STP的作用：
1.防止交换环路（消除环路）和链路备份

无STP配置的问题（网络环路引发的问题）：
1.广播风暴
2.导致MAC表震荡
3.多帧复制

MAC地址表有一个300s的维持时间
一旦有广播泛洪—未知单播，组播，广播

关闭STP功能命令:Stp disable
开启STP功能命令:Stp enable
查看STP端口的状态：Display stp br
FORWARDING:正常端口
DISCARDING:阻塞端口



一.BPDU保护
[1]当我们在access接口上配置stp edged-port enable命令时，目的让其收敛时间是0，但是该命令会是的 改接口丧失检测环路的能力，本质是该命令时不加入生成树收敛的意思。

[2] stp bpdu-protection //全局开启生成树的BPDU保护，作用是当stp edged-port接口收到BPDU时， 会强制关闭改接口。

3:This edged- por t GigabitEthernet0/0/2 that enabled BPDU-Protection will be shutdown, because it received BPDU packet! //开启保护后检测出BPDU关闭改接口。 Mar 19 2022 17:30:32-08:00 ACC-1 %%01PHY/1/PHY(l)

4: GigabitEthernet0/0/2: c hange status to down //关闭了接口 undo shutdown 命令可以重新打开被关闭的接口

二.root保护
作用：当开启后接口收到比当前设备根更优的BPDU时，关闭改接口。一般配置在不信任或者trunk接口上
[ACC-1]int g0/0/23
[ACC-1-GigabitEthernet0/0/23]stp root-protection //启动接口的根保护

三.TC保护
topology change 报文意味着生成树发生了拓扑变化，这些变化会导致交换机把他的MAC地址表清空。 针对TC俩种方案：

做stp edged-port 让接口不参与生成树自然就不会发TC
. TC保护 stp tc-protection threshold 1 //设置交换机处理TC的次数，一分钟只处理一次
四.环路保护
[1]:通过在交换设备上部署生成树协议STP（Spanning Tree Protocol）、快速生成树协议RSTP（Rapid Spanning Tree Protocol）、多生成树协议MSTP（Multiple Spanning Tree Protocol）或基于VLAN的生成树协议VBST（VLAN-Based Spanning Tree）可以破除二层网络环路。某些情况下，运行生成树协议设备的阻塞端口迁移到Forwarding状态时可能导致网络环路，而环路保护功能可以避免这一情况。

[2]:当网络中的设备部署了生成树协议时，设备间通过交互BPDU（Bridge Protocol Data Unit）报文计算生成无环的网络拓扑。设备通过不断更新并交互BPDU报文，计算决定部分接口阻塞流量，从而破除网络环路；部分接口成为根端口并转发流量等。


一：BPDU保护

边缘端口正常情况下是不会收到BPDU的，如果有黑客伪造BPDU发送给交换机边缘端口或者将边缘端口意外地连接STP设备时，系统会自动将边缘端口设置为非边缘端口，重新进行生成树计算，引起网络拓扑的震荡。配置BPDU保护可以阻止此行为。启动BPDU保护功能后，如果边缘端口收到BPDU，就将这些端口关闭。

[SWC-GigabitEthernet1/0/1]stp edged-port

[SWC]stp bpdu-protection----BPDU保护要在系统视图下开启

 

二：根桥保护

在如图中，SWA为网络中的根桥，但是如果此时把SWD接入到网络中，并且把它的优先级设置比SWA还高的话，那么按照正常stp来说，会重新进行根桥的选举，网络震荡。通过配置根桥保护，一旦端口上收到了优先级高的BPDU，其状态会被设置为listening状态，不在转发报文。

[SWB-GigabitEthernet1/0/3]stp root-protection----------与SWD相连的端口

此时查看SWD的生成树会发现，虽然它的优先级是最高的，但是它却依然是非根桥（与SWB相连的端口依然是根端口，而根桥是没有根端口的）。

 

三：环路保护

当根桥与非根桥的链路故障或者由于端口阻塞导致非根桥收不到根桥发送的BPDU，在非根桥BPDU老化后，非根桥会重新选举端口角色，很容易导致环路的产生。配置环路保护之后，当端口保存的BPDU老化时，环路保护生效，非根桥根端口一旦发生变化就会变成discarding状态，不转发状态，从而避免了环路的形成。

这里为了防止SWC与SWB和SWA形成环路，在1/0/2和1/0/3上都启动环路保护功能

[SWC]int g1/0/2

[SWC-GigabitEthernet1/0/2]stp loop-protection

[SWC]int g 1/0/3

[SWC-GigabitEthernet1/0/3]stp loop-protection

 

四：TC保护

交换机如果收到TC-BPDU报文后，会执行删除MAC地址表项和ARP表项的操作，在有黑客恶意伪造TC-BPDU攻击交换机时，交换机会在短时间内收到很多的TC-BPDU报文，导致交换机会频繁的执行删除操作，引起网路的波动。TC保护功能开启后，设备在收到TC-BPDU报文后的10s内，允许进行删除操作的次数由用户控制。

[SWC]stp tc-protection

[SWC]stp tc-protection threshold 8----允许执行删除地址表项的最大次数为8，默认是6。
————————————————
版权声明：本文为CSDN博主「余为安」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/m0_49686750/article/details/111761260