Необходимо отключить передачу bpdu пакетов на порту.
stp выключено, fbpdu глобально выключено, fbpdu на порту выключено.
В итоге bpdu продолжают свободно ходить через свич.
Проверялось на прошивках 4.01-B19, 5.01-B09, 5.01-b19. Результат одинаков - bpdu ходят.

Отфильтруйте BPDU обыкновенными ACL. Функция FBPDU работает только при включённом STP.

c включенным stp точно такой же результат

Я Вам прошивку выслал. Только учтите что эта функция фильтрует BPDU на на входе а на выходе с порта.

а разве они это могут? STP же вроде как DHCP Relay или мультикаст работает до ACL ...

_________________
с уважением, БП

спасибо, будем тестировать.

Могут если STP выключен.

э-э-э ... в FAQ?

_________________
с уважением, БП

Ну зачем же!:) Просто нужно смотреть каждый раз какой функционал включён и делать вывод что идёт на интерфейс CPU в текущий момент.

затем, что статья о том каков порядок обработки пакета в зависимости от влючения той или иной фичи в схеме:

является жизненно необходимой!

_________________
с уважением, БП

Э... Ситуация следующая: STP включен, нужно отфильтровать ВХОДЯЩИЙ bpdu на клиентских портах. Как? В Cisco, к примеру, фильтруется именно входящий bpdu. Или я неправильно декриптовал шифровку ?

Вам нужно фильтровать любой BPDU или только рутовый? В принципе вполне достаточно если у вас на клиентских портах включён STP и они прописаны как edge выставить на них в True Restricted_Role и Restricted_TCN.

Как-то не очень все вяжется... Разнотолки какие-то... В документации одно, на форуме другое... Давайте по порядку? Беру доку от 36-го свитча:
config stp:
fbpdu [enable | disable] − Allows the forwarding of STP BPDU packets from other network devices when STP is disabled on the Switch. The default is enable.
Разрешает форвардинг BPDU пакетов через свитч, когда STP выключено. По умолчанию включено. Значит ли это, что эта настройка не действует при включенном STP? значит ли это, что включенная опция (true) разрешает форвардинг пакетов, а не фильрацию?
config stp ports:
fbpdu [enable | disable] − Allows the forwarding of STP BPDU packets from other network devices when STP is disabled on the Switch. This function can only be in use when STP is globally disabled and forwarding BPDU packets is enabled. The default is enabled and BPDU packets will not be forwarded.
Разрешает форвардинг BPDU пакетов от других сетевый устройств (т.е. подразумеваем, что действует на входящий траффик?) (и снова) когда STP ВЫКЛЮЧЕН на свитче. Это действует ТОЛЬКО когда STP выключен ГЛОБАЛЬНО и форвардинг пакетов включен. По умолчанию ВКЛЮЧЕН и BPDU пакеты НЕ будут переданы.

Иван, не моглы бы Вы научить правильно понимать эти пункты? Моя логика отказывает... У нас есть свитчи и с выключенным STP и важно понимать что мы включаем а что мы выключаем.

Берем доку 35-й серии R5
Choosing True will allow the forwarding of BPDU packets in the specified ports from other network devices. This will go into effect only if STP is globally disabled AND Forwarding BPDU is globally enabled (See STP Bridge Global Settings above). The default setting False, does not forward BPDU packets when STP is disabled.
Здесь с логикой все более хорошо, по умолчанию выключено и не форвардит. Но, опытным путем было замечено - ФОРВАРДИТ! STP было выключено, fbpdu false. Таки оно не рабочее, или таки оно на исходящие BPDU действует?

Restricted_Role и Restricted_TCN - в доке по 36-му не нашел. Видимо, этих опций там нет (Firmware Version : Build 2.40-B51). В доке по 35-му не совсем понял. Не могли бы Вы пояснить механизм действия этих опций на 35-й и как управлять форвардингом BPDU пакетов в случае включенного STP на 36-й?
Завтра исследование будет продолжено, но, было бы гораздо легче, если бы документация и фактическое поведение соответствовали друг другу...

1) FBPDU действительно работает только при выключенном STP. Оно позволяет не распространять BPDU с порта на котором эта опция стоит в disable.
2) Restricted_role [true | false] – If true causes the Port not to be selected as Root Port for the CIST or any MSTI, even it has the best spanning tree priority vector. Such a Port will be selected as an Alternate Port after the Root Port has been selected. This parameter should be false by default. If set, it can cause lack of spanning tree connectivity. It is set by a network administrator to prevent bridges external to a core region of the network influencing the spanning tree active topology, possibly because those bridges are not under the full control of the administrator. Если в двух словах то она на входе отбрасывает root-ые BPDU, защищая тем самым от того что клиент может посылать BPDU как бы от имени корня и перестраивая тем самым дерево. Работает при включенном STP на порту.
3) Restricted_tcn [true | false] – If true causes the Port not to propagate received topology change notifications and topology changes to other Ports. This parameter should be false by default. If set it can cause temporary loss of connectivity after changes in a spanning trees active topology as a result of persistent incorrectly learned station location information. It is set by a network administrator to prevent bridges external to a core region of the network, causing address flushing in that region, possibly because those bridges are not under the full control of the administrator or MAC_Operational for the attached LANs transitions frequently. Очень похожа на FBPDU disabled только за тем исключением что рабоатет при включённом STP и не распространяте BPDU с порта на котором включена на другие порты. Также защищает от распространения fake BPDU генерируемых клиентом.

Спасибо. Это в 35-й серии. Проверим, также убедимся в неработоспособности fbpdu при выключенном STP и сообщим. А как быть с 36-й серией? Ведь в 36-й нет Restricted_role и Restricted_tcn...