У цій статті описано кілька прийомів по фільтрації STP-пакетів в комутаторах Cisco. Далі мова піде про таких командах як spanning-tree bpduguard enable і spanning-tree bpdufilter enable на портах комутаторів.
Команда bpduguard слухає начіліе будь-яких BPDU фреймів і блокує порт. Команда bpdufilte r забороняє проходження BPDU фреймів на порту.
Так якщо на одному віддаленому комутаторі sw2 є:
errdisable recovery cause bpduguard
errdisable recovery interval 90
interface FastEthernet0 / 20
description sw1
switchport trunk encapsulation dot1q
switchport mode trunk
Те помилкове включення на ньому spanning-tree bpduguard enable призведе до відключення порту:
% SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0 / 20 with BPDU Guard enabled. Disabling port.
% PM-4-ERR_DISABLE: bpduguard error detected on Fa0 / 20, putting Fa0 / 20 in err-disable state
Комутатор автоматично включить порт через 90 секунд завдяки errdisable recovery. Користуючись цим необхідно включити на порту найближчого комутатора BPDUFilter:
sw1 (config) #interface FastEthernet0 / 21
sw1 (config-if) # spanning-tree bpdufilter enable
Далі варто трохи почекати, поки порт розблокується на sw2:
% PM-4-ERR_RECOVER: Attempting to recover from bpduguard err-disable state on Fa0 / 20
Тепер заходимо на sw2 і відключаємо bpduguard - виконати на інтерфейсі команду no spanning-tree bpduguard.
На sw1 відключаємо bpdufilter - виконати на інтерфейсі команду no spanning-tree bpdufilter.