5.3 PortFast与BPDU防护

当设备连接到交换机端口或者当交换机上电时，交换机端口都会经历侦听和学习状态，每次都要等待转发延迟计时器过期。侦听和学习这两个状态，每个状态的延迟为 15 秒，总共 30 秒。当 DHCP 客户端希望发现 DHCP 服务器时，这个延迟可能会带来问题。直连主机发送的 DHCP 消息在 30 秒的转发延迟计时器时间内无法得到转发，因此 DHCP 进程可能会超时。结果是 IPv4 客户端将不会接收到有效的 IPv4 地址。

注意: 虽然客户端发送 ICMPv6 路由器请求消息时可能会发生这种情况，但路由器会继续发送 ICMPv6 路由器通告消息，让设备知道如何获取其地址信息。

当交换机端口配置了 PortFast 时，这个端口会立刻从阻塞状态过渡到转发状态，绕过通常的 802.1D STP 过渡状态（侦听和学习状态），避免了 30 秒的延迟。您可以在接入端口上使用 PortFast，让设备（如 DHCP 客户端）立即连接到这些端口，而不需要等待 IEEE 802.1D STP 在每个 VLAN 上收敛。由于 PortFast 的目的是将接入端口等待生成树收敛的时间降至最低，因此这项技术只能用于接入端口上。如果在连接到其他交换机的端口上启用 PortFast，则会增加形成生成树环路的风险。PortFast 仅用于连接终端设备的交换机端口上。

在一个有效的 PortFast 配置中，启用了 PortFast 的端口不应该接收到 BPDU，因为这意味着另一个网桥或交换机已连接到了这个端口。这有可能导致生成树环路。为了防止这类情况发生，思科交换机支持一种称为 BPDU 防护的特性。在启用之后，BPDU 防护会在接收到 BPDU 时，把端口设置为错误禁用（error-disabled）状态。这可以有效地关闭端口，防止潜在的环路。BPDU 防护功能可以对无效的配置提供一种安全响应，因为管理员必须手动让接口恢复服务。

更新: 2025-03-11 13:35:04
原文: https://www.yuque.com/yuhui.net/network/tb33l94vzb3pkoly