根卫士防止流氓根桥 | AI生成和翻译
问题:哪种 STP 功能可防止恶意设备成为网络中的根桥? A) BPDU Guard B) Root Guard C) Loop Guard D) UDLD
答案:
正确答案是 B) Root Guard。
各选项的详细解释
-
A) BPDU Guard BPDU Guard 通常在接入端口(例如,连接到终端设备的 PortFast 端口)上启用。 如果端口收到任何 BPDU(合法 PC/电话绝不应发送),BPDU Guard 会立即将端口置于 err-disabled 状态。 目的:防止连接到接入端口的恶意或配置错误的交换机参与 STP 并可能导致拓扑问题。 它不能直接阻止恶意交换机成为根桥——它只是在恶意设备发送 BPDU 时关闭端口。如果恶意设备连接到其他端口或网段,它仍然可能影响拓扑。
-
B) Root Guard Root Guard 在指定的端口上启用,网络管理员预期当前的根桥将保持优越(通常是通向下层交换机的下行端口)。 如果在启用了 Root Guard 的端口上收到优越的 BPDU(即通告了更好/更低的根桥 ID 或更低的到当前根桥的路径开销),该端口将进入 root-inconsistent 状态(实际上是阻塞的),直到优越的 BPDU 停止到达。 目的:明确防止连接到该端口的任何设备成为根桥,或将其自身通告为具有通往根桥的更好路径。 这是专门设计用于阻止恶意交换机接管 STP 根桥的功能。
-
C) Loop Guard Loop Guard 可防止阻塞端口停止接收 BPDU(例如,由于单向链路故障)而错误地转换为转发状态,从而创建环路的情况。 启用后,如果非指定端口停止接收 BPDU,Loop Guard 会将端口置于 loop-inconsistent 状态,而不是让其转换为转发状态。 目的:防止由单向故障引起的二层环路,而不是恶意根桥的接管。
-
D) UDLD (UniDirectional Link Detection) UDLD 检测并禁用单向链路(光纤或铜缆),其中一侧可以传输但不能接收,这可能导致生成树环路或黑洞。 它在正常和激进模式下工作;在激进模式下,如果邻居未正确响应,它将使端口进入 err-disable 状态。 目的:防止由物理层单向故障引起的环路和流量黑洞,而不是恶意根桥选举。
总结表格
| 功能 | 是否防止恶意设备成为根桥? | 主要目的 |
|---|---|---|
| BPDU Guard | 否(收到任何 BPDU 则关闭端口) | 保护接入端口免受恶意交换机影响 |
| Root Guard | 是 | 防止下游交换机成为根桥 |
| Loop Guard | 否 | 防止单向链路故障引起的环路 |
| UDLD | 否 | 检测并禁用物理层单向链路引起的单向物理单向链路 |
因此,专门阻止恶意设备成为 STP 根桥的功能是 Root Guard (B)。