STP (Spanning Tree Protocol) #
1. Überblick #
Das Spanning Tree Protocol (STP) ist eines der wichtigsten Kontrollprotokolle in klassischen Ethernet-Netzwerken. Es löst ein fundamentales Problem von Layer-2-Netzen: Schleifen. Solche Schleifen entstehen, wenn Switches redundant miteinander verbunden sind und dadurch mehrere aktive Pfade zwischen denselben Netzbereichen existieren. Redundanz ist in professionellen Netzwerken ausdrücklich erwünscht, denn sie erhöht die Verfügbarkeit. Ohne einen Mechanismus zur Schleifenvermeidung führt genau diese Redundanz jedoch schnell zu massiven Störungen.
Im Gegensatz zu IP-basierten Layer-3-Protokollen besitzt Ethernet auf Layer 2 keinen eingebauten Mechanismus wie eine TTL (Time To Live), die endlose Kreisbewegungen von Frames zuverlässig beendet. Wenn also ein Broadcast, Multicast oder unbekannter Unicast in eine Layer-2-Schleife gerät, kann er sich unbegrenzt vervielfältigen. Die Folge sind Broadcast-Stürme, instabile MAC-Tabellen, hohe CPU-Last auf Switches und im schlimmsten Fall der komplette Ausfall des betroffenen Netzsegments.
STP verhindert genau das, indem es aus einer physisch redundanten Netzwerktopologie eine logisch schleifenfreie Struktur bildet. Diese Struktur nennt man Spanning Tree. Dabei bleiben redundante Links physisch vorhanden, werden aber logisch teilweise blockiert. Fällt eine aktive Verbindung aus, kann STP einen zuvor blockierten Pfad freigeben und so die Redundanz nutzbar machen.
Für Einsteiger ist STP oft zunächst schwer greifbar, weil man auf den ersten Blick meinen könnte, dass „mehr Verbindungen automatisch besser“ seien. In Layer-2-Netzen gilt das aber nur dann, wenn die Redundanz kontrolliert wird. Für Fortgeschrittene ist STP weiterhin hochrelevant, weil Fehlverhalten, Fehlkonfigurationen oder Designschwächen im Spanning-Tree-Bereich zu den klassischen Ursachen großflächiger Netzstörungen zählen.
Dieser Artikel erklärt STP deshalb nicht nur oberflächlich, sondern von Grund auf: von der Ursache des Problems über die Wahl der Root Bridge bis hin zu Portrollen, Zuständen, BPDUs, Varianten wie RSTP und MSTP, typischen Fehlerbildern, Sicherheitsaspekten und konkreter Praxisdiagnose.
2. Definition und Zweck #
Was ist STP? #
STP (Spanning Tree Protocol) ist ein Layer-2-Protokoll, das in Switch-Netzwerken Schleifen verhindert. Es wurde standardisiert, um in einer Topologie mit redundanten Verbindungen genau einen logisch gültigen, schleifenfreien Pfadbaum zu erzeugen.
Die klassische Norm ist IEEE 802.1D. Daraus entwickelten sich schnellere oder skalierbarere Varianten wie:
- RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w)
- MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s)
Warum gibt es STP? #
In professionellen Netzwerken möchte man aus Gründen der Verfügbarkeit bewusst mehrere Wege zwischen Switches haben. Beispiel:
Switch A ---- Switch B
| |
| |
+---- Switch C-+
Hier gibt es mehrere Pfade. Das ist für Redundanz gut. Ohne Kontrollmechanismus entstehen aber Schleifen. Und genau diese Schleifen sind auf Layer 2 hochproblematisch, weil:
- Broadcasts sich endlos vervielfältigen können
- unbekannte Unicasts geflutet werden
- MAC-Adresstabellen ständig falsche oder wechselnde Einträge lernen
- die Auslastung explosionsartig steigen kann
STP sorgt dafür, dass von den mehreren physischen Verbindungen nur die für den aktuellen Baum nötigen aktiv sind. Andere Verbindungen bleiben als Backup bereit.
Zweck von STP in einem Satz #
STP ermöglicht Redundanz in Layer-2-Netzen, ohne dass daraus Schleifen entstehen.
Welche Probleme löst STP konkret? #
STP adressiert vor allem drei klassische Layer-2-Gefahren:
1. Broadcast Storms #
Broadcasts werden im VLAN an alle Teilnehmer weitergeleitet. In einer Schleife kreisen sie endlos und vervielfältigen sich.
2. Multiple Frame Copies #
Ein einzelner Frame kann über unterschiedliche Pfade mehrfach beim Empfänger ankommen. Das führt zu unvorhersehbarem Verhalten.
3. MAC Address Table Instability #
Switches lernen MAC-Adressen anhand eingehender Frames. Wenn dieselbe Quell-MAC mal über Port A, mal über Port B eintrifft, „flappt“ die MAC-Zuordnung ständig.
3. Grundprinzip #
Das Grundprinzip von STP lässt sich mit einem Straßennetz vergleichen.
Stellen wir uns mehrere Städte vor, die über Straßen verbunden sind. Aus Gründen der Ausfallsicherheit gibt es mehr Straßen als unbedingt nötig. Würden aber alle Wege gleichzeitig in einer speziellen Kreisstruktur aktiv und Fahrzeuge endlos im Kreis fahren, entstünde Chaos. Man möchte daher:
- mehrere Straßen gebaut haben
- aber nur die aktuell nötigen Wege für den geordneten Verkehr aktiv nutzen
- Reservewege bei Bedarf schnell aktivieren
Genau das macht STP mit Switch-Links.
Vereinfachte Grundidee #
STP betrachtet die Switch-Topologie und entscheidet:
- Welcher Switch ist die logische Mitte des Baums?
→ Root Bridge - Welcher Pfad ist von jedem Switch der beste Weg zur Root?
→ Root Port - Welche Ports dürfen Frames weiterleiten?
→ Forwarding - Welche Ports müssen blockiert werden, um Schleifen zu verhindern?
→ Blocking / Discarding
Ergebnis #
Physisch kann das Netz redundant sein, logisch sieht es für Layer 2 aber wie ein Baum ohne Schleifen aus.
ASCII-Beispiel:
Physische Topologie: SW1
/ \
SW2---SW3Logischer Spanning Tree: SW1
/ \
SW2 SW3Link SW2---SW3 ist blockiert
Der blockierte Link ist nicht „kaputt“, sondern nur logisch stillgelegt. Fällt eine der aktiven Verbindungen aus, kann dieser bisher blockierte Link aktiv werden.
Wichtiger Denkfehler #
Ein sehr häufiger Irrtum lautet:
„Wenn zwei Switches redundant verbunden sind, nutzt das Netzwerk automatisch beide Links sinnvoll.“
Das ist bei klassischem STP gerade nicht der Fall. STP priorisiert Stabilität und Schleifenfreiheit, nicht Lastverteilung über alle parallelen Layer-2-Pfade. Ein redundanter Link kann also im Normalbetrieb ungenutzt blockiert bleiben.
4. Technische Funktionsweise im Detail #
4.1 Ausgangspunkt: Warum Layer-2-Schleifen so gefährlich sind #
Bevor man STP versteht, muss man das Problem sauber verstehen.
Ein Layer-2-Switch arbeitet mit Ethernet-Frames und MAC-Adressen. Wenn er das Ziel eines Frames nicht kennt, flutet er diesen Frame im VLAN. Broadcasts werden ohnehin an alle Ports im VLAN weitergeleitet.
Wenn nun eine Schleife existiert, passiert Folgendes:
- Ein Broadcast wird auf mehreren Wegen weitergeleitet.
- Derselbe Broadcast kommt wieder bei Switches an, die ihn schon einmal gesehen haben.
- Da Ethernet ohne TTL auf Layer 2 arbeitet, verschwindet dieser Frame nicht automatisch.
- Jeder Switch sendet ihn erneut weiter.
- Die Anzahl der Frames wächst schnell an.
Das Netzwerk läuft in einen Broadcast Storm.
Zusätzlich lernt jeder Switch Quell-MAC-Adressen anhand eingehender Frames. Kommt dieselbe MAC aus wechselnden Richtungen, wird die MAC-Tabelle ständig neu überschrieben. Das nennt man häufig MAC Flapping.
4.2 BPDU: Die Kontrollnachricht von STP #
STP funktioniert über spezielle Steuerframes, die BPDUs (Bridge Protocol Data Units) heißen. Über sie tauschen Switches Informationen zur Topologie aus.
Wozu dienen BPDUs? #
Mit BPDUs teilen Switches unter anderem mit:
- welche Bridge sie selbst sind
- welche Root Bridge sie aktuell für die beste halten
- welche Pfadkosten zur Root existieren
- welche Bridge-ID und Port-ID beteiligt sind
- welche Timer verwendet werden
BPDUs sind das Herz der STP-Entscheidungslogik.
Prinzip #
Jeder Switch „bewirbt“ zunächst sich selbst als Root. Durch den BPDU-Austausch setzt sich dann schrittweise die Bridge mit der besten Bridge-ID durch. Alle anderen Switches akzeptieren diese als Root und berechnen von dort aus ihren besten Pfad.
4.3 Die Root Bridge: Zentrum des Spanning Tree #
Jeder Spanning Tree braucht genau eine Root Bridge. Sie ist der logische Bezugspunkt des gesamten Baums.
Wie wird die Root Bridge bestimmt? #
Entscheidend ist die Bridge ID (BID). Sie besteht vereinfacht aus:
- Bridge Priority
- MAC-Adresse des Switches
Die niedrigere Bridge ID gewinnt.
Reihenfolge der Auswahl #
- Niedrigere Bridge Priority ist besser
- Bei gleicher Priority entscheidet die niedrigere MAC-Adresse
Wichtige Praxisfolge #
Wenn man nichts konfiguriert, gewinnt oft einfach der Switch mit der niedrigsten MAC-Adresse. Das ist technisch zulässig, aber designseitig oft unerwünscht. In der Praxis sollte die Root Bridge bewusst festgelegt werden.
Beispiel #
Drei Switches:
- SW1: Priority 32768, MAC 00:11:11:11:11:11
- SW2: Priority 32768, MAC 00:22:22:22:22:22
- SW3: Priority 24576, MAC 00:33:33:33:33:33
Obwohl SW3 die höchste MAC hat, gewinnt er wegen der niedrigeren Priority.
4.4 Root Path Cost: Der beste Weg zur Root #
Sobald die Root Bridge feststeht, muss jeder andere Switch entscheiden, über welchen Pfad er sie am besten erreicht.
Dazu nutzt STP die Pfadkosten. Jeder Link hat Kosten, meist abhängig von der Bandbreite. Die Summe entlang eines Pfades ergibt die Root Path Cost.
Grundidee #
Je niedriger die Gesamtkosten, desto besser der Pfad.
Früher waren typische Standardwerte etwa:
| Linkgeschwindigkeit | Klassische Kosten |
|---|---|
| 10 Mbit/s | 100 |
| 100 Mbit/s | 19 |
| 1 Gbit/s | 4 |
| 10 Gbit/s | 2 |
Hersteller und Protokollversionen können hier moderne oder alternative Kostenmodelle verwenden, aber das Grundprinzip bleibt gleich: kleiner = besser.
Beispiel #
SW2 ---1G--- SW1 (Root)
|
100M
|
SW3 ---1G--- SW1 (Root)
Wenn SW2 die Root direkt mit 1 Gbit/s erreicht, ist dieser Pfad günstiger als ein Umweg über langsamere Verbindungen.
4.5 Portrollen im STP #
Sobald Root und beste Pfade bestimmt sind, weist STP Ports Rollen zu.
1. Root Port (RP) #
Jeder Nicht-Root-Switch hat genau einen Root Port.
Das ist der Port mit dem besten Pfad zur Root Bridge.
Merkmale:
- nur auf Nicht-Root-Switches vorhanden
- pro Switch genau ein Root Port
- leitet normalerweise weiter
2. Designated Port (DP) #
Für jedes Netzwerksegment gibt es genau einen Designated Port.
Dieser Port ist der „beste Sender“ in dieses Segment hinein.
Merkmale:
- pro Segment genau einer
- auf der Root Bridge sind typischerweise alle aktiven Ports Designated Ports
- leitet weiter
3. Non-Designated Port / Blocked Port #
Ein Port, der weder Root Port noch Designated Port wird, muss blockieren, um Schleifen zu verhindern.
Merkmale:
- leitet keine normalen Nutzdatenframes weiter
- empfängt aber weiterhin STP-Informationen
- dient als Reservepfad
Vereinfachtes Beispiel #
SW1 (Root)
/ \
RP RP
SW2 ------- SW3
\ /
blockierter Pfad
Genauer betrachtet hätte jeder Link pro Seite eigene Portrollen; entscheidend ist aber, dass einer der redundanten Wege blockiert wird.
4.6 Portzustände im klassischen STP #
Klassisches 802.1D STP kennt mehrere Zustände, durch die ein Port beim Aktivwerden schrittweise geht.
1. Blocking #
- keine Weiterleitung normaler Frames
- keine MAC-Learning-Aktivität
- BPDUs werden empfangen und verarbeitet
2. Listening #
- der Port beginnt, an der STP-Topologiebildung teilzunehmen
- noch keine Weiterleitung normaler Frames
- noch kein MAC-Learning
3. Learning #
- MAC-Adressen werden bereits gelernt
- noch keine normale Weiterleitung
4. Forwarding #
- normaler Datenverkehr wird weitergeleitet
- MAC-Learning aktiv
5. Disabled #
- administrativ oder technisch inaktiv
Warum diese Zwischenstufen? #
Sie sollen verhindern, dass ein Port sofort Daten weiterleitet, obwohl die Topologie noch nicht stabil bewertet wurde. Das erhöht die Sicherheit gegen Schleifen, macht klassisches STP aber relativ langsam.
4.7 Konvergenz im klassischen STP #
Konvergenz bedeutet, dass sich alle Switches nach einer Änderung auf einen neuen stabilen, schleifenfreien Zustand einigen.
Ablauf bei klassischem STP #
Wenn ein blockierter Port aktiv werden soll, geht er typischerweise durch:
Blocking -> Listening -> Learning -> Forwarding
Standard-Timer im klassischen STP:
- Hello Time: häufig 2 Sekunden
- Forward Delay: häufig 15 Sekunden
- Max Age: häufig 20 Sekunden
Dadurch kann die Konvergenz im Worst Case vergleichsweise langsam sein, oft im Bereich um 30 bis 50 Sekunden, abhängig von Szenario und Implementierung.
Praktische Bedeutung #
Für moderne Anwendungen ist das oft zu langsam. Echtzeitdienste, VoIP oder sensible Applikationen reagieren auf so lange Umschaltzeiten deutlich störend. Deshalb wurden schnellere Verfahren entwickelt, insbesondere RSTP.
4.8 Entscheidungslogik bei Gleichstand #
Wenn mehrere Pfade scheinbar gleich gut sind, nutzt STP eine definierte Reihenfolge von Vergleichskriterien.
Vereinfacht gewinnt:
- die bessere Root Bridge ID
- der niedrigere Root Path Cost
- die bessere Sender Bridge ID
- die bessere Sender Port ID
Diese Deterministik ist wichtig. STP darf nicht „zufällig“ entscheiden, sondern muss reproduzierbar und konsistent arbeiten.
4.9 Topology Changes #
Wenn sich die Layer-2-Topologie ändert, etwa durch:
- Link-Ausfall
- Link-Wiederkehr
- Switch-Ausfall
- Aktivierung eines Backup-Pfads
muss STP die Topologie neu bewerten.
Warum das kritisch ist #
Switches lernen MAC-Adressen dynamisch. Wenn ein Pfad wechselt, müssen diese Lerninformationen ggf. schneller angepasst oder verworfen werden, damit Frames nicht lange in die falsche Richtung gesendet werden.
Topology Change Notification #
Im klassischen STP gibt es dafür Mechanismen wie TCN-BPDUs (Topology Change Notification). Sie signalisieren, dass die Topologie sich verändert hat und beschleunigen indirekt die Anpassung der MAC-Adress-Tabellen.
4.10 Warum RSTP eingeführt wurde #
Klassisches STP ist robust, aber träge. Deshalb wurde Rapid Spanning Tree Protocol (RSTP) entwickelt.
RSTP beschleunigt die Konvergenz deutlich, indem es:
- Zustände vereinfacht
- Portrollen erweitert
- direkte Handshakes nutzt
- schneller auf Änderungen reagiert
Während klassisches STP häufig noch mit langen Timer-Phasen arbeitet, kann RSTP in vielen Fällen deutlich schneller umschalten.
4.11 RSTP: Grundprinzip der schnelleren Konvergenz #
RSTP kennt statt der klassischen vielen Zustände im Kern:
- Discarding
- Learning
- Forwarding
Zusätzlich differenziert RSTP Portrollen feiner, etwa mit:
- Root Port
- Designated Port
- Alternate Port
- Backup Port
Wichtige Neuerung #
Ein Alternate Port ist ein alternativer Pfad zur Root Bridge, der bei Bedarf sehr schnell übernehmen kann. Dadurch muss nicht jede Umschaltung die alten langen STP-Timer vollständig durchlaufen.
Proposal/Agreement-Mechanismus #
RSTP nutzt einen schnelleren Aushandlungsmechanismus zwischen benachbarten Switches, um Ports zügiger in den Forwarding-Zustand zu bringen, wenn die Bedingungen klar sind.
4.12 MSTP: Skalierung für viele VLANs #
In VLAN-reichen Netzen wäre es ineffizient, für jedes VLAN einen vollständig separaten Spanning Tree zu berechnen. Deshalb gibt es MSTP (Multiple Spanning Tree Protocol).
Idee von MSTP #
Mehrere VLANs werden zu einer gemeinsamen MST-Instanz zusammengefasst. So muss nicht jedes VLAN einen komplett eigenen Baum pflegen.
Beispiel:
- VLAN 10, 11, 12 → MST Instance 1
- VLAN 20, 21, 22 → MST Instance 2
Das reduziert Protokollaufwand und verbessert die Skalierbarkeit.
5. Wichtige Bestandteile / Mechanismen / Konzepte #
5.1 Bridge ID #
Die Bridge ID identifiziert einen Switch im STP-Kontext.
Sie besteht aus:
- Bridge Priority
- erweiterter System-ID / VLAN-Bezug je nach Variante
- MAC-Adresse
Die BID ist entscheidend für:
- Wahl der Root Bridge
- Vergleich konkurrierender STP-Informationen
5.2 BPDU #
Die BPDU ist die Steuernachricht, mit der STP arbeitet. Ohne BPDU kein STP.
Typische Inhalte:
- Root Bridge ID
- Sender Bridge ID
- Root Path Cost
- Port ID
- Timer-Informationen
- Flags für Topology Change etc.
Im Betrieb sind BPDUs gewissermaßen die „Verhandlungssprache“ der Switches.
5.3 Root Bridge #
Die Root Bridge ist der logische Mittelpunkt des Baumes. Alle Pfadentscheidungen werden relativ zu ihr getroffen.
Praxisregel:
Die Root Bridge sollte nie dem Zufall überlassen werden. Man definiert in der Regel:
- eine primäre Root Bridge
- eine sekundäre Root Bridge
5.4 Root Port #
Der Root Port ist der beste Weg eines Nicht-Root-Switches zur Root.
Wichtig:
- nur einer pro Nicht-Root-Switch
- bei Gleichstand greifen deterministische Tie-Breaker
5.5 Designated Port #
Der Designated Port repräsentiert den besten aktiven Pfad in ein Segment.
Auf der Root Bridge sind die aktiven Ports in Richtung anderer Segmente typischerweise Designated Ports.
5.6 Blocked / Alternate / Backup #
Je nach STP-Variante gibt es blockierende oder reservierte Portrollen.
Diese Ports:
- verhindern Schleifen
- bleiben als Reserve erhalten
- können bei Ausfall anderer Pfade aktiv werden
5.7 Timer #
Wichtige klassische Timer:
| Timer | Zweck |
|---|---|
| Hello Time | Abstand zwischen Root-BPDUs |
| Max Age | Wie lange BPDU-Information gültig bleibt |
| Forward Delay | Dauer von Listening/Learning |
Timer beeinflussen:
- Stabilität
- Erkennungszeit von Ausfällen
- Umschaltverhalten
Wichtiger Hinweis #
Man sollte STP-Timer nicht leichtfertig manuell verändern. Falsch gesetzte Timer können Instabilität verursachen.
5.8 Topology Change #
Eine Topologieänderung bedeutet, dass der bisherige Baum nicht mehr unverändert gilt. Gründe können sein:
- Link down/up
- Portstatusänderung
- Switchausfall
- neuer Switch im Netz
Die saubere Verarbeitung solcher Änderungen ist wesentlich für stabile Umschaltung und korrekte MAC-Tabellen.
5.9 PortFast #
PortFast ist eine Funktion für Endgeräteports. Sie sorgt dafür, dass ein Port nicht den vollen langsamen STP-Übergang durchlaufen muss, wenn dort ein normales Endgerät angeschlossen ist.
Warum sinnvoll? #
Ein PC oder Drucker verursacht typischerweise keine Layer-2-Schleife. Der Port kann deshalb schneller in Forwarding gehen.
Aber Vorsicht #
PortFast gehört nur auf echte Endgeräteports, nicht blind auf Switch-Uplinks. Sonst können Schleifen schneller und unkontrollierter aktiv werden.
5.10 BPDU Guard #
BPDU Guard schützt PortFast-Ports. Empfängt ein solcher Port unerwartet eine BPDU, ist das ein starkes Indiz dafür, dass dort doch ein Switch angeschlossen wurde.
Typische Reaktion:
- Port wird deaktiviert oder in Error-Zustand versetzt
Das schützt vor versehentlichen oder unerlaubten Switch-Anschlüssen.
5.11 Root Guard #
Root Guard verhindert, dass an bestimmten Ports unerwartet eine neue Root Bridge „hereinkommt“.
Einsatz:
- an Downstream-Ports
- dort, wo kein nachgeschalteter Switch Root werden darf
So schützt man das geplante STP-Design.
5.12 Loop Guard #
Loop Guard schützt vor bestimmten Situationen, in denen ein Port fälschlich in Forwarding geraten könnte, weil erwartete BPDUs plötzlich ausbleiben.
Das ist hilfreich in Umgebungen mit instabilen Links oder asymmetrischen Fehlerbildern.
5.13 UplinkFast / BackboneFast #
Das sind ältere Optimierungsmechanismen aus klassischen STP-Welten, die vor allem vor RSTP relevant waren. In modernen Netzen übernimmt RSTP viele dieser Beschleunigungen eleganter. Trotzdem sind die Begriffe in älteren Dokumentationen oder Legacy-Umgebungen noch anzutreffen.
6. Einsatzgebiete in der Praxis #
STP ist überall dort relevant, wo klassische Layer-2-Redundanz existiert.
Unternehmens-LANs #
Typische Etagen- und Gebäudeverkabelungen enthalten:
- Access-Switches
- Distribution-Switches
- redundante Uplinks
STP verhindert Schleifen, wenn mehrere Uplinks oder Ringstrukturen vorhanden sind.
Rechenzentren und Serverräume #
In moderneren Rechenzentren wird klassisches STP teilweise durch andere Designs ergänzt oder reduziert, aber in vielen Umgebungen spielt es weiterhin eine Rolle, etwa:
- bei klassischen Layer-2-Domänen
- Hypervisor-Uplinks
- redundanten Top-of-Rack-Designs in Legacy-Strukturen
Industrie- und Campus-Netze #
Hier gibt es oft:
- ringartige Topologien
- verteilte Switches
- hohe Verfügbarkeitsanforderungen
- lange Lebenszyklen von Infrastruktur
Gerade dort ist das Verständnis von STP besonders wichtig.
WLAN-Infrastrukturen #
Access Points selbst verursachen nicht automatisch STP-Probleme, aber die dahinterliegende Switch-Infrastruktur mit redundanten Uplinks sehr wohl. Außerdem können Fehlverkabelungen oder Mini-Switches im Feld unerwartet Schleifen erzeugen.
7. Mehrere ausführliche Praxisbeispiele #
7.1 Praxisbeispiel 1: Dreiecks-Topologie mit drei Switches #
Ausgangssituation #
Drei Switches sind aus Redundanzgründen in einer Dreiecksstruktur verbunden:
SW1
/ \
SW2---SW3
Jeder Link ist aktiv, physisch korrekt und technisch funktionsfähig.
Problem ohne STP #
Ohne STP würde ein Broadcast, beispielsweise ein ARP-Request, über mehrere Wege weitergeleitet:
- SW2 empfängt den Broadcast
- SW2 sendet ihn an SW1 und SW3
- SW1 sendet ihn weiter an SW3
- SW3 sendet ihn wieder zurück
- Das wiederholt sich
Der Broadcast verschwindet nicht von selbst. Die Switches werden mit immer mehr Kopien belastet.
Ablauf mit STP #
- Alle Switches senden BPDUs.
- SW1 wird Root Bridge, etwa wegen der niedrigsten Priority.
- SW2 und SW3 bestimmen jeweils ihren besten Pfad zur Root.
- Der direkte Link zwischen SW2 und SW3 wird auf einer Seite blockiert.
- Der logische Baum ist nun schleifenfrei.
Ergebnis:
SW1
/ \
SW2 SW3
X----/
(blockiert)
Bedeutung #
Das Netz bleibt redundant, aber logisch stabil. Fällt etwa der Link SW1–SW2 aus, kann STP den bisher blockierten Link SW2–SW3 aktiv nutzen.
Lerneffekt #
Dieses Beispiel ist das Standardmodell zum Verständnis von STP:
Physische Redundanz bleibt erhalten, logische Schleifen werden entfernt.
7.2 Praxisbeispiel 2: Unerwartete Root Bridge durch fehlende Planung #
Ausgangssituation #
Ein Unternehmen hat mehrere Core- und Distribution-Switches. Niemand hat Root-Prioritäten manuell festgelegt. Ein neuer Switch wird eingebaut.
Ablauf #
- Der neue Switch hat zufällig eine günstigere Bridge ID als ein bestehender Verteilungsswitch.
- Nach dem Anschluss beginnen BPDU-Vergleiche.
- Der neue Switch wird Root Bridge.
- Plötzlich ändern viele andere Switches ihre Root Ports.
- Der Datenpfad im gesamten Netz verschiebt sich.
Folgen #
- Unerwartete Lastverteilung
- andere aktive/blockierte Links
- suboptimale Pfade
- mögliche Störungen während der Konvergenz
Warum ist das problematisch? #
Die Root Bridge sollte sich in der Regel nahe am logischen Zentrum des Netzes befinden, meist im Core oder in der Distribution. Wird ein Access-Switch zufällig Root, laufen Datenpfade potenziell ungünstig oder asymmetrisch.
Lerneffekt #
Die Root Bridge darf kein Zufallsprodukt sein.
Ein sauberes STP-Design definiert explizit:
- primäre Root
- sekundäre Root
7.3 Praxisbeispiel 3: Schleife durch unbedachten Anschluss eines Mini-Switches #
Ausgangssituation #
Ein Benutzer schließt unter seinem Schreibtisch einen kleinen unverwalteten Switch an. Zwei Dosen im Raum sind aktiv. Aus Bequemlichkeit verbindet er beide mit seinem Mini-Switch.
Ablauf #
- Beide Wanddosen enden an demselben Etagen-Switch oder in derselben Layer-2-Domäne.
- Der Mini-Switch verbindet die beiden Ports miteinander.
- Es entsteht eine Layer-2-Schleife.
- Broadcasts und Flooding nehmen zu.
- Teile des Netzwerks werden langsam oder unbenutzbar.
Wenn Schutz fehlt #
Ohne Schutzmechanismen wie:
- STP
- BPDU Guard
- Port Security
- sauber deaktivierte ungenutzte Ports
kann ein kleiner Fehler eines Nutzers große Auswirkungen haben.
Wenn PortFast + BPDU Guard aktiv sind #
Falls an echten Client-Ports unerwartet BPDUs auftauchen, kann der Port abgeschaltet werden. Das begrenzt den Schaden stark.
Lerneffekt #
Viele schwere Layer-2-Störungen sind keine komplexen Hackerangriffe, sondern banale Verkabelungsfehler.
7.4 Praxisbeispiel 4: Link-Ausfall und Failover #
Ausgangssituation #
Ein Access-Switch besitzt zwei Uplinks zu zwei Distribution-Switches. Einer ist aktiv, einer blockiert.
Access SW
| \
| \
Dist A Dist B
Normalbetrieb #
- Uplink zu Dist A = Root Port, Forwarding
- Uplink zu Dist B = Alternate/Blocked
Störung #
Der aktive Link zu Dist A fällt aus.
Reaktion #
Im klassischen STP:
- BPDU-Information des bisherigen Pfads fehlt
- Max-Age/Timer-Mechanismen greifen
- Alternativport wird schrittweise aktiviert
- Port durchläuft Zustände
- Danach Weiterleitung
Im RSTP:
- Ausfall wird schneller erkannt
- Alternate Port kann schneller übernehmen
- Konvergenz deutlich schneller
Bedeutung #
Genau hier zeigt sich der Wert von Redundanz plus STP. Ohne Redundanz wäre der Access-Switch isoliert. Ohne STP wäre die Redundanz gefährlich. Mit sauberem STP-Design ist sie nützlich.
7.5 Praxisbeispiel 5: Falscher Einsatz von PortFast auf Uplink #
Ausgangssituation #
Ein Administrator aktiviert PortFast großzügig auf vielen Ports, auch auf einem Switch-Uplink.
Problem #
PortFast bringt einen Port sehr schnell in Forwarding. Das ist für Endgeräteports sinnvoll, für Uplinks aber gefährlich.
Ablauf #
- Ein redundanter Uplink wird mit PortFast aktiv.
- STP-Absicherung wird auf diesem Port faktisch verkürzt oder umgangen.
- Bei Topologieänderungen kann kurzfristig unerwartete Weiterleitung entstehen.
- Im schlimmsten Fall führt eine Schleife zu massiver Störung.
Bedeutung #
PortFast ist kein allgemeiner Performance-Schalter, sondern eine gezielte Funktion für Edge-Ports.
Lerneffekt #
Beschleunigung ist nur dort sinnvoll, wo das Schleifenrisiko kontrolliert klein ist.
7.6 Praxisbeispiel 6: VLAN-reiche Umgebung mit MSTP #
Ausgangssituation #
Ein Campus-Netz hat 80 VLANs. Für jedes VLAN ein separater Spanning Tree wäre aufwendig.
Lösung #
VLANs werden in MST-Instanzen gruppiert:
- VLAN 10–29 → Instanz 1
- VLAN 30–49 → Instanz 2
- VLAN 50–79 → Instanz 3
Nutzen #
- bessere Skalierbarkeit
- weniger Protokollaufwand
- kontrolliertere Topologien pro VLAN-Gruppe
Voraussetzung #
Alle beteiligten Switches einer MST-Region müssen:
- dieselbe Region-Definition haben
- identisches VLAN-zu-Instanz-Mapping nutzen
Lerneffekt #
MSTP ist weniger eine Einsteigertechnologie als ein Werkzeug für große VLAN-Landschaften, in denen klassische Einzelbäume ineffizient werden.
8. Typische Probleme, Fehler und Missverständnisse #
8.1 „STP ist überflüssig, wenn das Netz schnell genug ist“ #
Falsch. Bandbreite löst keine Layer-2-Schleife. Eine Schleife erzeugt logisches Chaos, nicht nur Auslastung. Auch sehr schnelle Netze können durch Broadcast Storms unbrauchbar werden.
8.2 „Redundante Links erhöhen automatisch die Performance“ #
Bei klassischem STP oft nicht. Ein redundanter Link kann blockiert sein und im Normalbetrieb keinen Nutzverkehr tragen. Wer aktive Lastverteilung über mehrere Links will, braucht andere Mechanismen wie:
- Link Aggregation
- geeignete Layer-3-Designs
- moderne Fabric-Konzepte
8.3 „Wenn ein Link blockiert ist, ist er kaputt“ #
Nein. Ein blockierter STP-Port ist physisch meist in Ordnung. Er ist logisch deaktiviert, um Schleifen zu vermeiden.
8.4 „Die Root Bridge ist egal“ #
Nein. Die Root-Position beeinflusst:
- aktive Pfade
- blockierte Pfade
- Lastverteilung
- Fehlverhalten im Ausfallfall
Ein ungeplantes Root-Design erzeugt oft suboptimale Topologien.
8.5 „PortFast macht einfach alles schneller und ist deshalb überall gut“ #
Falsch. PortFast gehört auf Edge-Ports, nicht auf Switch-zu-Switch-Verbindungen.
8.6 „RSTP und klassisches STP sind praktisch gleich“ #
Sie verfolgen denselben Grundzweck, aber RSTP konvergiert deutlich schneller und arbeitet mit erweiterten Portrollen und Mechanismen. Im Betrieb ist der Unterschied sehr relevant.
8.7 „Wenn STP aktiv ist, sind Schleifen unmöglich“ #
Nicht ganz. STP schützt stark, aber Fehlkonfigurationen, inkompatible Geräte, Edge-Fälle oder Schutzlücken können trotzdem zu Problemen führen. Zudem kann eine Schleife entstehen, bevor STP sauber reagiert, wenn falsche Konfigurationen vorliegen.
8.8 „Topology Changes sind immer harmlos“ #
Viele häufige Topology Changes deuten auf Instabilität hin:
- flappende Links
- schlecht sitzende Kabel
- instabile SFPs
- fehlerhafte Geräte
- falsch konfigurierte PortFast-Ports
Ein Netz mit dauernden STP-Änderungen ist betrieblich verdächtig.
9. Sicherheit / Risiken #
9.1 BPDU-Manipulation #
Ein Angreifer oder fehlkonfigurierter Switch könnte BPDUs senden und versuchen, die Root Bridge zu werden. Damit ließe sich die Topologie beeinflussen.
Risiken #
- Umleitung von Verkehrswegen
- suboptimale oder schädliche Pfade
- Störungen durch Neuberechnung
Gegenmaßnahmen #
- Root Guard
- BPDU Guard
- Edge-Ports absichern
- unautorisierte Switches verhindern
9.2 Rogue Switches #
Ein „Rogue Switch“ ist ein unerlaubt angeschlossener Switch. Er kann:
- BPDUs senden
- Schleifen erzeugen
- Netzstruktur verändern
- weitere Geräte unerlaubt anbinden
Auch deshalb sind BPDU Guard und Port Security wichtige Begleitmaßnahmen.
9.3 Layer-2-Denial-of-Service durch Schleifen #
Absichtlich oder versehentlich erzeugte Schleifen sind eine Form des Denial of Service. Sie müssen nicht komplex sein. Ein einziges falsch gestecktes Kabel kann reichen.
9.4 Falsche Schutzmechanismen #
Auch Schutzmechanismen selbst können falsch eingesetzt werden:
- BPDU Guard auf falschen Ports
- fehlender Root Guard an kritischen Stellen
- keine klare Root-Planung
- unzureichende Dokumentation
Sicherheit im STP-Kontext bedeutet nicht nur „mehr Features aktivieren“, sondern ein sauberes Gesamtdesign.
10. Vergleich mit ähnlichen Technologien #
10.1 STP vs. RSTP #
| Merkmal | STP (802.1D) | RSTP (802.1w) |
|---|---|---|
| Grundzweck | Schleifenvermeidung | Schleifenvermeidung |
| Konvergenz | relativ langsam | deutlich schneller |
| Zustände | Blocking, Listening, Learning, Forwarding | Discarding, Learning, Forwarding |
| Portrollen | klassisch | erweitert, z. B. Alternate |
| Praxis | Legacy / Grundlagen | moderner Standard |
RSTP ist in vielen realen Netzen die bevorzugte Weiterentwicklung.
10.2 STP vs. Link Aggregation #
Link Aggregation bündelt mehrere physische Leitungen zu einem logischen Link. Das kann:
- Bandbreite erhöhen
- Redundanz bieten
Aber:
- Es löst nicht allgemein das gesamte Schleifenproblem im Netz
- Es funktioniert nur für bewusst gebündelte Links zwischen Geräten
STP hingegen betrachtet die gesamte Layer-2-Topologie.
10.3 STP vs. Routing auf Layer 3 #
Layer-3-Designs mit Routing vermeiden viele klassische Layer-2-Probleme, weil Routing-Schleifen anders behandelt werden und IP-Pakete TTL besitzen.
Das bedeutet aber nicht, dass STP überall bedeutungslos wird. Solange Layer-2-Domänen mit Redundanz existieren, bleibt STP relevant.
10.4 STP vs. moderne Fabric-Ansätze #
In modernen Rechenzentren werden teilweise Alternativen oder Ergänzungen genutzt, die Mehrpfadnutzung auf Layer 2 oder Overlay-Ebenen besser ermöglichen. Solche Designs reduzieren oft die klassischen Nachteile von STP.
Trotzdem bleibt STP in sehr vielen Unternehmens-, Campus-, Industrie- und Legacy-Umgebungen unverzichtbar und muss verstanden werden.
11. Praxis-Teil (Befehle, Tools, reale Anwendungsszenarien) #
Die konkrete Syntax hängt vom Hersteller ab. Die folgenden Beispiele orientieren sich an gängigen CLI-Konzepten aus Cisco-ähnlichen Umgebungen. Die Grundidee ist aber herstellerübergreifend relevant.
11.1 STP-Status anzeigen #
show spanning-tree
Dieser Befehl zeigt typischerweise:
- Root Bridge
- eigene Bridge-ID
- Portrollen
- Portzustände
- Kosten
- Timer
Wofür ist das wichtig? #
Das ist fast immer der erste Befehl bei STP-Analyse. Man erkennt sofort:
- Bin ich Root?
- Welcher Port ist Root Port?
- Welche Ports blockieren?
- Gibt es unerwartete Rollen?
11.2 STP pro VLAN prüfen #
In VLAN-basierten Umgebungen:
show spanning-tree vlan 10
Hilft zu verstehen:
- gilt die gleiche Root für dieses VLAN?
- ist die Topologie pro VLAN anders?
- blockiert ein anderer Port als erwartet?
11.3 Root Bridge prüfen #
Ein nützlicher Blick ist immer:
- welcher Switch ist Root?
- ist das der geplante Switch?
Viele reale Störungen beginnen mit der Erkenntnis:
„Warum ist ausgerechnet dieser Access-Switch Root geworden?“
11.4 Beispiel: Root Bridge festlegen #
Beispielhafte Konfiguration auf einem gewünschten Core-Switch:
spanning-tree vlan 10,20,30 priority 4096
Oder auf manchen Plattformen komfortabler:
spanning-tree vlan 10,20,30 root primary
Für einen zweiten Switch:
spanning-tree vlan 10,20,30 root secondary
Bedeutung #
Damit legt man:
- primäre Root
- sekundäre Backup-Root
explizit fest.
11.5 PortFast konfigurieren #
interface GigabitEthernet0/10
spanning-tree portfast
Einsatz #
Nur auf Ports zu Endgeräten, z. B.:
- PC
- Drucker
- IP-Telefon mit definiertem Edge-Verhalten
- einzelne Server-Endports je nach Design
11.6 BPDU Guard konfigurieren #
interface GigabitEthernet0/10
spanning-tree portfast
spanning-tree bpduguard enable
Bedeutung #
- Port startet schnell für Endgerät
- wenn doch eine BPDU auftaucht, ist das verdächtig
- der Port wird geschützt abgeschaltet
Sehr sinnvolle Praxismaßnahme für Client-Ports.
11.7 Root Guard konfigurieren #
interface GigabitEthernet0/24
spanning-tree guard root
Typischer Einsatzzweck #
Ein Downstream-Switch soll nie Root werden dürfen. Root Guard verhindert, dass dort bessere BPDUs das gewünschte Design verdrängen.
11.8 Troubleshooting-Szenario: Netzwerk langsam nach Umbau #
Symptome #
- Nutzer melden Verbindungsabbrüche
- Pings sind instabil
- Switch-CPU ist hoch
- MAC-Adressen tauchen an wechselnden Ports auf
Denkbarer Prüfpfad #
show spanning-tree- Prüfen, ob Root unerwartet gewechselt hat
- Prüfen, ob Ports blockieren wie geplant
- Logs auf STP- oder Topology-Change-Ereignisse untersuchen
- Interface-Status kontrollieren
- MAC-Adress-Tabelle auf Flapping prüfen
- Physische Verkabelung kontrollieren
Typischer Befund #
Nach Umbauten oder Patcharbeiten wurde unabsichtlich eine Schleife erzeugt oder ein neuer Switch hat Root übernommen.
11.9 Troubleshooting-Szenario: Uplink blockiert „grundlos“ #
Beobachtung #
Ein Uplink ist up, aber STP zeigt ihn als blocking/discarding.
Erklärung #
Das ist nicht automatisch ein Fehler. Vielmehr verhindert STP möglicherweise korrekt eine Schleife.
Wichtige Frage #
Sollte dieser Link laut Design aktiv oder Reserve sein?
Hier zeigt sich, warum gute Dokumentation wichtig ist. Ohne Soll-Topologie ist schwer zu unterscheiden, ob STP korrekt oder unerwartet handelt.
11.10 Nützliche Zusatzbefehle #
Je nach Plattform hilfreich:
show interfaces status
show logging
show mac address-table
show cdp neighbors
show lldp neighbors
Nutzen #
- physischer Linkstatus
- Fehlermeldungen
- MAC-Flapping
- Nachbarschaftserkennung
- Verifikation der Verkabelung
11.11 Wireshark und BPDU-Analyse #
Mit einem Mitschnitt lassen sich BPDUs sichtbar machen. Das ist besonders wertvoll, wenn man verstehen will:
- welche Root angekündigt wird
- welche Bridge BPDUs sendet
- wie Timer und Flags aussehen
- ob unerwartete Geräte STP-Informationen einspeisen
Praktischer Nutzen #
In hartnäckigen Fehlerfällen kann ein BPDU-Mitschnitt aufdecken:
- Rogue Switches
- unerwartete Root-Wechsel
- Protokollinkompatibilitäten
- fehlende oder asymmetrische BPDU-Übertragung
11.12 Design-Empfehlungen aus der Praxis #
Ein sauberes STP-Design beinhaltet meist:
- Root Bridge bewusst festlegen
- Secondary Root definieren
- Edge-Ports mit PortFast versehen
- Edge-Ports mit BPDU Guard absichern
- Root Guard an passenden Downstream-Stellen einsetzen
- Trunks und Uplinks dokumentieren
- Layer-2-Domänen nicht unnötig groß machen
- Topology-Changes überwachen
- RSTP oder geeignete moderne Variante bevorzugen
- VLAN- und STP-Design gemeinsam planen
12. Fazit #
Das Spanning Tree Protocol ist ein zentrales Schutz- und Kontrollprotokoll für redundante Layer-2-Netze. Es löst ein Problem, das auf den ersten Blick paradox wirkt: Redundanz ist notwendig, kann aber ohne Steuerung das Netzwerk zerstören. STP macht diese Redundanz nutzbar, indem es aus einer physisch vermaschten oder mehrfach angebundenen Struktur einen logisch schleifenfreien Baum erzeugt.
Die wichtigsten fachlichen Kernaussagen lauten:
- Layer-2-Schleifen sind hochgefährlich, weil Ethernet keine TTL wie IP besitzt.
- STP verhindert Schleifen, indem es redundante Pfade selektiv blockiert.
- Die Root Bridge ist das logische Zentrum des Baums und muss bewusst geplant werden.
- Root Ports, Designated Ports und blockierte Ports bestimmen die aktive Topologie.
- Klassisches STP ist robust, aber relativ langsam.
- RSTP verbessert die Konvergenz erheblich.
- Schutzmechanismen wie PortFast, BPDU Guard, Root Guard und Loop Guard sind in der Praxis äußerst wichtig.
- Viele Netzprobleme rund um STP sind keine Theorie, sondern reale Betriebsfehler durch Fehlverkabelung, ungeplante Root-Wahlen oder unsaubere Edge-Port-Konfiguration.
Wer STP wirklich verstanden hat, erkennt, dass es nicht einfach nur „ein altes Switch-Protokoll“ ist, sondern ein grundlegender Mechanismus zur Stabilisierung redundanter Ethernet-Strukturen. Selbst in modernen Netzwerken, die teilweise stärker auf Layer 3 oder Fabric-Konzepte setzen, bleibt STP in vielen realen Umgebungen operativ relevant. Ein solides Verständnis davon gehört deshalb zum Pflichtwissen jeder ernsthaften Netzwerkdokumentation und jedes professionellen Netzwerkbetriebs.