Spanning-tree guard features配置案例

案例配置拓扑
案例配置需求
根据拓扑，其中SW1为根桥，原本SW3的位置为一台服务器，网络改组后，成为交换机：
1、 三台交换机之间使用PVST，SW1和SW3的E0/1以及SW2和SW3的E0/2带有portfast属性；
2、 当SW3的接口进入UP状态后，查看生成树状态；
3、 配置使得SW1从E0/1收到BPDU时，将端口阻断；
4、 配置使得SW2发现SW3想要竞选为根桥时，阻断E0/2；
5、 在SW2的E0/2阻断后，SW3会与SW1和SW2隔离，在SW2上配置，使得SW3无法成为根桥，又不会被隔离；

案例配置思路
1、 将三台交换机的生成树模式设置为PVST；
spanning-tree mode pvst
2、 设置所有的接口为Trunk
SW1(config)#interface range ethernet 0/0-3
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
3、 为SW1和SW3的E0/1以及SW2和SW3的E0/2配置portfast：
SW1(config)#interface ethernet 0/1
SW1(config-if)#spanning-tree portfast
SW3(config)#interface ethernet 0/1
SW3(config-if)#spanning-tree portfast
SW2(config)#interface ethernet 0/2
SW2(config-if)#spanning-tree portfast
SW3(config)#interface ethernet 0/2
SW3(config-if)#spanning-tree portfast
4、 在SW1的E0/1上开启BPDU Guard：
SW1(config)#interface ethernet 0/1
SW1(config-if)#spanning-tree bpduguard enable
5、 在SW2的E0/2上开启 Root Guard：
SW2(config)#interface e0/2
SW2(config-if)#spanning-tree guard root
6、 减低SW3的优先级，查看根桥竞选状况；
7、 在SW2的E0/2上配置BPDU filter
SW2(config)#interface e0/2
SW2(config-if)#spanning-tree bpdufilter enable

案例检验结果
1、 开启portfast后，Trunk链路上的生成树收敛速度加快了，直接在block和forward状态间跳转

2、 在SW1的E0/1上开启BPDU guard，当该接口收到BPDU时，接口进入error-disable状态：
3、 在SW2的E0/2配置root guard之后，当该接口接收到高级BPDU时，E0/2接口会被block：
4、 E0/2在被block后，处于root-inconsistent的根不一致状态，当不再接收到高级BPDU后，恢复正常状态：
案例总结及其它
1、 Protfast配置后，可以让接口跳过listening和learning状态，减少收敛时30S的时间，若该特性是配置在Trunk上的，有可能导致瞬间的广播风暴；
2、 BPDU guard配置后，当该接口接收到BPDU后，会进入到error-disable状态，这个状态只能通过shutdown，no shutdown才能重新开启接口；
3、 Root Guard配置后，当该接口接收到高级BPDU（比本设备root bridge ID优的BPDU）后，会使得接口进入根不一致状态，导致接口block；
4、 进入根不一致状态的接口，在不再接收高级BPDU后，就会恢复正常的状态；
5、 接口下开启BPDU filter后，接口会过滤接收到的BPDU，不进行处理，也不会转发；