全局 BPDU 过滤器的目的是什么？

Portfast 是一项仅应在不接收 BPDU（或需要发送它们）的端口上实现的功能。换句话说，它应该只在边缘端口上实现。因此，如果您在这样的端口上收到 BPDU，您想如何处理它？

1. 什么都不做- 只需忽略 BPDU 并继续按配置运行。
2. 谨慎起见- 禁用端口。
3. 介于两者之间- 退出 portfast 模式并允许 STP 在链路上正常运行。

两个功能使您能够以上述三种方式中的任何一种进行响应，即 BPDU 过滤器和 BPDU 保护。

如果您什么都不想做，只需在接口级别应用 BPDU 过滤器即可。我唯一一次看到这种方法被明智地使用是当您将工作交给客户时（并已采取其他预防措施以避免出现问题）。

由于通常不允许最终用户将他们自己的交换机连接到网络，因此当今大多数地方似乎都采用选项二，即利用 BPDU 防护和错误禁用恢复。如果发送 BPDU 的设备（或将 BPDU 循环回接口的设备）连接到网络，这将自动关闭端口。接口将在设定的时间后自动重新启用，如果条件被移除，将保持重新启用状态。

BPDU 过滤器的全局配置处于中间位置，允许您将命令自动应用于已启用 portfast 的任何端口。如果检测到 BPDU，它将放弃 portfast 模式。这将允许您插入另一个交换机设备而不会失去访问权限或冒 L2 环路的风险。我今天想不出很多理由来使用它，尽管在过去，当 BPDU 防护没有错误禁用恢复选项时（即重新启用端口是一个手动过程），它可能是比 BPDU 防护更好的选择，保护网络的同时不增加 IT 人员的负担。

此外，BPDU 过滤器/防护的接口版本都取代了全局配置。换句话说，您可以使用 interface 命令在启用 portfast 的接口上禁用全局启用的功能。此外，虽然全局版本仅适用于启用了 portfast 的接口，但您可以在未启用 portfast 的接口上启用任何一个。

为什么它与在端口上配置的 BPDU 过滤器的工作方式不同？

因为它不是那样设计的。它旨在提供额外的配置选项，以根据您的网络需求定制操作。

例如，您可能会遇到这样一种情况：您想要启用 portfast 的端口但不想发送或接收 BPDU。如果 global 和 interface 命令的工作方式相同，并且它们的行为与全局配置相同，那么尝试以这种方式配置它时会出现问题。相反，如果您想要上面的“中间道路”，但两者都像接口命令一样，那么您就会遇到问题。

这两个命令的不同行为是因为它们服务于不同的目的。两者具有相同的名称虽然令人困惑。他们可以将全局命令命名为“边缘保护”。Portfast 端口是生成树边缘端口，因此仅用于连接到不运行生成树的系统。

• 全局 BPDU 过滤器命令用于检测端口何时被错误配置为边缘端口并使其参与生成树。
• 端口上的 BPDU 过滤器旨在连接两个不应相互通信的不同生成树域。您必须绝对确定不会有第 2 层循环。这就是为什么你不能全局设置它。

不同的目的也是两者在发送BPDU时工作不同的原因：在端口上配置将不发送BPDU，在全局配置时，它将发送十个hello timer（=11个BPDU，一个在开始，每个hello timer加一个）。