什么是BPDU Guard？如何配置BPDU Guard？

桥接协议数据单元(BPDU)是一种生成树协议（STP）的消息单元，它描述了交换机端口的属性，如MAC地址、优先级和成本等。这些属性使得交换机能够参与生成树协议，从而从其他交换机那里获取相关信息。

BPDU保护机制

BPDU Guard这是一种能够保护二层生成树协议拓扑结构免受与BPDU相关的威胁的机制，其目的是来保护交换网络的安全。 在那些不应接收来自连接设备的BPDU的端口上，必须启用BPDU保护功能。 如果您使用生成树协议(STP)中的PortFast功能来配置交换机端口，那么必须将这些端口连接到终端设备上，比如工作站、服务器、打印机等。 PortFast仅在接入端口上启用，其目的是加快从接入端口过渡到STP转发状态的过程。 终端设备不应生成BPDUs，因为在正常的网络环境中，网络交换机之间会交换BPDU消息。

为了避免可能出现的桥接循环，BPDU Guard会阻止某些接口的连接。这一机制的目的是防止外部因素对生成树域产生干扰。默认情况下，BPDU Guard是关闭状态的，但建议对于那些启用了“Port Fast”功能的端口来说，仍然启用该机制。在生成树功能处于关闭状态的端口上，这样可以避免错误的信息被注入到生成树域中。

在全局配置模式下，BPDU Guard功能可以全局启用，也可以在接口配置模式下针对各个接口单独启用。当启用了BPDU Guard的端口接收到来自相关设备的BPDU时，该端口将被禁用，其状态将变为“Errdisable”（与“shutdown”状态相同）。

BPDU保护功能可以针对每个端口进行启用或禁用。当某个端口接收到BPDU时，BPDU保护功能会将其禁用。由于这种禁用措施，位于该端口后面的设备将无法参与STP协议。在端口被禁用之后，需要手动重新启用它。默认情况下，BPDU保护功能是关闭的。

在全局配置模式下，全局配置BPDU Guard功能

用于在所有PortFast边缘端口上默认启用BPDU保护的命令：

system#configure terminal
system(config)#spanning-tree portfast edge bpduguard default
system(config)#exit
system#

用于在所有PortFast边缘端口上禁用BPDU保护的命令：

system#configure terminal
system(config)#no spanning-tree portfast edge bpduguard default
system(config)#exit
system#

在接口配置模式下，针对每个接口来配置BPDU Guard功能。

用于为某个接口启用BPDU保护的命令

system#configure terminal
system(config)#interface giga 0/0
system(config-if)#spanning-tree bpduguard enable
system(config-if)#exit
system(config)#exit
system#

用于禁用某个接口上的BPDU保护的命令

system#configure terminal
system(config)#interface giga 0/0
system(config-if)#spanning-tree bpduguard disable 
system(config-if)#exit
system(config)#exit
system#

优点/优势

1. BPDU Guard可以防止交换设备意外地连接到启用了PortFast功能的端口上。
2. 如果有人试图将L2设备连接到网络中，BPDU保护机制会确保该连接被拒绝。在生成树算法被破坏之前，这种连接会被中断。

劣势/不利因素

1. 每当用户需要一个接入交换机端口，且该端口上连接着交换机时，用户就需要访问该接入交换机的命令行界面，以禁用BPDU保护功能。