Cisco STP機能の混合：BPDUガード、BPDUフィルター、PortFast、PortFastトランク

2つのスイッチ（Cisco 2960）があり、それらの間にトランク（イーサチャネルの2つのポート）があり、それぞれに別のルーターまでのトランクがあり、他のすべてのスイッチポートはエンドデバイスへのアクセスポートです。

R1       R2
|        |
|        |
|        |
SW1 === SW2

さまざまなSTPオプション、すべてのポートでの高速ポート、BPDUフィルター、BPDUガードを実装したい。さまざまなシスコのドキュメントやその他の評判の良いWebサイトのフィードを読んだことがありますが、ほんの一部です。

• BPDUフィルターとBPDUガード（IPエキスパート）
• シスコのBPDUガードドキュメント
• その他のCisco BPDUガードドキュメント

すべてのアクセスポートを次のように構成したいのですが、これらの機能をすでに理解して使用しているため、ここで問題はありません。

int gi0/10
 description End Device Port
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpdufilter enable
 spanning-tree bpduguard enable

次のようにスイッチとルーターの間のトランクポートを構成したいのですが、すでにこの構成を使用しており、ここで問題は発生していません。

int gi0/1
 description Trunk to R1
 switchport mode trunk
 spanning-tree portfast trunk

良いドキュメントが見つからないのは、BPDUフィルターとBPDUガードをグローバルなデフォルトとして、に設定されたポートと混在させることですportfast trunk。BPDUガードとBPDUフィルターを備えたすべてのアクセスポートで私の自己構成ポートファストを保存するには、次の3つのグローバル構成コマンドを入力するだけです。

spanning-tree portfast default
spanning-tree portfast bpdufilter default
spanning-tree portfast bpduguard default

BPDUフィルターとBPDUガードはすべてのPortFastポートでアクティブになりますがportfast trunk、スイッチ間などに構成されたPortFast ポートについては、BPDUがスイッチ間で送信されます。BPDUガード/フィルターをグローバルに有効にするかどうかにかかわらず、portfast trunkポートでこれを設定するかどうかを示すドキュメントが見つからないため、スイッチ間で実行されているSTPが停止し、トランクポートがになる可能性がありますerrdisable。

この状況が設定されている場合はどうなりますか。明確にするための公式のオンラインCiscoドキュメントはありますか？

まず、他の人が述べたように、Portchannelを実行しているため、ここではブリッジングループはありません。とはいえ、STPを実行しても問題はありません。これらのコマンドがCiscoスイッチでどのように機能するかについて、いくつかの混乱を明らかにしましょう。

spanning-tree portfast trunk

このコマンドは、複数のVLANを持つサーバーやルーターなどの非ブリッジングデバイスに向かうトランクポートで実行されることになっています。このコマンドは、ポートがブリッジングループを作成する可能性のあるリスニングおよびラーニングフェーズをバイパスするため、スイッチに向かうトランクでは実行しないでください。

このように構成されたインターフェースがある場合：

interface x/x
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable

BPDUフィルターは発信BPDUと着信BPDUの両方をフィルタリングしているため、BPDUガードは実行されません。これは、BPDUがインバウンドで受信された場合に通常発生するPortfastステータスをポートが失うことは決してないことも意味します。フィルターを削除すると、BPDUを受信すると、BPDUガードが起動してポートをシャットダウンします。これは、ポートがPortfast動作状態を失う前に行われるため、基本的にポートは常にPorfast動作モードで動作します。

代わりにコマンドをグローバルに適用する場合：

spanning-tree portfast default
spanning-tree portfast bpdufilter default
spanning-tree portfast bpduguard default

最初のコマンドは、すべてのアクセスポートでPortfastを有効にします。

BPDUフィルターがグローバルに適用される場合の違いは、沈黙する前に11個のBPDUを送信することです。通常、2秒ごとに1つのBPDUが送信され、デフォルトのMaxAgeは20秒です。つまり、BPDUを処理できるデバイスが反対側にある場合、古いBPDUがあるときに少なくとも1つのBPDUが受信されます（1つある場合） ） 期限切れです。

BPDUフィルターがグローバルに適用されているときにBPDUが受信された場合、ポートはフィルタリングを停止し、Portfastステータスを失います。

BPDUガードデフォルトコマンドは、Portfastの動作状態にあるポートにのみ適用されます。

これら3つのコマンドを組み合わせると、BPDUを受信したときにポートのBPDUフィルターが失われ、BPDUガードが作動する可能性があります。ポートがシャットダウンされているため、ポートがPortfastの動作状態を失うことはありません。

つまり、インターフェイスに適用すると、BPDUガードが起動することはありませんが、グローバルに適用すると起動する可能性があります。

グローバルにPortfastとBPDUフィルターのみを実行する場合、BPDUが着信すると、ポートはフィルターを失い、Portfastの動作状態を失い、通常のポートとして動作します。