配置MSTP保护功能

BPDU保护

边缘端口在收到BPDU以后端口状态将变为非边缘端口，此时就会造成生成树的重新计算，如果攻击者伪造配置消息恶意攻击设备，就会引起网络震荡。

设备上启动了BPDU保护功能后，如果边缘端口收到RST BPDU，边缘端口将被shutdown，但是边缘端口属性不变，同时通知网管系统。

TC保护

设备在接收到拓扑变化报文后，会执行MAC地址表项和ARP表项的删除操作，如果频繁操作则会对CPU的冲击很大。

启用防TC-BPDU报文攻击功能后，在单位时间内，设备处理拓扑变化报文的次数可配置。如果在单位时间内，设备在收到拓扑变化报文数量大于配置的阈值，那么设备只会处理阈值指定的次数。对于其他超出阈值的拓扑变化报文，定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项，从而达到保护设备的目的。

根保护

由于维护人员的错误配置或网络中的恶意攻击，根桥收到优先级更高的BPDU，会失去根桥的地位，重新进行生成树的计算，并且由于拓扑结构的变化，可能造成高速流量迁移到低速链路上，引起网络拥塞。

对于启用根保护功能的指定端口，其端口角色只能保持为指定端口。一旦启用根保护功能的指定端口收到优先级更高的RST BPDU时，端口状态将进入Discarding状态，不再转发报文。在经过一段时间（通常为两倍的Forward Delay），如果端口一直没有再收到优先级较高的RST BPDU，端口会自动恢复到正常的Forwarding状态。

环路保护

当出现链路拥塞或者单向链路故障，根端口和Alternate端口会老化。根端口老化，会导致系统重新选择根端口（而这有可能是错误的），Alternate端口老化，将迁移到Forwarding状态，这样会产生环路。

在启动了环路保护功能后，如果根端口或Alternate端口长时间收不到来自上游的RST BPDU，则向网管发出通知信息（如果是根端口则进入Discarding状态）。而阻塞端口则会一直保持在阻塞状态，不转发报文，从而不会在网络中形成环路。直到根端口收到RST BPDU，端口状态才恢复正常到Forwarding状态。

共享链路保护

在设备双归属接入网络的组网中，当多个进程的共享链路故障时，可能会引起环路。

当共享链路故障时，通过共享链路保护功能，使本设备的工作模式强制转换为RSTP，配合使用根保护功能，可以避免网络环路。

异常报文过滤

在运行STP/RSTP/MSTP协议的网络中，由于维护人员的错误配置或网络中的恶意攻击，设备可能会收到非预期的STP/RSTP/MSTP报文，这种非预期的报文在网络中透传可能会影响生成树计算，引起网络震荡。

启用异常报文过滤功能后，设备会根据指定的源MAC地址处理相应的协议报文或根据指定的VLAN ID值丢弃相应的协议报文。这样可以避免非预期的报文在网络中透传，从而防止网络震荡。