здравствуйте, возникли сложности с фильтрацией bpdu у одного из клиентов:
схема включения клиента (одна из точек l2vpn): catalyst[gi0/10] - [25]des-3526[2]-switch[2]-клиент
со switch клиенту отдается акцессом vlan 565:

des-3526:
STP Bridge Global Settings
---------------------------
STP Status : Enabled
STP Version : RSTP
Max Age : 20
Hello Time : 2
Forward Delay : 15
Max Hops : 20
TX Hold Count : 3
Forwarding BPDU : Disabled

----------------------
Port Index : 2 , Hello Time: 2 /2 , Port STP disabled
Restricted role : True , Restricted TCN : True
External PathCost : Auto/200000 , Edge Port : True /Yes, P2P : Auto /Yes
Port Forward BPDU : disabled
BPDU Type : RSTP

но на каталист все равно сыпятся сообщения с ошибками левых bpdu:
%SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent peer vlan id 608 on GigabitEthernet0/10 VLAN565.
%SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/10 on VLAN0565. Inconsistent local vlan.

На 25-м порту STP включен? Он там действительно нужен?

в текущий момент не нужен и выключен:
----------------------
Port Index : 25 , Hello Time: 2 /2 , Port STP disabled
Restricted role : True , Restricted TCN : True
External PathCost : Auto/200000 , Edge Port : False/No , P2P : Auto /Yes
Port Forward BPDU : disabled
BPDU Type : RSTP

Я думаю, что клиент просто шлёт нестандартные BPDU пакеты, вот коммутатор их и не блокирует. В стандартных RSTP BPDU не содержится информации о виланах, а тут есть:


Используйте CPU ACL для блокирования таких пакетов.

Александр, не могли бы вы подсказать, по каким именно критериям составить ACL?

Например по source или dest MAC. Отзеркальте порт, подключите снифер и посмотрите что за адреса в пакете и напишите ACL.

оказалось PVST+, закрыл через ACL спасибо, закрывайте

Рад слышать