生成树协议的工作机制决定了它有可能面临一些恶意攻击。因为它完全是靠优先级之类的数值来选举根交换机的,原先连接计算机的用户可能会使用一些黑客工具伪造BPDU数据包来伪装成一个交换机,或者真的在原先的接入交换机与计算机之间添加一台新的交换机。如果这样的情况发生,不仅会导致生成树重新计算,甚至可能替代原先的根交换机,影响数据包的传输路径,非常危险。下面介绍的一些生成树协议增强安全特性,可以有效防止这种情况发生。
