STP根保护功能和BPDU保护有什么作用？

STP 根保护 是生成树协议（STP/RSTP/MSTP）中的一种安全机制。
简单一句话概括：根保护的作用是“捍卫王位”，防止网络中非预期的设备篡位成为根网桥。
为了让你彻底理解，我们需要从背景、原理、应用场景和对比四个方面来看：
1. 为什么要用根保护？（背景）
在网络设计中，我们通常会将核心交换机配置为根网桥，汇聚/接入交换机为非根网桥。这样流量路径会按照核心 -> 汇聚 -> 接入的层级流动，符合最佳规划。
但是，网络中可能会出现意外情况：
人为误配置：新接入的交换机，优先级被设置得更优（数值更小）。
攻击：黑客接入了一台恶意设备，发送宣称自己是根的 BPDU 报文。
设备故障：某台非根设备逻辑错误，开始抢夺根网桥地位。
如果发生了这些情况，根网桥就会“跑偏”到接入层，导致整个网络的流量路径混乱（流量绕路），甚至引发网络震荡。
根保护功能，就是为了防止这种“篡位”发生的。
2. 根保护的工作原理
根保护通常配置在根网桥的指定端口上（通常是连接下级设备的端口）。
它的逻辑非常强硬：
启用条件：你在某个端口开启了根保护功能。
监测：该端口监听收到的 BPDU 报文。
判定：如果该端口收到了一个比当前根网桥更优的 BPDU（即对方宣称自己是新的根），这被视为非法攻击或错误配置。
动作（惩罚）：端口会立即进入“根不一致”状态。
在这个状态下，端口暂停转发用户数据流量（类似于阻塞状态）。
不理会那个“自称是根”的 BPDU。
恢复：如果在一段时间内（通常由 Hello Time 决定），没有再收到那些更优的 BPDU，端口会自动恢复正常的转发状态。
总结：收到更优 BPDU -> 阻塞端口 -> 保护现有根网桥地位。
3. 应用场景：配置在哪里？
根保护应该配置在“原本应该是根网桥的设备”上，特别是那些连接到不可信网络或下级交换机的端口。
典型拓扑：
核心交换机（Root Bridge） <—> 汇聚交换机
汇聚交换机 <—> 接入交换机
配置建议：
在核心交换机连接汇聚交换机的端口上开启根保护。
甚至在汇聚交换机连接接入交换机的端口上也可以开启（防止接入层设备抢夺汇聚层的根地位，如果汇聚层是备份根的话）。
切记：千万不要在非根网桥的根端口上配置根保护，否则如果根网桥真的发了合法的更优 BPDU，非根网桥的端口会被阻塞，导致网络断连。
4. 关键对比：根保护 vs BPDU 保护
这是最容易混淆的两个功能，请务必区分：

5. 总结
你可以把 STP 网络看作一个王国：
Root Bridge（根网桥） = 国王
Root Guard（根保护） = 御林军/宫廷护卫
根保护逻辑：宫廷护卫站在国王的宫殿门口（端口），只要听到有人说“我是新国王”（更优 BPDU），护卫就会立刻把大门关上（端口阻塞），不让他进来造反。直到那个人闭嘴滚蛋（更优 BPDU 停止），大门才会重新打开。