Skip to content

Применение функции STP BPDU Filter на порту

В документе описывается настройка порта коммутатора, на котором запрещается приём и отправка BPDU-сообщений протокола STP с помощью функции BPDU Filter, а также приводятся рекомендации, когда можно и когда нельзя использовать данную команду на порту.

Необходимые условия и предварительные требования

Функция BPDU Filter может применяться для портов, участвующих в следующих версиях протокола spanning tree:

  • Spanning Tree Protocol (STP, IEEE 802.1D)
  • Rapid Spanning Tree Protocol (RSTP, IEEE 802.1W)
  • Multiple Spanning Tree Protocol (MSTP, IEEE 802.1S)

Общие требования:

  • На коммутаторе должен быть включён и настроен STP/RSTP/MSTP.
  • Администратор должен понимать текущую L2-топологию и наличие/отсутствие резервных L2-путей.
  • Должна быть исключена вероятность подключения через настраиваемый порт дополнительных L2-коммутаторов или «неизвестных» L2-устройств, если планируется включать BPDU Filter на порту.
  • Внимательно ознакомьтесь с рекомендациями использования команды в конце документа.

Информация по команде STP BPDU Filter

Общие сведения

Функция BPDU Filter на порту (команда уровня интерфейса stp bpdu-filter enable) отключает обработку STP на данном интерфейсе:

  • Порт перестаёт отправлять BPDU.
  • Порт перестаёт принимать и обрабатывать BPDU от соседнего устройства.
  • Для данного интерфейса STP логически отключён, при этом состояние порта в плане передачи данных остаётся forwarding.

Важно: отключение STP на любом участке L2-сети может привести к образованию петель и массовой блокировке трафика.

Режимы работы BPDU Filter

  • Глобальный BPDU Filter на коммутаторах CIT 3200 не поддерживается.
  • BPDU Filter на порту (настройка выполняется для конретного порта
    – STP полностью отключён на интерфейсе.
    – Коммутатор никогда не отправляет и не обрабатывает BPDU по этому порту.
    – Порт всегда остаётся в состоянии пересылки (forward) с точки зрения передачи данных.

Дальнейшее описание относится именно к режиму настройки на порту.

Настройка фильтрации BPDU сообщений на интефейсе коммутатора

Ниже приведён пример, демонстрирующий изменение состояния порта 10gi 1/0/2 до и после включения BPDU Filter.

Состояние порта до включения BPDU Filter

Внимание. Применение данной команды на интерфейсе коммутатора, находящемся в состоянии Root/Designated может привести к возникновению петель, нестабильности и/или блокировки сетевой инфорструктуры!

В документе данная конфигурация применена в целях демонстрации работы команды stp bpdu-filter enable

Switch#show stp inter 10gi 1/0/2 
 --------[CIST Info]--------
 CIST Bridge              : 32768.b4e0-2500-0356
 Bridge Times             : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20 
 CIST Root/ERPC           : 32768.b4e0-2500-0280 / 2000 
 CIST RegRoot/IRPC        : 32768.b4e0-2500-0356 / 0 
 CIST RootPort            : 10GigaEthernet1/0/1  <-- порт, направленный "вверх" в сторону Root Bridge

 --------[PORT Info instance 0]--------
 Description              : 10ge1/0/2      <--- порт направлен "вниз" по топологии STP
 Port Role                : designated     <--- порт в роли designated, активно участвует в топологии STP
 STP State                : forward        <--- порт находится в состоянии forwarding
 Priority                 : 128
 Port Cost(Dot1t)         : config=auto / active=2000 
 Desg. Bridge/Port        : 32768.b4e0-2500-02b4  / 128.52
 ...
 Last forwarding time     : 2025/12/08  19:27:18
 Port Edged               : config=disable / active=disable
 Point-to-point           : config=auto / active=true
 ...
 RSTP TX                  : 16             <--- порт отправляет сообщения BPDU "вниз по дереву STP"
 MSTP TX                  : 0
 BPDU Filter              : disable        <--- фильтрация BPDU кадров выключена
 Protection Type          : N/A

Ключевые моменты:

  • CIST Root/ERPC : 32768.b4e0-2500-0280 / 2000 — корневым мостом является другой коммутатор.
  • BPDU Filter : disable — фильтрация BPDU на порту отключена, порт участвует в протоколе spanning tree.

Настройка BPDU Filter на порту

Настройка производится в режиме конфигурирования порта.

Switch# configure
Switch(config)# interface 10gi 1/0/2
Switch(config-10ge1/0/2)# stp bpdu-filter enable 
Switch(config-10ge1/0/2)# end

В системной журнале регистрируется сообщение уровня Notification (5)

2025/12/08 21:02:05.078 Switch %01-5-STP-TRAP(t):OID:1.3.6.1.4.1.3087.2.1908.0.4, stp 10gigaethernet1/0/2 is bpdu filtering MSTP BPDU.

Состояние порта после включения BPDU Filter

После включение фильтрации, порт прекращает отправлять кадры BPDU счетчик - RSTP TX больше не увеличевается

Switch# show stp inter 10gi 1/0/2 
 --------[CIST Info]--------
 CIST Bridge              : 32768.b4e0-2500-0356
 Bridge Times             : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20 
 CIST Root/ERPC           : 32768.b4e0-2500-0280 / 2000 
 CIST RegRoot/IRPC        : 32768.b4e0-2500-0356 / 0 
 CIST RootPort            : 10GigaEthernet1/0/1  <-- порт, направленный "вверх" в сторону Root Bridge

 --------[PORT Info instance 0]--------
 Description              : 10ge1/0/2      <--- порт направлен "вниз" по топологии STP
 Port Role                : designated     <--- порт в роли designated, активно участвует в топологии STP
 STP State                : forward        <--- порт находится в состоянии forwarding
 Priority                 : 128
 Port Cost(Dot1t)         : config=auto / active=2000 
 Desg. Bridge/Port        : 32768.b4e0-2500-02b4  / 128.1090   <--- STP-номер порта автоматически понижен
 ...
 Last forwarding time     : 2025/12/08  19:27:18
 Port Edged               : config=disable / active=disable
 Point-to-point           : config=auto / active=true
 ...
 RSTP TX                  : 18            <--- порт перестает отправлять сообщения BPDU "вниз по дереву STP"
 MSTP TX                  : 0
 BPDU Filter              : enable        <--- фильтрация BPDU кадров включена
 ...

Изменения:

  • Port Role : designated — порт продолжает быть назначенным (designated) с точки зрения локальной CIST, но при этом фактически не участвует в обмене BPDU.
  • STP State : forward — порт остаётся в состоянии пересылки трафика.
  • BPDU Filter : enable — фильтрация BPDU на интерфейсе включена, STP на данном порту логически отключён.

Таким образом, включение BPDU Filter на порту:

  • исключает порт из расчёта STP-топологии;
  • оставляет порт в состоянии пересылки;
  • при наличии параллельных L2-путей может привести к петле, так как STP не сможет заблокировать один из путей.

Пример конфигурирования

Настройка BPDU Filter на индивидуальном интерфейсе

Switch# configure
Switch(config)# interface 10gi 1/0/2
Switch(config-10ge1/0/2)# stp bpdu-filter enable
Switch(config-10ge1/0/2) #end

Полный вывод выполненных конфигураций

Ниже приведён пример конфигурации в формате, удобном для последующего копирования.

configure
!
interface 10gi 1/0/2
 description <указать назначение порта>
 stp bpdu-filter enable
!
end

Изучение состояния устройства

Рекомендуемая последовательность проверки:

Выполнить проверку настроек, проверку работы в глобальном режиме и на настраиваемом интерфейсе.

Просмотр конфигурации

Если единственнйо конфигурационной командой выполненной для STP топологии была команда включения фильтрации на интерфейсе, вывод команды должен показать следующее:

Switch#show stp config 
Version: MSTP_VB3.70.00.00
!
interface 10gigaethernet 1/0/2
 stp bpdu-filter enable
!
Switch#

Обратить внимание:

  • на наличие команды stp bpdu-filter enable на нужном интерфейсе;
  • на отсутствие противоречивых настроек STP на этом же порту.

Просмотреть индивидуальные настройки порта также возможно с помощью команды

Switch#show interface 10gigaethernet 1/0/2 config 
!
interface 10gigaethernet 1/0/2
 stp bpdu-filter enable
Switch#

Просмотр общей информации об STP

Switch#show stp information 
 CIST Bridge              : 32768.b4e0-2500-0356
 Bridge Times             : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20 
 CIST Root/ERPC           : 32768.b4e0-2500-0280/ 2000 
 CIST RegRoot/IRPC        : 32768.b4e0-2500-0356/ 0 
 CIST RootPort            : 10GigaEthernet1/0/1    <--- коммутатор "видит" Root Bridge на том же интерфейсе 
 Number of TC             : 2 
 Last TC occurred         : 10GigaEthernet1/0/1

Обратить внимание:

  • какой мост является корневым (CIST Root); Настройки не повлияли на общую топологии STP.
  • не стал ли рассматриваемый коммутатор корневым после включения BPDU Filter на одном из uplink-портов.

Просмотр параметров работы конкретного интерфейса

Состояние работы конфигурируемого порта приведено выше в разделе Состояние порта после включения BPDU Filter

Рекомендации выполнения команд/настроек

Когда использовать команды stp bpdu-filter enable допустимо

Использовать только при полной уверенности в отсутствии L2-петель за данным портом.

Рекомендуемые сценарии:

  1. Подключение L3-устройств в вашей сети, не выполняющих L2-коммутацию:

    • маршрутизаторы, L3-файрволы, L3-балансировщики нагрузки, если их интерфейсы работают только на сетевом уровне;
    • BPDU не генерируются и не ожидаются
    • локальный BPDU Filter на порту допустим, но не рекомендуется

  2. Подключение одиночных конечных устройств, за которыми гарантированно нет коммутаторов:

    • серверы, рабочие станции, IP-камеры, принтеры и т. п.;
    • предпочтительнее использовать комбинацию защиты Edge/port + BPDU Guard
    • локальный BPDU Filter на порту допустим, но не рекомендуется

  3. Изоляция STP-домена при стыковке с чужой сетью:

    • если требуется полностью исключить участие внешней сети в локальном STP и гарантированно не допускать обмена/передачи BPDU;
    • при этом за портом не должно быть резервных L2-путей в вашу сеть.
    • рекомендуется использовать другие способы обнаружения сетевых петель в общей с чужой сетью коммутируемой инфраструктуре.

  4. Тестовые стенды и специализированные подключения, где:

    • топология строго линейная,
    • петли физически исключены,
    • отключение STP необходимо по требованиям тестирования или совместимости.

Не рекомендуется использовать stp bpdu-filter enable

BPDU filter порта имеет приоритет (обрабатывается раньше) над командой BPDU-Guard. Использование команды stp bpdu-filter enable на порту совместно с stp edge-port enable строго не рекомендуется.

В следующих случаях использование BPDU Filter на порту запрещено или крайне не рекомендуется, так как высок риск L2-петель:

  1. Межкоммутаторные связи внутри одной L2-сети:

    • линк между коммутаторами;
    • любые транковые интерфейсы, участвующие в избыточной схеме (кольца, «двойные» uplink и т. п.).
    • Порты, через которые возможно появление дополнительных L2-устройств:
    • розетки в пользовательских зонах, где абонент может подключить свой коммутатор или домашний роутер в режиме моста;
    • любые незащищённые или «общие» порты (офисы арендаторов, кроссовые комнаты сторонних организаций).
    • Наличие резервных L2-путей:
    • если есть хотя бы теоретическая возможность, что данный порт образует петлю с другим портом в той же L2 сети;
    • при выходе из строя одного из линков оставшийся порт с BPDU Filter не будет заблокирован STP, что приведёт к широковещательному шторму.

  2. Сети с неопределённой или часто меняющейся топологией:

    • временные схемы, лаборатории общего пользования, тестовые зоны, где оборудование часто переподключается;
    • в таких сценариях безопаснее использовать обычный STP/RSTP/MSTP или BPDU-guard для Edge-портов.

История возникновения команды

Команды в данной главе применимы для

  • аппаратных плаформ CIT серии L3200, с уставленной версией ПО v1.0.2.
  • являются актуальными с версии ПО v.1.0.2