過濾bpdu報文

A. BPDU guard和BPDU Filter的區別

BPDU GUARD與BPDU FILTER這2個可以再全局模式下開啟也可以再埠下開啟。當然不同的開啟方式效果也版不同。BPDU GUARD在全權局下開啟只對portfast埠生效，並且收到BPDU就將介面過渡到ERR-DISABLE狀態。在介面下開啟不管是不是portfast埠一旦收到BPDU都將介面過渡到err-disable狀態。如果BPDU FILTER在全局下開啟只對portfast埠生效並且只能過濾掉發出的BPDU並不能過濾掉收到的BPDU。如果在介面下下開啟。那麼不管是否是不是portfast埠都將生效。並且將會使發出或收到的都被過濾掉，這樣就相當於在這個介面關掉了STP是很危險的動作，不建議在介面下開啟。

B. BPDU報文能在設備上被透傳么

深圳微來浩- 2G/3G/4G DTU設備，自可以將數據透傳到伺服器上，實現遠程管理
網站：www.micro-ho.com

C. 如何配置bp-tunnel透傳bp報文

配置IOS重新激活errdisable的介面，使用以下命令：sw1(config)#errdisable recovery cause bpguard sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state ...展開配置IOS重新激活errdisable的介面，使用以下命令：sw1(config)#errdisable recovery cause bpguard sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from 802.1x violation disable state udld Enable timer to recover from udld error disable state unicast-flood Enable timer to recover from unicast flood disable state vmps Enable timer to recover from vmps shutdown error disable收起

D. BPDU報文攻擊的原理是什麼

要知道BPDU報文攻擊的原理，那就要知道BPDU的具體功能，BPDU(Bridge Protocol Data Unit)是在網橋連接中，為了避免產生迴路，而使用的，具體的協議是Spanning-Tree，就是生成樹協議。在多個網橋（交換機也是網橋的一種）互聯時，當一台網橋接入網路、撤出網路（可能因為損壞或斷電）時，生成樹需要重新計算、重新生成，而在重新生成的過程中，整個網路時不轉發數據的，按照最基本的的要求，這個時間可能長達40秒，也就是說這段時間內網路是癱瘓的，當然各個廠家對此都有一定的改進，時間會縮短，起碼正常工作的部分受影響會大大減小。

BPDU報文攻擊時會發送BPDU報文，通知網路內的交換機，生成樹發生變化，需要重新計算，這樣就會造成網路暫時中斷，如果這種現象出現很頻繁，那麼整個網路也就不可用了。

有關詳細知識，去查看以下Spanning-Tree的工作原理。我這里有一份我整理的PPT文檔，如果需要，可以發給你。

E. BPDU報文是不是通過CPU來處理

請注意，是目的MAC相同，源MAC是不同的。目的MAC採用同樣的一個組播MAC，這樣就和具體設備無關了。

F. 什麼是BPDU防護它起什麼作用它和BPDU過濾有什麼區別

bp:
bridge protocol data unit,橋接協議數據單元

對於參與stp的一個擴展的區域網中的所有交換機，他們都通過數據消息的交換來獲取網路中的其他交換機的信息，這些消息被稱為bp

bp一旦出現異常，這個stp區域中的交換機將可能全部陷入混亂

如果介面啟用了stp portfast，這個介面將不會經過監聽、學習兩個狀態，在接入設備之後會立刻進入轉發狀態，這個時候如果接入的設備是其他的網路中的stp根橋，這個時候就會造成交換機的混亂

bp保護就是針對stp portfast的意外接入非法設備所進行的處理

bp保護在stp portfast埠上一旦接收了bp數據，就會立刻使這個介面進入「err-disable」狀態，必須由管理員手動重新啟用「arr-disable」狀態的介面。

要啟用bp保護功能
在全局控制模式下鍵入

spanning-tree portfast bpguard

就可以啟用該功能，關閉此功能在前面+no

G. 交換機之間傳遞BPDU報文是幀格式嗎

H. 怎麼在銳捷交換機埠禁止bp報文上傳

no errdisable recovery cause bpguard這個是思科禁止bp報文上傳命令，你可以參考一下，然後運用到你的銳捷交換機那裡

I. 請 詳述 一下 BPDU 數據包的格式 和結構

BPDU GUARD與BPDU FILTER這2個可以再全局模式下開啟也可復以再埠下開制啟。當然不同的開啟方式效果也不同。BPDU GUARD在全局下開啟只對portfast埠生效，並且收到BPDU就將介面過渡到ERR-DISABLE狀態。在介面下開啟不管是不是portfast埠一旦收到BPDU都將介面過渡到err-disable狀態。如果BPDU FILTER在全局下開啟只對portfast埠生效並且只能過濾掉發出的BPDU並不能過濾掉收到的BPDU。如果在介面下下開啟。那麼不管是否是不是portfast埠都將生效。並且將會使發出或收到的都被過濾掉，這樣就相當於在這個介面關掉了STP是很危險的動作，不建議在介面下開啟。

J. 一個末端的交換機上在 STP協議中時不發送BPDU報文,那麼如果他當掉了他的上一級怎麼知道他出問題了

交換機之間就只有通過BPDU來交換網橋ID、跟路徑成本等信息吧。如果它們之間不發送BPDU報文，它們算在生成樹狀態嗎。