მოგესალმებით წინა პორტში დავწერე Cisco STP ToolKit-ის კონფიგურაცია და მოკლე აღწერა. ეხლა  მინდა დავწერო რომელი ესე თუ ის TOOL-ი  სად ჯობია რომ გამოვიყენოთ რომ STP დომაინში პრობლემები ნაკლბად წარმოგვეშვას.

  Porfast-ი უნდა იყოს ყველა ის პორტი რომლებზეც სვიჩები არ არის შეერთებული ანუ access პორტები. ანუ სადაც BPDU-ები არ არის. აუცილებელი არის თუ ვიყენებთ IEEE 802.1D სტანდარტს, მხოლოდ 802.1W Rapid STP-ს შემთხვევაში არ არის აუცილებელია იმიტომ რომ RSTP-ს აქვს გაგება edge და non-edge port-ების.  edge პორტია სადაც BPDU-ები არ დადიან , მხოლოდ non-edge პორტებია სადაც BPU-ები დადიან. მაგალითად სვიჩებს შორის გადაერთება არის non-edge პორტები  და პორტი რომელზეც სერვერია , ტელეფონები და ასე შემდეგ არის მიერთებული ეს არის edge პორტი. თუ 802.1D-ს შემთხვევაში არ დავაკონფიგურირებთ portfast-ს შეიძლება პრობლემები შეგვექმნას. მაგალითად თუ პორტზე მიერთებულია კომპი და IP DHCP-ითი უნდა აიღო. სტნადარტული STP პორტი სანამ forwarding მდომარეობაში გადავა 50 წამი ჭირდება. ამასობაში შეიძლება კომპი DHCP  Timeout გავიდეს და კომპა აიღოს ვინდოუსის შემთხვევაში 169.254.X.X IP-ი და რათქმა უნდა კომრს შიდა ქსელში არ ექნება წვდომა.

  BPDUGuard-ი არის ყველაზე მკაცრი security-ი როცა პორტზე portfast-ი არის დაკონფიგურირებული. ჩემი აზრით აუცილებლად უნდა იყოს დაკონფიგურირებული BPDUGuard-ი მოვა თუ არა პორტზე BPDU პორტი მომენტალურად გადავა err-disable მგომარეობაში და ესეთ შემთხვევში loop-ისგან თავის ვიცავთ. სიმარტივისთვის  ისე უნდა იყოს დაკონფიგურირებული რომ portfast-ი პორტზე default-ად უნდა ირთვებოდეს BPDUGuard-ი. Access port-ზე მეტი არაფერი არ არის STP-ეს დაცვის მექანიზმებიდან.

   BPDUFilter-ი ძირითადად გამოიყენება იმისთვის რომ პორტზე გავთიშოთ STP-ე. ისეთ პორტებზე სადაც არის სვიჩები ერთმანნეთან მიერთებული მაგრამ loop-ის მოხვედის საშიშროება არ არსებობს. მაგალითად პროვაიდერთთან მიერთებისას. პროვაიდერი გაძლევს კონკრეთულ Vlan-ებს მხოლოდ ერთ ლინკზე და ამ შემთხვევაში loop-ის თეორიული საშიშოება არ არსეობს და ამიტომ შეიძლება გამოვიყენოთ.

  RootGuard-ი სასურველია designated პორტებზე. რომლებიც სხვა სვიჩებზე არის მიბმული. ისეთ პორტებზე საიდანაც არ ველოდებით root bridge-ს და ვიყენებთ სვიჩების გადაეთებისთვის ესეთ პორტებზე უნდა იყოს დაკონფიგურირებული rootguard-ი. მხოლოდ ისეთ პორტებზე სადაც არის დაკონფიგურირებული BPDUGuard-ი არ არის საჭირომ იმიტომ რომ პორტზე მოვა თუ არა BPDU მომენტალურად გადავა err-disable მგომარეობაში.

  LoopGuard-ი კონფიგურირდება Root, Blocked (alternative root) პორტებზე.

  UDLD-ი სასურველია ყველა ოპტიკურ პორტებზე.

ესეც პატარა სქემა რომ თვალნათლივ ჩანდეს სად რა დაკონფიგურირდეს