Объясните пожалуйста почему при таком конфиге y 3010G

# STP

config stp maxage 20 hellotime 2 forwarddelay 15 priority 57344 version rstp
txholdcount 3 fbpdu disabled
enable stp
config stp ports 1 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 2 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 3 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 4 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 5 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 6 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 7 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 8 cost auto priority 128 edge true p2p false state enabled f
bpdu enabled
config stp ports 9 cost auto priority 128 edge false p2p auto state enabled f
bpdu disabled
config stp ports 10 cost auto priority 128 edge false p2p auto state enabled
fbpdu disabled

и включении в него свитча с STP порт не только не блокируется, но еще и переходит в состояние root???

STP Status : Enabled
Max Age : 20
Hello Time : 2
Forward Delay : 15
Priority : 57344
Default Path Cost : 802.1T
STP Version : RSTP
TX Hold Count : 3
Forwarding BPDU : Disabled

Designated Root Bridge: 00-16-9D-CC-50-00
Root Priority : 25563
Cost to Root : 200000
Root Port : 4
Last Topology Change : 754sec
Topology Changes Count: 32
Protocol Specification: 3
Max Age : 20
Hello Time : 2
Forward Delay : 15
Hold Time : 3

А что Вас удивляет? Это же не запрешающие настройки.

Я думал что если порт стоит в Edge, то он не участвует в выборах STP, и при получении BPDU пакета, порт должен быть заблокирован. Так в документации написано.

Но если это нормальное поведение, то тогда объясните пожалуйчта как настроить клиентские порты, чтобы они блокировались при появлении петель на порту, между портами и еще не могли перестроить дерево STP?

На них должно быть включено STP и LBD. Ну а от перестроения дерева спасает только отключения STP на порту. Но тогда не будут отрабатываться петли между портами.

Насколько я в своё время понял из документации по Edge, при включении этой опции - порт не участвует в выборах STP, но при получении BPDU пакета, он не блокируется, а переходит в обычный режим работы STP.

Именно так и есть по документации.

Прочитал внимательно, убедился.

Тогда получаем опасность создания петли между портами либо перестроения STP дерева.

Именно так. Можно отключать функцию fbpdu на нижестоящем свитче в дереве.

Проблема в том, что там может быть простая мыльница или просто недобросовестный абонент.
Разделение функций LBD и BPDU на портах здорово помогает, если мы не хотим позволять пользователю видеть и использовать в своих целях пакетики STP сети, и при этом защититься от колец (взбесившихся мыльниц) на этом порту.
Но не помогает от закольцевания между портами управляемого коммутатора.

Было бы здорово увидеть в настройках свитча фичу, позволяющую определять порты, которые никак не могут быть аплинковыми.
То есть запретить железке видеть рута на этом порту.

Отключение bpdu на портах не помогает, порт все равно выбирается как root

Попробуйте отключить на портах stp полностью, тогда они точно не будут выбираться.

Тогда никак не защититься от петли между портами

А других вариантов логика протокола STP и не предусматривает.
Либо не давать пользователю пакетики STP и рисковать при этом колечком между домами, если вдруг клиент воткнёт в кабель свитч с домашней сеткой по нескольким подключенным домам.
Либо включать STP на полную, но рисковать возможностью "продвинутых чайников" подделывать пакетики STP, чтобы валять всю сеть перестраиваемой топологией.

Есть, конечно, надежда, что производителю в какой-либо новой прошивке удастся придумать что-то такое, что позволит защититься от подобных проблем (как это было сделано с LBD после выноса его в отдельную функцию), но я, например, пока смутно представляю, как это можно сделать.
(ушёл искать что-либо подобное в манулалах cisco)

Вот, нашёл среди Цисковых мануалов:
STP Root Guard. Во всех топологиях Ethernet уровня 2, обеспечивающих резервирование каналов связи, для предотвращения зацикливания в сети используется протокол покрывающего дерева (STP). Хакер может злонамеренно нарушить стабильность топологии STP посредством ввода в топологию нового корневого узла STP (STP Root). В процессе схождения протокола STP абоненты порта доступа не имеют доступа к своим сетевым услугам. Функция STP Root Guard не дает хакеру возможности изменить корневой узел STP. Функция защиты корневого узла протокола покрывающего дерева (STP) не позволяет сделать корневым узлом STP в сети провайдера услуг коммутаторы, установленные у клиента. Конфигурирование защиты корневого узла осуществляется посредством активирования этой функции на интерфейсе, ведущем к другому коммутатору. В случае, если подключенный к абонентскому порту коммутатор попытается стать корневым коммутатором, данный порт будет заблокирован.

То бишь если на порт с включённой настройкой STP Root Guard приходит BPDU-пакетик от якобы нового рута, то свитч тупо блокирует этот порт (можно, например на некоторое время, как это сделано в LBD), а не начинает перестраивать всю топологию.

Таким образом, если на этом порту сидит мега-хакер - он потеряет возможность обьявить себя рутом в сети и тем самым нарушить работу этой сети. А если где-то в сети есть колечко и на этот порт придёт нормальный пакетик от нормального рута, то порт так же будет заблокирован.
То бишь в обоих случаях - устойчивость сети к нелегальным действиям конечных клиентов возрастает.

Вопрос к представителям D-Link:
Есть ли возможность реализовать подобную фишку в новых прошивках на устройствах dlink?
Например, для серии DES-30xx?

Пришлите пожалуйста это письмом как я и просил.