Das Spanning Tree Protokoll

Was genau ist das Spanning Tree Protokoll?

Das Spanning Tree Protokoll, kurz STP, wurde 1990 in der IEEE-Norm 802.1.D standardisiert.Es arbeitet auf Layer 2 des OSI-Schichtenmodells (Data-Link-Layer) und verhindert sogenannte Schleifen, die durch erforderliche Redundanz in einem Netzwerk aufkommen.

Eine Redundanz in einem Netzwerk ist wichtig, um die Ausfallsicherheit zu erhöhen. Dafür bringt sie aber auch Nachteile wie beispielsweise Broadcast-Stürme mit sich. Somit spielen Spanning Tree Protokolle eine wichtige Rolle in der IT-Security.

Was sind Broadcast-Stürme und was haben
diese mit dem Spanning Tree Protokoll zu tun?

Broadcast-Frames werden von Switches an alle möglichen Ports weitergeleitet. Besitzen die Switches zudem redundante Verbindungen, enden diese gesendeten Frames ohne den Einsatz des Spanning Tree Protokolls in einer Endlosschleife (Endless-Loop/Netzwerk-Loop/Switching-Loop). Das Netzwerk wird dadurch extrem ausgelastet und der normal laufende Betrieb des Netzwerkes kann so nicht mehr gewährleistet werden.

Um dennoch die Ausfallsicherheit eines Netzwerkes gewährleisten zu können bzw. zu erhöhen, sind redundante Verbindungen notwendig. Dank des Spanning Tree Protokolls können die Nachteile, die redundante Verbindungen mit sich bringen, beseitigt werden.

Wie funktioniert das Spanning Tree Protokoll?

Mithilfe des STP-Algorithmus kann eine sogenannte Root-Bridge ausgewählt werden. Wie vorher schon kurz erwähnt, stammt das Spanning Tree Protokoll aus dem Anfang der 90er Jahre. In dieser Zeit waren Switches noch nicht so verbreitet. Man arbeitete stattdessen mit sogenannten Bridges. Die Auswahl der Root-Bridge erfolgt über die sogenannte Bridge-ID, die folgende Informationen erhält:

  • Priorität (4 Bit)
  • der Extendes System ID (12 Bit) -> VLAN-ID
  • MAC-Adresse (48 Bit)

Der Switch mit der höchsten/besten Priorität (niedrigste Wert) wird zur Root-Bridge ernannt. Es kann jedoch auch durchaus vorkommen, dass mehrere Switches die gleiche Priorität besitzen. Dann gilt laut dem Spanning Tree Protokoll: wer die „kleinste“ Wertigkeit der MAC-Adresse vorweisen kann, gewinnt den Vergleich. Durch die Bestimmung der Root-Bridge wird also sichergestellt, dass gesendete Frames nur einen Weg nehmen, den über die Root-Bridge.

Zudem müssen gemäß dem Spanning Tree Protokoll verschiedenste Port-Rollen vergeben werden, unter anderem solche,  die den Datenverkehr entweder durchlassen oder blockieren. Dabei ist unter folgenden Switch-Port Bezeichnungen zu unterscheiden:

Das Spanning Tree Protokoll

Root Port:

Dieser Port beschreibt den kürzesten Weg zur Root-Bridge. Jeder Switch (bis auf die Root-Bridge), weist diese Rolle genau einem Port zu. Dies ist ein Forwarding Port. Er leitet Datenpakete weiter.

Designated Port:

Diese Ports sind alle “Nicht-Root-Ports”, welche den Netzwerkverkehr weiterleiten. Endet also die Verbindung auf einem Root-Port, so ist am anderen Ende das zu finden, was man als einen “Designated Port” bezeichnet. Die Root-Bridge verfügt ausschließlich über Designated Ports. Auch hierbei handelt es sich um einen Forwarding Port.

Alternate Port / Backup Port:

Diese Ports sind im Blocking oder Discarding Modus. Sie entstehen, wenn zwei Designated Ports miteinander verbunden sind. Bei diesen Verbindungen wird eine Seite zum Alternate – und der andere bleibt ein Designated Port.

Disabled Port:

Diese Ports sind am Switch deaktiviert und leiten keinen Netzwerkverkehr weiter.

Die Ports durchlaufen während des Spanning Tree Protokolls unterschiedliche Status, bis sie ihre endgültige Rolle haben.

Funktion

802.1D STP

802.1w RSTP

Administrativ aus

Disabled

Disabled

Durch STP deaktiviert

BPDU werden akzeptiert

Blocking

Discarding

Kein „Nutzdatenverkehr“

Listening

Discarding

Kein „Nutzdatenverkehr”

MAC Tabelle wird gefüllt

Learning

Learning

Normale Funktion

Forwarding

Forwarding

Du hast einen Sicherheitsvorfall in Deinem Unternehmen?
Vertraue bei Auffälligkeiten unseren zertifizierten IT Forensikern.
Jetzt Kontakt aufnehmen

Wie funktioniert der Algorithmus des Spanning Tree Protokolls?

Der Algorithmus ist nach dem IEEE 802.1D definiert und gibt folgende Portgeschwindigkeiten an:

Geschwindigkeit 802.1D-1998 (STP) Cost 802.1D-2004 (RSTP) Cost
10 Mbit/s 100 2.000.000
100 Mbit/s 19 200.000
1 Gbit/s 4 20,000
10 Gbit/s 2 2,000
100 Gbits N/A 200
Die Prioritäten (Cost) werden dabei einheitslos angegeben.

Identifizierung der Root-Bridge

Um Anfangs in einem Netzwerk zu erkennen, welcher Switch die Rolle der Root-Bridge übernimmt, tauschen alle Switches gemäß dem Spanning Tree Protokoll untereinander sogenannte Bridge Protocol Data Unit -Frames (BPDU) aus. In dieser BPDU ist die Bridge-ID sowie die Root-ID enthalten. Dabei ist die Root-ID (bestehend aus 6 Bit) anfangs immer die gleiche, wie die Bridge-ID. Die Bridge-ID setzt sich, wie im obigen Abschnitt erklärt, aus der Priorität sowie der MAC-Adresse zusammen.

Die Switches vergleichen im Zuge des Spanning Tree Porotkolls untereinander die empfangenen Bridge-IDs. Sollten diese kleiner sein, so aktualisiert der Switch die Root-ID des empfangenen Frames mit seiner eigenen. Zudem werden die Switchports angepasst. So entstehen neue Root-Ports, Designated-Ports sowie Blocked-Ports.

Dabei kann die Priorität zwischen 0-61440 variieren. Der häufigste Standard ist 32768. Die gültigen Prioritätswerte sind 0 oder Vielfache von 4096. Je niedriger die Zahl, desto wahrscheinlicher wird der Switch als Root-Bridge ausgewählt.

Die Priorität setzt sich aus den Kosten (Cost) zusammen (einheitslos) sowie der VLAN-ID (12 Bit). Es sind also 2^12 = 4096 VLANs möglich.

Der Algorithmus wird beim Spanning Tree Protokoll so lange durchlaufen, bis die Root-Bridge ermittelt werden konnte und die Ports dementsprechend konfiguriert wurden. So lange fließen keine Daten.

 

Du möchtest dich weiter bei IT-Sicherheitsprofis informieren?
Ruf uns einfach an oder nutze unser Kontaktformular!
Zum Kontakt
Spanning Tree Protokoll

Wie man sieht, gibt es eine Menge beim Spanning Tree Protokoll zu beachten und zu verstehen. Sind Sie sich noch immer unsicher und hätten gern weitere Informationen zum Spanning Tree Protokoll? Dann zögern Sie nicht und kontaktieren Sie uns. Wir beantworten Ihre Fragen gern.

ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.