580.关于 RSTP 协议提供的保护功能说法正确的有?

以下是对该题目的详细解析： **正确答案：A、B、C** ### 选项逐一解析： **A. Root 保护功能只能在指定端口上配置生效 —— 正确** * **原理**：Root 保护（Root Guard）的目的是防止合法的根桥被非法的、优先级更高的交换机取代。它通常配置在连接非核心区域或接入层交换机的**指定端口（Designated Port）**上。 * **机制**当该端口收到更优的 BPDU（即声称自己是根桥的报文）时，端口状态会进入 `Discarding` 状态，从而阻断该链路成为根路径，保护当前的根桥地位。由于只有指定端口才会向外发送 BPDU 并可能接收到来自下游的“更优”BPDU，因此该功能仅在指定端口上生效。 **B. 环路保护功能只能在根端口或 Alternate 端口上配置生效 —— 正确** * **原理**：环路保护（Loop Guard）旨在防止因单向链路故障导致网络中出现环路。 * **机制**：在 RSTP/MSTP 中，**根端口（Root Port）**和**预备端口（Alternate Port）**是接收上游 BPDU 的端口。如果这些端口因为单向链路故障而停止接收 BPDU，它们可能会错误地转变为指定端口并开始转发数据，从而形成环路。启用环路保护后，如果这些端口长时间未收到 BPDU，它们将保持在 `Discarding` 状态，而不是转换为转发状态。指定端口主要发送 BPDU，不依赖接收 BPDU 来维持状态，因此环路保护不应用在指定端口上。 **C. 启用防 TC-BPDU 报文攻击功能后，可以避免频繁的删除 MAC 地址表项 —— 正确** * **原理**：TC（Topology Change）BPDU 用于通知网络拓扑发生变化。当交换机收到 TC BPDU 时，通常会删除学习到的 MAC 地址表项（除了与收到 TC 报文的端口相关的表项），以便重新学习，防止使用旧的路径信息。 * **机制**：如果网络中存在恶意攻击或配置错误，导致频繁发送 TC BPDU，交换机会频繁刷新 MAC 地址表，导致 CPU 负载升高和网络性能下降（泛洪增加）。启用防 TC-BPDU 攻击功能（通常称为 TC Protection）后，交换机可以限制单位时间内处理 TC BPDU 的次数，或者忽略来自非信任端口的 TC BPDU，从而避免 MAC 地址表被频繁清空，保障网络稳定性。 **D. 交换设备上启动了 BPDU 保护功能后，如果边缘端口收到 RST BPDU，边缘端口将被 error-down，但是边缘端口属性不变，同时通知网管系统 —— 错误** * **错误点分析**： 1. **端口属性变化**：当启用了 BPDU 保护（BPDU Protection）的边缘端口收到 BPDU 时，该端口不仅会被 Shutdown（Error-Down），而且其**边缘端口（Edge Port）属性通常会丢失**。在某些厂商实现中，端口恢复后可能需要重新配置或自动协商才能再次成为边缘端口；更重要的是，一旦收到 BPDU，该端口就不再被视为纯粹的边缘端口，因为它检测到了网络侧的存在。 2. **关键错误**：最核心的错误在于对“边缘端口属性不变”的描述。实际上，当边缘端口收到 BPDU 时，它会立即失去边缘端口的特性（即不再具备快速进入 Forwarding 状态的资格，除非重新配置）。此外，不同厂商对于 Error-Down 后的行为略有差异，但标准描述中，BPDU 保护触发后，端口会被禁用，且通常认为该端口不再是合法的边缘端口环境。 3. **对比标准行为**：虽然端口确实会被 Error-Down 并可能发送 Trap 给网管，但“边缘端口属性不变”这一说法是不准确的。在华为等常见设备体系中，BPDU 保护动作执行后，端口关闭，若要恢复，通常需要手动重启端口或等待自动恢复（若配置了自动恢复），但在关闭期间及恢复初期，其作为“受信任的边缘端口”的状态已被破坏。更严谨的说法是：收到 BPDU 后，边缘端口属性失效，端口被置为 Error-Down 状态。 ### 总结 * **Root 保护**针对指定端口，防止根桥被抢占。 * **环路保护**针对根端口和 Alternate 端口，防止单向链路导致环路。 * **TC 保护**防止因频繁 TC 报文导致 MAC 表频繁刷新。 * **BPDU 保护**针对边缘端口，收到 BPDU 后关闭端口，但选项 D 中关于属性不变的描述存在瑕疵或不符合最佳实践定义，故排除。 因此，正确选项为 **A、B、C**。