Подскажите, чтобы заблокировать на порту IEEE bpdu с помощью acl (мультикаст с mac dst 01-80-C2-00-00-00 ) нужно использовать access_profile или cpu access_profile ?

И заодно... Правильно ли я понимаю, что config stp ports <> fbpdu disable влияет только на передаваемые, но не на получаемые bpdu?

Для вашей задачи есть отдельный функционал bpdu_protection

Это я понимаю, но на текущей прошивке (DGS-3200 fw 1.11.B003) этот функционал не реализован, а удаленно прошивать коммутаторы в stp домене как-то боязно. Ведь аналог bpdu_protection вполне реализуем с помощью acl?

Что вам мешает вручную разорвать кольца через выключение портов (config ports <port> st disable), обновить ПО и вновь включить аплинки?
Пишите cpu_acl

Спасибо за оба совета!

Пожалуйста

подскажите, на свитчах уровня 3010G каким образом можно заблокировать нежелательные bpdu как от воздействия на CPU свитча так и на распространение по сети дальше?

При выключенном stp на коммутаторе отключите fbpdu на портах.

Здравствуйте, решил поднять тему.Имеется свич DGS-3200-24 Gigabit Ethernet Switch Firmware: Build 1.50.B052

На нем сконфигурирован rstp:

Command: show stp

STP Bridge Global Settings
---------------------------
STP Status : Enabled
STP Version : RSTP
Max Age : 20
Hello Time : 2
Forward Delay : 15
Max Hops : 20
TX Hold Count : 6
Forwarding BPDU : Enabled
New Root Trap : Disabled
Topology Change Trap : Disabled

порты 23,34 учавствуют в rstp:
show stp ports 23
MSTP Port Information
----------------------
Port Index : 23 , Hello Time: 2 /2 , Port STP : Enabled ,
External PathCost : Auto/20000 , Edge Port : False/No , P2P : Auto /Yes
Port RestrictedRole : False, Port RestrictedTCN : False
Port Forward BPDU : Enabled
MSTI Designated Bridge Internal PathCost Prio Status Role
----- ------------------ ----------------- ---- ---------- ----------
0 4000/B8A3866ADE20 20000 128 Forwarding Root

show stp ports 24
MSTP Port Information
----------------------
Port Index : 24 , Hello Time: 2 /2 , Port STP : Enabled ,
External PathCost : Auto/20000 , Edge Port : False/No , P2P : Auto /Yes
Port RestrictedRole : False, Port RestrictedTCN : False
Port Forward BPDU : Enabled
MSTI Designated Bridge Internal PathCost Prio Status Role
----- ------------------ ----------------- ---- ---------- ----------
0 6000/340804C5358E 20000 128 Forwarding Designated

порт 1 (как и все кроме 23,34) НЕ учавствует, rstp на нем выключено, FBPDU disable, edge true

show stp ports 1
MSTP Port Information
----------------------
Port Index : 1 , Hello Time: 2 /2 , Port STP : Disabled ,
External PathCost : Auto/200000 , Edge Port : True /Yes, P2P : Auto /Yes
Port RestrictedRole : False, Port RestrictedTCN : False
Port Forward BPDU : Disabled
MSTI Designated Bridge Internal PathCost Prio Status Role
----- ------------------ ----------------- ---- ---------- ----------
0 N/A 200000 128 Forwarding NonStp


Собственно проблема следующая.Порт №1 клиентский, в untagged режиме.(GVRP не используется, ingress checking выключил).Через этот порт шлется BPDU, несмотря на выключенный форвардинг BPDU.Клиентский Cisco принимает BPDU и вырубает порт(соответственно канал ложиться).Подскажите каким образом мне заставить коммутатор не слать BPDU на этот порт?Желательно чтобы это было какое то правило.

нашел в сети решение по блокированию пакетов PVST

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 4

config access_profile profile_id 4 add access_id 1 ethernet destination_mac 01-00-0C-CC-CC-CD port all deny

enable cpu_interface_filtering

create cpu access_profile profile_id 4 ethernet destination_mac FF-FF-FF-FF-FF-FF

config cpu access_profile profile_id 4 add access_id 1 ethernet destination_mac 01-00-0C-CC-CC-CD port all deny

Тема с PVST уже обсуждалась.
viewtopic.php?f=2&t=144971&p=769452&hilit=pvst#p769452
viewtopic.php?f=2&t=124241&p=793164&hilit=pvst#p793164 - похоже как раз на ваш случай, когда с аплинка приходил pvst bpdu и он спокойно пропускался на клиентский порт.