拓扑

拓扑可以保存到本地，然后扩大查看，这样才能看的更清楚。（拖动到新窗口打开即可）

STP的安全技术部署

 

说明：为什么需要注意STP的安全呢，在二层中其实存在很多不安全的因素，物理上面的环路这点就得依靠STP来解决，如果STP被恶意破坏，或者不是按照管理员定义的进行运行，那么整个网络会出现很大的问题。

 

（1）STP根保护机制
我们都知道STP是有根跟备份根的，如果根的位置改变了的话，流量的引向是会发生变化的。
所以我们需要部署根的保护机制，防止根被后续的影响。
[Core-A]port-group 1
[Core-A-port-group-1]group-member g0/0/24
[Core-A-port-group-1]group-member g0/0/23
[Core-A-port-group-1]group-member g0/0/21
[Core-A-port-group-1]stp root-protection

[Core-B]port-group 1
[Core-B-port-group-1]group-member g0/0/22 to g0/0/24
[Core-B-port-group-1]stp root-protection
说明：该技术只需要在核心层或者汇聚层部署即可，也就是跟部署了VRRP技术的，防止跟VRRP的Master不一致即可，否则容易出现一些路径不优的情况。

（2）BPDU包含【可以防止私接交换机功能】
说明：有时候用户不懂网络知识，习惯性的自己自己带的交换机连接进来， 而且很有可能是环路的连接，这样的话就容易出现广播风暴，所以这时候需要杜绝该情况发生。
接入层都需要部署
[FKT]stp bpdu-protection
测试当一台交换机连接到访客厅的时候

由于该接口收到bpdu，自动down，注意这里只会对配置了边缘端口的才会生效该功能，也就是说默认上层链路之间不受影响的。

自动恢复机制
默认情况下必须管理任何开启该端口，但是这样总归很麻烦，所以可以开启一个动态开启机制。

[FKT]error-down auto-recovery cause bpdu-protection interval 30
它的意思是因为BPDU-Protection造成的接口donw，在30s后开启。

如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路Blog（其他平台同名），版权归网络之路Blog所有，原创不易，侵权必究，觉得有帮助的，关注、转发、点赞支持下！~。