1、在我司交换机上面如何合理部署portfast、bpdufilter、bpduguard
1)首先要明确的是这三个功能通常都是应用在接入层设备上。
2)通常我们要求直连PC的端口必须开启portfast。如果我们认为一个端口下不应该有bpdu产生,或者我们对下连网络不清楚,想核实端口下是否有bpdu报文,那么我们有两中选择:一是,可以端口portfast和全局bpduguard功能或者是端口bpduguard功能,这样当这个端口有bpdu、收到时该端口将自动down掉,并产生一个违例日志。这个功能相当于一个端口安全功能,有全局和接口配置,请对照第4章节的解释进行配置;二是开启端口bpdufilter功能,这样该端口从此将不在参与任何的生成树计算,我们称之为脱离生成树协议。
3)另外如果我们不确定一个端口是否是直连PC的端口,想让其自适应(也就是直连pc是可以有portfast功能,不是pc时又能自动切入生成树计算),那么我们可以配置端口的portfast同时开启全局的bpdufilter。这样当该端口没有收到bpdu时它具备快速进入转发的特性,当该端口重新收到bpdu时,它将丢弃portfast特性并进行正常的生成树计算。
2、TC-GUARD与TC-IGNORE 区别
????TC-GUARD原理:当一个端口收到TC 报文的时候,如果全局配置了TC Guard?或者是端口上配置了TC Guard,端口将不扩散TC 报文到本设备上其它参与生成树计算的端口,这里的不扩散包括了两种情况:一种是端口收到的TC 报文不扩散,一种是端口自己产生的TC 报文不扩散。端口自己产生的TC 报文是指当端口转发状态发生变化时(例如从block到forwarding 的转变),端口会产生TC 报文,此时表示拓扑可能发生了变化。这样,TC-GUARD可能引发的问题是:由于TC Guard 阻止了TC 报文的扩散,导致当发生拓扑变化的时候,设备没有清除相应端口的MAC 地址,转发数据出错。因此引入了TC-IGNORE的概念。
????TC-IGNORE原理:TC 过滤是只对于端口收到的TC 报文不处理,而端口正常的拓扑变化的情况,能够处理。这样,解决了未配置Portfast 的端口频繁地UP/DOWN 引起的清地址和核心路由中断的问题,又能保证发生拓扑变化时,核心路由表项能够得到及时地更新。
????终上所述,TC-IGNORE是在TC-GUARD的基础上做了优化,因此推荐部署TC-IGNORE。
????推荐用法:核心下联接入设备上存在较频繁的拓扑振荡,或是对于接入部分网络不是那么敏感的情况下,在核心下联接入端口配置tc-ignore
????配置方法:
Ruijie(config)#int g0/1 -------进入需求接口配置
Ruijie(config-if-GigabitEthernet 6/6)#no spanning-tree ignore tc