过滤bpdu报文

A. BPDU guard和BPDU Filter的区别

BPDU GUARD与BPDU FILTER这2个可以再全局模式下开启也可以再端口下开启。当然不同的开启方式效果也版不同。BPDU GUARD在全权局下开启只对portfast端口生效，并且收到BPDU就将接口过渡到ERR-DISABLE状态。在接口下开启不管是不是portfast端口一旦收到BPDU都将接口过渡到err-disable状态。如果BPDU FILTER在全局下开启只对portfast端口生效并且只能过滤掉发出的BPDU并不能过滤掉收到的BPDU。如果在接口下下开启。那么不管是否是不是portfast端口都将生效。并且将会使发出或收到的都被过滤掉，这样就相当于在这个接口关掉了STP是很危险的动作，不建议在接口下开启。

B. BPDU报文能在设备上被透传么

深圳微来浩- 2G/3G/4G DTU设备，自可以将数据透传到服务器上，实现远程管理
网站：www.micro-ho.com

C. 如何配置bp-tunnel透传bp报文

配置IOS重新激活errdisable的接口，使用以下命令：sw1(config)#errdisable recovery cause bpguard sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state ...展开配置IOS重新激活errdisable的接口，使用以下命令：sw1(config)#errdisable recovery cause bpguard sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from 802.1x violation disable state udld Enable timer to recover from udld error disable state unicast-flood Enable timer to recover from unicast flood disable state vmps Enable timer to recover from vmps shutdown error disable收起

D. BPDU报文攻击的原理是什么

要知道BPDU报文攻击的原理，那就要知道BPDU的具体功能，BPDU(Bridge Protocol Data Unit)是在网桥连接中，为了避免产生回路，而使用的，具体的协议是Spanning-Tree，就是生成树协议。在多个网桥（交换机也是网桥的一种）互联时，当一台网桥接入网络、撤出网络（可能因为损坏或断电）时，生成树需要重新计算、重新生成，而在重新生成的过程中，整个网络时不转发数据的，按照最基本的的要求，这个时间可能长达40秒，也就是说这段时间内网络是瘫痪的，当然各个厂家对此都有一定的改进，时间会缩短，起码正常工作的部分受影响会大大减小。

BPDU报文攻击时会发送BPDU报文，通知网络内的交换机，生成树发生变化，需要重新计算，这样就会造成网络暂时中断，如果这种现象出现很频繁，那么整个网络也就不可用了。

有关详细知识，去查看以下Spanning-Tree的工作原理。我这里有一份我整理的PPT文档，如果需要，可以发给你。

E. BPDU报文是不是通过CPU来处理

请注意，是目的MAC相同，源MAC是不同的。目的MAC采用同样的一个组播MAC，这样就和具体设备无关了。

F. 什么是BPDU防护它起什么作用它和BPDU过滤有什么区别

bp:
bridge protocol data unit,桥接协议数据单元

对于参与stp的一个扩展的局域网中的所有交换机，他们都通过数据消息的交换来获取网络中的其他交换机的信息，这些消息被称为bp

bp一旦出现异常，这个stp区域中的交换机将可能全部陷入混乱

如果接口启用了stp portfast，这个接口将不会经过监听、学习两个状态，在接入设备之后会立刻进入转发状态，这个时候如果接入的设备是其他的网络中的stp根桥，这个时候就会造成交换机的混乱

bp保护就是针对stp portfast的意外接入非法设备所进行的处理

bp保护在stp portfast端口上一旦接收了bp数据，就会立刻使这个接口进入“err-disable”状态，必须由管理员手动重新启用“arr-disable”状态的接口。

要启用bp保护功能
在全局控制模式下键入

spanning-tree portfast bpguard

就可以启用该功能，关闭此功能在前面+no

G. 交换机之间传递BPDU报文是帧格式吗

H. 怎么在锐捷交换机端口禁止bp报文上传

no errdisable recovery cause bpguard这个是思科禁止bp报文上传命令，你可以参考一下，然后运用到你的锐捷交换机那里

I. 请 详述 一下 BPDU 数据包的格式 和结构

BPDU GUARD与BPDU FILTER这2个可以再全局模式下开启也可复以再端口下开制启。当然不同的开启方式效果也不同。BPDU GUARD在全局下开启只对portfast端口生效，并且收到BPDU就将接口过渡到ERR-DISABLE状态。在接口下开启不管是不是portfast端口一旦收到BPDU都将接口过渡到err-disable状态。如果BPDU FILTER在全局下开启只对portfast端口生效并且只能过滤掉发出的BPDU并不能过滤掉收到的BPDU。如果在接口下下开启。那么不管是否是不是portfast端口都将生效。并且将会使发出或收到的都被过滤掉，这样就相当于在这个接口关掉了STP是很危险的动作，不建议在接口下开启。

J. 一个末端的交换机上在 STP协议中时不发送BPDU报文,那么如果他当掉了他的上一级怎么知道他出问题了

交换机之间就只有通过BPDU来交换网桥ID、跟路径成本等信息吧。如果它们之间不发送BPDU报文，它们算在生成树状态吗。