状态:

%LINEPROTO-5-UPDOWN: Line protocol onInterface Ethernet1/0, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol onInterface Ethernet1/0, changed state to up

%SPANTREE-2-BLOCK_BPDUGUARD: ReceivedBPDU on port Et1/0 with BPDU Guard enabled. Disabling port.

%PM-4-ERR_DISABLE: bpduguard errordetected on Et1/0, putting Et1/0 in err-disable state

%LINEPROTO-5-UPDOWN: Line protocol onInterface Ethernet1/0, changed state to down

%LINK-3-UPDOWN: Interface Ethernet1/0,changed state to down

注意:通过在全局和接口实施BPDU保护功能,可看出全局的BPDU保护必须依赖于portfast存在,而接口的BPDU保护可以独立于portfast在任意类型的端口上进行申明。

时间: 2024-10-12 06:47:27

全局与接口的BPDU Guard功能是有重大区别的的相关文章

理解BPDU Guard的意义(BPDU Guard在全局配置与接口配置上的区别)

理解BPDU Guard的意义(BPDU Guard在全局配置与接口配置上的区别)   本文截自于博主CCNP交换技术稿件内容   BPDU Guard(BPDU保护),简单的讲它的意义就是一个不该接收BPDU的端口,比如被启动了portfast的端口,一旦收到BPDU报文,那么BPDU保护功能将会立即关闭该端口,并将端口状态置为error-disabled状态.BPDU Guard的配置分为全局型的配置和接口级的配置,注意这两种配置将带来一些不同的效果. 全局配置BPDU Guard 全局配置

学习stp个人笔记portfast、Bpdu Guard、Bpdu Filter

PortFast :加快主机连接入stp网络的收敛速度.一个端口如果设置为Portfast,该端口不参与生成树计 算.主要用在在交换机与主机相连的端口, 不应该在交换机与交换机,路由器,hub互连的网络设备的端口使用. 在STP中,port有5个状态:disable.blocking.listening.learning.forwarding. 只有forwarding状态,port才能发送用户数据.STP计算过程,会经历blocking->listening->learing->for

portfast与bpdu guard

BPDU guard的功能是当这个端口收到任何的BPDU 就马上设为Error-Disabled状态.我们知道,当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU . 当BPDU guard开启后,在正常情况下,一个下联寝室的端口是不会收到任何BPDU的,因为PC和小交换机都不支持STP,所以不会收发BPDU. 当这个端口下如果有自回环的环路,那么它发出去的BPDU在小交换机上回环后就会被自己接收到,这个时候BPDUguard就会把它立刻设为Error-Disable

72、STP安全配置实验之BPDU Guard

1.BPDU Guard解析 为了保护Spanningtree的稳定性,BPDU Guard配置于交换机接非交换机的端口上,当配置了BPDU Guard的接口上收到BPDU后,接口状态就会变为err-disabled,此时接口的物理.链路状态都为down. 配置方法: 全局配置模式:spanning-tree portfast bpduguard default 接口配置模式:spanning-tree bpduguard enable             开启 接口配置模式:spannin

调用新浪微博接口,实现“分享”功能——代码实现

<!doctype html> <html> <head> <meta charset="UTF-8"> <title>Document</title> </head> <body> <div> <p>点击下面的按钮可以将这段文字和图片分享到新浪微博哦!@独行冰海</p> <img src='http://t.cn/zRxMzZE' title='独

短信接口的介绍和功能

短信接口是面向有一定技术开发能力的用户而单独研发的信息(sms)接口.本接口采用了通用的HTTP形式,可以支持各种操作系统和开发语言,只要电脑能上网就可以使用发送信息,可以根据需要开发自己的一套信息平台.也可以简单的把信息接口嵌入到您自己的系统中,快速拥有无线应用,完善您的服务!同时提供各种语言的例子代码. 1.一点接入,全网服务    企业信息服务覆盖全国,全面开通中国移动.中国联通和中国电信所有用户. 2.对接容易,覆盖面广    本接口采用了通用的HTTP形式,可以支持各种操作系统和开发语

TD-LTE中S1接口不支持的功能有哪些

http://www.mscbsc.com/askpro/response-316483.html wwwmscbsccom 的答案 这个是选择题吧,楼主应该把题目给全啊,一般介绍的有支持的功能,可以根据至此回的功能进行排除定义S1接口是LTE eNB(基站)与 EPC(分组核心网)之间的通讯接口. 含义LTE相对于3G网络,其最大特点是网络扁平化,引入了S1和X2接口.位于演进基站和移动性管理实体/服务网关间的S1接口,将SAE/LTE演进系统划分为无线接入网和核心网.网络架构主要由演进型No

PHP调用API接口实现天气查询功能

天气预报查询接口API,在这里我使用的是国家气象局天气预报接口 使用较多的还有:新浪天气预报接口.百度天气预报接口.google天气接口.Yahoo天气接口等等. 1.查询方式 根据地名查询各城市天气情况 2.请求URL地址http://route.showapi.com/9-2 3.接口参数说明: 一.系统级参数(所有接入点都需要的参数): 二.应用级参数(每个接入点有自己的参数): 4.返回参数 以JSON格式返回结果 1)系统级参数(所有接入点都会返回的参数) 2)应用级参数(系统级输出参

C++虚函数之接口 最简单的功能

虚函数 ,接口,到底有什么用呢? 以前我都是在C++ 里面写C,只用到 简单的C++面对对象知识 #include<stdio.h> class IServerLogic{ virtual ~IServerLogic(){} public: virtual bool OnStart()=0; virtual bool OnStop()=0; }; class ServerLogic:public IServerLogic{ public: virtual bool OnStart(){prin