您真的，真的不想禁用将交换机连接到其他交换机的 STP。这就是 STP 的全部目的。如果您禁用 STP，并且出现问题，那真的为时已晚，因为当您注意到它时，您的整个网络可能会崩溃，并且从广播风暴中恢复根本没有乐趣。

顺便说一句，portfast实际上并没有禁用 STP，它只是跳过了整个学习过程，它应该只在真正的访问接口上启用，而不是在您连接另一个交换机的地方启用。

最佳做法是不要将接入交换机连接到另一台接入交换机，但如果这样做，您可以将接口设置为中继，并将本机 VLAN 设置为您拥有的接入 VLAN。您甚至可以将允许的 VLAN 限制为仅允许本地 VLAN。

使用全球启用portfast和bpduguard建议。除非您使用trunk关键字，否则不会在中继接口上启用此功能。这将为您提供对接入接口的保护，但不会在您将其他交换机与中继接口连接的任何地方提供保护。

因此，无论出于何种原因，人们有时都会将桌面交换机插入访问端口。

在理想的世界中，您不会有这种情况，但在实践中可能会很困难。有时房间根本没有足够的插座来容纳其中的设备数量。添加更多布线和/或机柜以便您可以用适当保护和管理的交换机替换桌面交换机可能会花费大量金钱和时间。

我会说首先要做的是研究。编写一个脚本来计算每个端口后面有多少 MAC 地址。

这将使您了解问题的规模。

多次运行脚本也可能是一个想法，这样您就可以确定未知开关是保持静止还是四处移动。

可能合理的折衷方案是默认将端口限制为少量 MAC 地址（可能是 7 个）。这应该可以快速关闭任何循环，同时不会阻塞台式机上的小型非托管交换机。

如果我打开 BPDU 过滤器，据我所知，任何连接的交换机都会将端口置于 err-disable 状态，我也不希望这样。

Afiact 只有发送 BDPU 的交换机会，而您典型的非托管桌面交换机不会。