MSTP配置(迈普路由器)

MSTP 配置手册
本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处
* * *
迈普（四川）通信技术有限公司
地址：成都市高新区九兴大道16号迈普大厦
技术支持热线：400 886 8669
传真：（+8628）85148948
E-mail：support@
网址：
邮编：610041
* * *
版本：2008年6月第1版
编号：MP/DC-RD-CPSJ-114
前言
读者对象
z网络工程师
z技术推广人员
z网络管理人员
适用范围
本手册适用于迈普路由器6.1.X的版本及对应的设备。

本书约定
命令行关键字用加粗表示；
命令行参数用斜体表示。

大括号“{ }”表示括号中的选项是必选的；
中括号“[ ]”表示括号中的选项是可选的；
尖括号“<>”表示括号中的信息不被显示出来；
方括号“【】”表示括号中的内容需要用户注意；
竖线“|”用于分隔若干选项，表示二选一或多选一；
正斜线“/”用于分隔若干选项，表示被分隔的各选项是可以被同时选中的；
“ 注意”表示需要读者注意的事项，是配置系统的关键之处，希望用户能认真阅读。

“ 注”表示对前面内容的注解；
“ 图解”表示对图例的文字解释。

声明
由于产品版本升级或其它原因，本手册内容会不定期进行更新。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

目录
第1章MSTP配置 (1)
第2章MSTP协议简介 (2)
第3章MSTP基本配置指令 (4)
第4章MSTP协议互操作性 (15)
第5章MSTP保护功能特性 (17)
第6章应用实例 (20)
第7章显示与维护 (23)
7.1 显示命令实例 (24)
7.2 调试命令 (25)
7.3 调试命令实例 (25)
第1章 MSTP配置
本章主要介绍交换机的MSTP配置。

本章主要内容：
z MSTP协议简介
z MSTP基本配置指令
z MSTP协议互操作性
z MSTP保护功能特性
z MSTP典型应用实例
z MSTP显示与维护
第2章 MSTP协议简介
Spanning Tree Protocol（STP，生成树协议）是IEEE组织制订的用于在网络中消除数据链路层物理环路的协议；狭义的STP是指IEEE802.1D标准中定义的STP协议，广义的STP是指包括IEEE802.1D定义的STP协议以及各种在其基础上经过改进的生成树协议。

Spanning Tree Protocol的目的是通过协商一条到根交换机的无环路径来避免和消除网络中的环路。

它通过一定的算法，判断网络中存在环路的地方并阻断冗余链路，将环路网络修剪成无环路的树型网络，从而避免了数据帧在环路网络中的增生和无穷循环。

目前，生成树协议规范主要的有IEEE802.1D定义的Spanning Tree Protocol（STP），IEEE802.1w定义的Rapid Spanning Tree Protocol（RSTP）和IEEE802.1s定义的Multiple Spanning Tree Protocol（MSTP）。

IEEE802.1D定义的STP不能快速迁移，即使是在点对点链路或边缘端口，也必须等待30秒的时间延迟，端口才能迁移到转发状态。

IEEE 802.1W定义的RSTP是STP协议的优化版。

其“快速”体现在，当一个端口被选为根端口和指定端口后，其进入转发状态的延时在某种条件下大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。

虽然RSTP可以快速收敛，但是和STP一样存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按VLAN阻塞冗余链路，所有VLAN的报文都沿着一棵生成树进行转发。

IEEE802.1s定义的MSTP（Multiple Spanning Tree Protocol，多生成树协议）可以弥补STP和RSTP 的缺陷，它既可以快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而提供了更好的流量负载均衡机制。

MSTP具有如下的特点：
（1） MSTP将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的不断增生和无限循环。

（2） MSTP把整个交换网络划分成多个域，通过一棵公共生成树（CST）连接所有的域。

（3） MSTP设置VLAN映射表（即VLAN和生成树实例之间的对应关系），把VLAN和生成树联系起来，在每个域内形成多棵生成树，生成树之间彼此独立，在数据转发过程中实现VLAN数据的负载均衡。

（4） MSTP也具有快速收敛和快速故障恢复的特点。

（5） MSTP向下兼容STP和RSTP。

第3章 MSTP 基本配置指令
命令
描述
配置模式 region-name name 配置MST 域的域名称 config-mst revision-level level
配置MST 域的MSTP 修订级别config-mst instance instance-id vlan vlan-range 配置MST 域的实例与VLAN 间映射关系
config-mst active configuration pending 激活MST 域的配置，使MST 域的配置运行生效 config-mst
abort configuration pending 放弃MST 域的配置 config-mst spanning-tree mst configuration 进入MST 域配置模式 config
config-switch-areax spanning-tree mode {stp | rstp | mstp} 设置STP 协议的运行模式 config
config-switch-areax spanning-tree mst hello-time seconds 设置STP 协议的hello 时间参数config
config-switch-areax spanning-tree mst forward-time seconds 设置STP 协议的forward delay 时间参数
config
config-switch-areax spanning-tree mst max-age seconds 设置STP 协议的max age 参数config
config-switch-areax spanning-tree mst max-hops hops 设置STP 协议的max hops 参数config
config-switch-areax spanning-tree transmit hold-count number
设置STP 协议在端口上报文最大发送速率
config
config-switch-areax spanning-tree pathcost method
{dot1D-1998 | dot1T-2001} 设置设备在计算端口缺省Path Cost 时所采用的标准 config config-switch-areax spanning-tree mst instance instance-id priority priority-number 设置设备各生成树实例的网桥
优先级
config
config-switch-areax spanning-tree {enable | disable} 在全局开启/关闭STP 功能特性config
config-switch-areax spanning-tree portfast edgeport
设置端口为边界端口
config-port-xxx
spanning-tree link-type {point-to-point | 设置端口的链路类型参数
config-port-xxx
shared }
spanning-tree mst instance instance-id priority priority-number 设置端口在各生成树实例中的
端口优先级
config-port-xxx
spanning-tree mst instance instance-id cost value 设置端口在各生成树实例中的
端口路径耗费参数
config-port-xxx
spanning-tree { enable | disable } 在端口上开启STP功能特性config-port-xxx
配置MST域的域名称
设置MST域的域名称，使用no格式还原域名称的默认名称。

region-name name
no region-name
语法描述
Name 域名名称，是最大长度为32字节的可打印字符串【缺省情况】缺省时，使用网桥ID作为MST域的域名称。

注意：配置网桥的MST域的域名相同，并不表示网桥处于同一个MST域中；只有当MST域的域名称、修订级别、实例与VLAN映射关系这三者都相同时，这两台或多台网桥才能属于同一个MST域。

配置MST域的修订级别
设置MST域的MSTP配置修订级别，使用命令no格式还原默认级别。

revision-level level
no revision-level
语法描述
Level 域修订级别值，为0~65535范围内的整形值
【缺省情况】缺省时，MST域的MSTP修订级别为0。

配置实例、VLAN映射表
设置MST域中各实例与VLAN之间的对应映射关系，使用命令no格式删除实例或删除与某些VLAN 间的映射关系。

instance instance-id vlan vlan-range
no instance instance-id vlan vlan-range
no instance instance-id
语法描述
instance-id MST域实例ID，可配置范围1~63。

（注）
vlan-range 与实例映射的VLAN列表，为形如“2-9,200,411-500”
格式的字符串。

【缺省情况】缺省时，MST域只有实例0存在，所有的VLAN均映射在实例0上。

注：在实际中，不同款设备上所支持、可配置实例总数是不同的，请以实际设备为准。

MST域的实例ID中，0表示CIST实例，其他非0值表示MSTI实例。

注意：MST域的实例0不可删除，同一个VLAN不可映射到多个实例中；当no掉某个VLAN与MSTI 实例间的映射关系时，该VLAN将自动映射到实例0。

域配置命令的手动激活与放弃
配置MST域配置模式下的相关命令（MST域名配置、MST域修订级别配置、MST域实例与VLAN 映射表等），特别是实例与VLAN映射关系时，会引起生成树的重新计算，从而引起网络震荡；为减少配置引起的网络震荡，这些命令在配置后是并不会立即生效、触发生成树计算的，需要通过执行active 命令来显示的激活或通过执行abort命令放弃相应的配置。

active configuration pending
abort configuration pending
注意：在MSTP协议全局未使能的情况下，也需要通过执行active configuration pending命令来表示接受相应配置，在协议使能后应用相应配置。

配置MSTP的工作模式
MSTP协议报文格式与STP、RSTP等有不同，MSTP为了实现和STP设备的混合组网，同时完全兼容RSTP，设定了三种工作模式：STP兼容模式，RSTP模式和MSTP模式。

通过以下命令配置工作模
式，使用相应的no格式还原默认工作模式。

spanning-tree mode {stp | rstp | mstp}
no spanning-tree mode
语法描述
stp 配置MSTP运行在STP兼容模式下
rstp 配置MSTP运行在RSTP模式下
mstp 配置MSTP运行在MSTP模式下，这也是缺省模式【缺省情况】缺省时，协议工作MSTP模式下。

注：在STP兼容模式下，设备的各个端口将向外发送STP BPDU报文；在RSTP模式下，设备的各个端口将向外发送RSTP BPDU报文，当发现与运行STP的设备相连时，该端口会自动迁移到STP兼容模式下工作；在MSTP模式下，设备的各个端口将向外发送MSTP BPDU报文，当发现与运行STP的设备相连时，该端口会自动迁移到STP兼容模式下工作。

注意：在MSTP协议使能时，对工作模式的修改将引起协议的重新启动，可能造成网络的短暂中断。

配置MST域的最大跳数
MST域的最大跳数限制了MST域的规模，配置在域根上的最大跳数将作为MST域的最大跳数。

可以通过以下命令设置MST域的最大跳数，使用相应命令的no格式还原默认跳数设置。

spanning-tree mst max-hops hops
no spanning-tree mst max-hops
语法描述
hops设置MST域的最大跳数，可配置范围1~127，默认
为20
【缺省情况】缺省时，MST域的最大跳数为20。

注：从MST域内的生成树的根桥开始，域内的配置消息每经过一台设备的转发，跳数就被减1；设备将丢弃收到的跳数为0的配置消息，使处于最大跳数外的设备无法参与生成树的计算，从而限制了MST域的规模。

注意：MST域的最大跳数越大，说明MST域的规模越大。

只有配置在作为域根设备上的MST域
最大跳数的配置才能限制MST域的规模。

配置MSTP的时间参数
MSTP协议计算中涉及三个时间参数：Forward Delay、Hello Time和Max Age。

可以通过以下命令设置该时间参数，使用相应命令的no格式还原默认值。

spanning-tree mst { hello-time seconds | forward-time seconds | max-age seconds }
no spanning-tree mst { hello-time | forward-time | max-age }
语法描述
hello-time seconds设置MSTP协议的HELLO-TIME时间参数，配置范
围1~10s，默认2s
forward-time seconds 设置MSTP协议的FORWARD-TIME时间参数，配置
范围4~30s，默认15s
max-age seconds 设置MSTP协议的MAX-AGE时间参数，配置范围
6~40s，默认20s
【缺省情况】缺省时，MSTP的hello-time参数为2s，forward-time为15s，max-age为20s。

注意：
1、对网桥HELLO-TIME、FORWARD-TIME和MAX-AGE时间参数的配置应满足以下条件，否则会引起网络频繁震荡：（1）2×（FORWARD TIME – 1s）>＝ MAX AGE；（2）MAX AGE >＝2×（HELLO TIME＋1s）。

2、Hello报文时间（Hello Time）指的是根网桥向其它网桥定时发BPDU的时间间隔，这种定时发送BPDU的做法是为了通知其它网桥自己现在是根网桥以使其它网桥对自身的根网桥地位给予认可；当然一旦交换网络中出现优先级更低的网桥，则它的根网桥地位会被取代，而又由新的根网桥以Hello报文的时间间隔定时向其它非根网桥交换机发送BPDU；一般情况下，为了保证非根网桥不轻易丢弃收到的BPDU中的信息，网桥的最大老化时间（Max Age Time）的值会是Hello报文时间值的好几倍。

3、合适的HELLO TIME时间配置可以保证设备能够及时的发现网络中的链路故障，又不会占用过多的网络资源。

如果配置的HELLO TIME时间过长，在链路发生丢包时，设备会误以为链路出现了故障，从而引发网络设备重新计算生成树；如果配置的HELLO TIME时间过短，设备将频繁发送重复的配置消息，增加了设备的处理负担，浪费了网络资源。

4、设备的FORWARD TIME时间参数的长短与交换网络的网络直径有关。

一般来说，网络直径越大，
FORWARD TIME时间就应配置的越长。

需要注意的是，如果FORWARD TIME时间配置的过短，可能引入临时的冗余路径；如果FORWARD TIME时间配置的过长，网络可能会较长时间不能恢复连通。

5、所谓“Max-age时间”，指的是网桥收到从其它网桥传过来的BPDU（桥协议数据单元）后，要通过该BPDU计算根网桥，指定网桥，根端口等；因为网桥会不断的收到BPDU，而“Max-age时间”指的就是网桥对BPDU信息保存的时间；一旦超时，对BPDU保存的信息就失效，不能再用于相关计算中。

6、如果用户配置的MAX AGE时间过短，网络设备会频繁的计算生成树，而且有可能将网络拥塞误认为链路故障；如果用户配置的MAX AGE时间过长，网络设备很可能不能及时发现链路故障，不能及时重新计算生成树，从而降低网络的自适应能力。

配置报文在端口的最大发送速率
报文在端口上的最大发送速率是指在HELLO TIME时间内端口上最多能够发送的BPDU报文个数。

可以通过如下命令设置最大发送速率，使用相应命令的no格式还原为默认值。

spanning-tree transmit hold-count count
no spanning-tree transmit hold-count
语法描述
count 在HELLO TIME时间内端口可发送的最大BPDU报
文个数，配置范围为1~10，默认为6 【缺省情况】缺省时，端口在HELLO TIME时间内可发送的最大BPDU报文个数为6。

注：如果端口报文最大发送速率配置的过大，则在HELLO TIME时间内发送的MSTP报文数可能会很多，从而占用过多的网络资源；端口上报文最大发送速率与端口的物理状态和网络结构相关，用户可根据实际网络情况进行设置。

配置网桥实例优先级
在生成树根桥的选择过程中，网桥优先级起了很重要的作用；通过配置较高的优先级，可以达到指定某台网桥设备成为根桥的目的。

对不同的生成树实例可以配置拥有不同的优先级，其中，优先级的数值越小，表示其优先级越高。

可以通过如下命令设置网桥实例的优先级，通过相应命令的no格式还原默认设置。

spanning-tree mst instance instance-id priority priority-number
no spanning-tree mst instance instance-id priority
语法描述
instance-id MST生成树实例ID，可配置范围0~63（注）
priority-number 实例优先级数值，可配置范围0~61440，其中配置值
都应是4096的倍数，缺省值为32768 【缺省情况】缺省时，生成树每实例网桥优先级都为32768；实例ID为0表示CIST实例。

注：
1、实例ID提供的可配置范围0~63，在实际，不同款设备可配置实例总数是不同的，请以实际设备为准。

2、实例优先级数值都应是4096的倍数，其可配置值如下：
0 4096 8192 12288 16384 20480 24576 28672
32768 36864 40960 45056 49152 53248 57344 61440。

配置全局开启/关闭MSTP
生成树协议功能特性缺省时在全局是关闭的，可以通过spanning-tree enable命令来开启全局MSTP 功能特性，可以通过spanning-tree disable或spanning-tree enable命令的no格式来关闭全局MSTP功能特性。

命令如下：
spanning-tree {enable | disable}
no spanning-tree enable
语法描述
enable 开启MSTP功能特性
disable 关闭MSTP功能特性
【缺省情况】缺省时，MSTP功能在全局是关闭的。

注：缺省时，MSTP功能是全局关闭的，只有开启了设备的MSTP特性，MSTP的其他配置才能生效。

配置网桥计算端口缺省路径耗费时所使用的标准
端口缺省时将根据端口速率自动计算路径耗费，可以配置指定计算路径耗费时所采用的标准。

目前
提供两种标准：
dot1D-1998：网桥按照IEEE802.1D-1998标准来计算端口的缺省路径耗费；
dot1T-2001：网桥按照IEEE802.1T-2001标准来计算端口的缺省路径耗费。

可以通过以下命令配置网桥计算端口缺省路径耗费所采用的标准，使用相应命令的no格式还原默认设置。

spanning-tree pathcost method {dot1D-1998 | dot1T-2001}
no spanning-tree pathcost method
语法描述
dot1D-1998 配置采用IEEE802.1D-1998标准
dot1T-2001 配置采用IEEE802.1T-2001标准
【缺省情况】缺省时，网桥将使用IEEE802.1T标准计算端口路径耗费。

注意：当端口显示的配置了Path Cost路径耗费时，端口将使用所配置的路径耗费值。

配置端口在各实例中的路径耗费
路径耗费，即Path Cost，其是与端口链路速率相关的参数，在支持MSTP的设备上，端口在不同的生成树实例中可以拥有不同的路径开销。

可以通过以下命令设置端口各实例路径耗费，使用相应命令的no格式还原默认设置。

spanning-tree mst instance instance-id cost cost-value
no spanning-tree mst instance instance-id cost
语法描述
instance-id MST生成树实例ID，可配置范围0~63（注）
cost-value 端口实例路径耗费值，可配置范围为1~ 200000000【缺省情况】缺省时，端口实例路径耗费值未设置，路径耗费将根据端口速率等自动设置。

注：实例ID提供的可配置范围0~63，在实际，不同款设备可配置实例总数是不同的，请以实际设备为准。

注意：端口Path Cost路径耗费改变时，MSTP会重新选择计算端口的角色并进行状态迁移。

配置端口在各实例中的端口优先级
在MSTP中，端口可以配置在不同的实例中拥有不同的优先级，同一个端口可以在不同的生成树实例中担任不同的角色。

端口优先级是确定该端口是否会被选为根端口的重要因素，同等条件下，优先级高的端口将被选为根端口。

可以通过以下命令设置端口在各实例中的优先级，使用相应命令的no格式还原默认设置。

spanning-tree mst instance instance-id priority priority-number
no spanning-tree mst instance instance-id priority
语法描述
instance-id MST生成树实例ID，可配置范围0~63（注）
priority-number 端口优先级数值，可配置范围0~240，其中配置值都
应是16的倍数，缺省值为128
【缺省情况】缺省时，端口优先级都为128；实例ID为0表示CIST实例。

注：
1、实例ID提供的可配置范围0~63，在实际，不同款设备可配置实例总数是不同的，请以实际设备为准。

2、端口优先级数值越小，表示其优先级越高；优先级数值都应是16的倍数，其可配置值如下：
0 16 32 48 64 80 96 112
128 144 160 176 192 208 224 240。

配置端口为边缘端口
当端口没有连接到其他网桥设备或共享链路上，而直接与用户终端相连时，则该端口被认为是边缘端口。

在网络拓扑变化时，边缘端口不会产生临时环路；当边缘端口由堵塞状态向转发状态迁移时，可以实现快速迁移，而无需等待延迟时间。

可以通过以下命令设置端口为边缘端口，使用相应命令的no 格式还原默认设置。

spanning-tree portfast edgeport
no spanning-tree portfast edgeport
注：
1、缺省时，端口的边缘端口属性未设置，生成树将自动检测、设置端口的边缘端口属性。

2、设置了边缘端口属性的端口，在相应端口未开启BPDU保活或BPDU过滤功能的情况下，如果该端
口收到了来自其他端口的BPDU报文，则该端口会重新变为非边缘端口；此时，只有重启该端口，才能将该端口恢复为边缘端口。

配置端口点到点链路类型
端口链路类型有两种，点到点链路类型或共享链路类型。

点到点链路是两台设备之间直接相连接的链路；以点到点链路相连的两个端口如果为根端口或指定端口，可以通过传送proposal和agreement同步报文实现到转发状态的快速迁移，可以减少不必要的转发延迟时间。

可以通过以下命令设置端口的点到点链路类型，使用相应命令的no格式还原默认的设置。

spanning-tree link-type {point-to-point | shared}
no spanning-tree link-type
语法描述
point-to-point 配置端口为点到点链路类型
shared 配置端口为共享链路类型
【缺省情况】缺省时，端口链路类型未设置，将依据双工模式等自动检测端口链路类型。

注意：对端口链路类型，应根据实际物理链路来配置；如果端口实际物理链路不是点到点链路，错误配置端口为点到点链路，则可能会引入临时环路。

在缺省时，端口的链路类型将依据端口双工模式来设置，当端口工作在全双工模式时，设置端口为点到点链路类型；当端口工作在半双工模式时，设置端口为共享链路类型。

配置端口开启/关闭MSTP
生成树协议功能在端口上缺省是开启的，可以通过spanning-tree {enable|disable}命令或其相应eanble 命令的no格式，来灵活的控制开启或关闭端口MSTP。

命令如下：
spanning-tree enable
spanning-tree disable
no spanning-tree enable
语法描述
enable 开启MSTP功能特性
【缺省情况】缺省时，MSTP功能在端口上是开启的。

注：端口MSTP功能只有在端口上使能，并且全局使能的情况下才能真正生效。

第4章 MSTP协议互操作性
命令描述配置模式
spanning-tree mst cisco pre-standard interoperability 设置端口与CISCO设备互操作
功能特性
config-port-xxx
配置端口与CISCO设备的互操作特性
对CISCO厂商设备，可以配置发送非IEEE802.1s协议标准的报文格式，除报文格式不同外，其计算实例与VLAN映射关系配置摘要所使用的密钥也是私有的；这样，当与CISCO设备进行互联时，本来配置相同的MST域、相同的修订级别、相同的VLAN与实例映射关系，但因为格式、摘要的不同，而会认为是处于不同的域中。

可以通过配置端口与CISCO设备的互操作特性，来实现与发送非IEEE802.1s协议标准报文的CISCO 设备，在MST域内的完全互通。

spanning-tree mst cisco pre-standard interoperability
no spanning-tree mst cisco pre-standard interoperability
注：端口缺省时，与CISCO设备互操作特性是关闭的。

注意：
1、当且仅当与之互联的CISCO设备发送非IEEE802.1s协议标准格式的BPDU报文时，并且将CISCO 设备配置在同一个MST域时，才有必要在相联端口上开启互操作特性。

2、当端口接收到CISCO设备发送来的非IEEE802.1s协议标准格式的BPDU报文时，如果其携带的MST域名称、修订级别与当前设备上配置相同，则将记录相应报文中所携带的MST配置摘要信息，并认为对端设备与自身处于同一个MST域中，并且端口在发送报文时，也将使用与CISCO设备相同的非标准格式的BPDU报文；因此需要保证互联设备的域配置中的VLAN实例映射关系配置相同。

3、该功能特性应只在与CISCO设备互联的点到点链路中使用，在共享链路中，可能引起设备的实例状态的震荡。

4、当端口接收并接受了CISCO设备所发送的非IEEE标准格式报文后，端口将工作在Pre-Standard
模式下，需要退出该模式时，需要手动执行MCHECK操作。

第5章 MSTP保护功能特性
命令描述配置模式spanning-tree guard {none | root | loop} 设置端口的保护功能特性config-port-xxx
config-port-xxx spanning-tree bpdu {filter | guard} 设置端口的BPDU保护/过滤功
能特性
配置端口BPDU保护功能
对于接入层设备，接入端口一般直接与用户终端（如PC 机）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接收到BPDU报文时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑结构的变化。

这些端口正常情况下应该不会收到BPDU 报文，如果有人伪造BPDU恶意攻击设备，就会引起网络震荡。

MSTP提供BPDU Guard功能来防止这种攻击：设备上启动了BPDU 保护功能后，如果某个配置边缘端口属性的端口收到了BPDU报文，MSTP将该端口SHUTDOWN，同时用LOG信息提示用户。

可以通过以下命令配置开启端口的BPDU保护功能，使用相应命令no格式关闭功能。

spanning-tree bpdu guard
no spanning-tree bpdu guard
注：端口缺省时，是未开启BPDU保护功能的。

对于确定的边缘端口，为避免伪造BPDU报文的恶意攻击，建议在相应端口上开启该保护功能。

注意：对端口的BPDU保护功能，只有在配置边缘端口属性的端口上生效。

对于在配置了边缘端口属性，但因为接收到来自其他端口BPDU报文而重新变为非边缘端口的端口上，配置开启该BPDU保护功能，只有重启该端口将端口恢复为边缘端口时才能生效。

配置端口BPDU过滤功能
对边缘端口，配置端口BPDU过滤功能后，该端口将不发送、也不接收BPDU报文。

可以通过以下命令开启端口BPDU过滤功能，使用相应命令no格式关闭功能。

spanning-tree bpdu filter
no spanning-tree bpdu filter
注：端口缺省时，是未开启BPDU过滤功能的。

注意：对端口的BPDU过滤功能，只有在配置边缘端口属性的端口上生效。

对于在配置了边缘端口属性，但因为接收到来自其他端口BPDU报文而重新变为非边缘端口的端口上，配置开启该BPDU过滤功能，只有重启该端口将端口恢复为边缘端口时才能生效。

配置端口根保护功能
生成树的根桥及备份根桥应该处于同一个域内，特别是对于CIST 的根桥和备份根桥，网络设计时一般会把CIST 的根桥和备份根桥放在一个高带宽的核心域内。

但是，由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的BPDU，这样当前合法根桥会失去根桥的地位，引起网络拓扑结构的错误变动。

这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。

为了防止这种情况发生，MSTP提供Root Guard功能对根桥进行保护：对于启用了Root Guard功能的端口，其在所有实例上的端口角色只能保持为指定端口，一旦该端口收到某实例优先级更高的BPDU，MSTP将设置该端口实例为BLOCKING，同时用LOG信息提示用户。

可以通过spanning-tree guard root命令配置开启端口的Root Guard保护功能，使用相应命令no格式或spanning-tree guard none关闭功能。

spanning-tree guard root
spanning-tree guard none
no spanning-tree guard
注：端口缺省时，是未开启Root Guard保护功能的。

注意：对端口的Root Guard保护功能和Loop Guard保护功能，同时只能有一项保护功能存在。

配置端口环路保护功能
依靠不断接收上游设备发送的BPDU报文，设备可以维持根端口和其他阻塞端口的状态。

但是由于链路拥塞或者单向链路故障，这些端口会收不到上游设备的BPDU报文，端口上的生成树信息超时，此时下游设备会重新选择端口角色，收不到BPDU报文的下游设备端口会转变为指定端口，而阻塞端口会。