Das Spanning Tree Protokoll

Inhaltsverzeichnis

Was genau ist das Spanning Tree Protokoll?

Das Spanning Tree Protokoll, kurz STP, wurde 1990 in der IEEE-Norm 802.1.D standardisiertEs arbeitet auf Layer 2 des OSI-Schichtenmodells (Data-Link-Layer) und verhindert sogenannte Schleifen, die durch erforderliche Redundanz in einem Netzwerk aufkommen.

Eine Redundanz in einem Netzwerk ist wichtig, um die Ausfallsicherheit zu erhöhen. Dafür bringt sie aber auch Nachteile wie beispielsweise Broadcast-Stürme mit sich. Somit spielen Spanning Tree Protokolle eine wichtige Rolle in der IT-Security.

Was sind Broadcast-Stürme und was haben
diese mit dem Spanning Tree Protokoll zu tun?

Broadcast-Frames werden von Switches an alle möglichen Ports weitergeleitet. Besitzen die Switches zudem redundante Verbindungen, enden diese gesendeten Frames ohne den Einsatz des Spanning Tree Protokolls in einer Endlosschleife (Endless-Loop/ Netzwerk-Loop/ Switching-Loop). Das Netzwerk wird dadurch extrem ausgelastet und der normal laufende Betrieb des Netzwerkes kann so nicht mehr gewährleistet werden.

Um dennoch die Ausfallsicherheit eines Netzwerkes gewährleisten zu können bzw. zu erhöhen, sind redundante Verbindungen notwendig. Dank des Spanning Tree Protokolls können die Nachteile, die redundante Verbindungen mit sich bringen, beseitigt werden.

Wie funktioniert das Spanning Tree Protokoll?

Auswahl der Root-Bridge

Mithilfe des STP-Algorithmus kann eine sogenannte Root-Bridge ausgewählt werden. Wie bereits erwähnt, stammt das Spanning Tree Protokoll aus dem Anfang der 90er Jahre. In dieser Zeit waren Switches noch nicht so verbreitet. Man arbeitete stattdessen mit sogenannten Bridges. Die Auswahl der Root-Bridge erfolgt über die sogenannte Bridge-ID, die folgende Informationen erhält:

  • Priorität (4 Bit)
  • der Extendes System ID (12 Bit) -> VLAN-ID
  • MAC-Adresse (48 Bit)

Der Switch mit der höchsten/ besten Priorität (niedrigste Wert) wird zur Root-Bridge ernannt. Es kann jedoch durchaus vorkommen, dass mehrere Switches die gleiche Priorität besitzen. Dann gilt laut dem Spanning Tree Protokoll: Wer die „kleinste“ Wertigkeit der MAC-Adresse vorweisen kann, gewinnt den Vergleich. Durch die Bestimmung der Root-Bridge wird also sichergestellt, dass gesendete Frames nur einen Weg nehmen: den über die Root-Bridge.

Port-Rollen

Zudem müssen gemäß Spanning Tree Protokoll verschiedenste Port-Rollen vergeben werden – unter anderem solche, die den Datenverkehr entweder durchlassen oder blockieren. Dabei werden folgende Switch-Port Bezeichnungen unterschieden:

Das Spanning Tree Protokoll

Root Port

Dieser Port beschreibt den kürzesten Weg zur Root-Bridge. Jeder Switch (bis auf die Root-Bridge) weist diese Rolle genau einem Port zu. Dies ist ein Forwarding Port. Er leitet Datenpakete weiter.

Designated Port

Diese Ports sind alle „Nicht-Root-Ports“, welche den Netzwerkverkehr weiterleiten. Endet also die Verbindung auf einem Root-Port, so ist am anderen Ende das zu finden, was man als einen „Designated Port“ bezeichnet. Die Root-Bridge verfügt ausschließlich über Designated Ports. Auch hierbei handelt es sich um einen Forwarding Port.

Alternate Port / Backup Port

Diese Ports sind im Blocking oder Discarding Modus. Sie entstehen, wenn zwei Designated Ports miteinander verbunden sind. Bei diesen Verbindungen wird eine Seite zum Alternate und der andere bleibt ein Designated Port.

Disabled Port

Diese Ports sind am Switch deaktiviert und leiten keinen Netzwerkverkehr weiter.

Status der Ports im Spanning Tree Protokoll

Die Ports durchlaufen während des Spanning Tree Protokolls unterschiedliche Status, bis sie ihre endgültige Rolle haben.

Funktion

802.1D STP

802.1w RSTP

Administrativ aus

Disabled

Disabled

Durch STP deaktiviert

BPDU werden akzeptiert

Blocking

Discarding

Kein „Nutzdatenverkehr“

Listening

Discarding

Kein „Nutzdatenverkehr”

MAC Tabelle wird gefüllt

Learning

Learning

Normale Funktion

Forwarding

Forwarding

Du hast einen Sicherheitsvorfall in Deinem Unternehmen?
Vertraue bei Auffälligkeiten unseren zertifizierten IT Forensikern.
Jetzt Kontakt aufnehmen

Wie funktioniert der Algorithmus des Spanning Tree Protokolls?

Port-Geschwindigkeiten und -Prioritäten (Costs)

Der Algorithmus ist nach dem IEEE 802.1D definiert und gibt folgende Portgeschwindigkeiten an:

Geschwindigkeit802.1D-1998 (STP) Cost802.1D-2004 (RSTP) Cost
10 Mbit/s1002.000.000
100 Mbit/s19200.000
1 Gbit/s420,000
10 Gbit/s22,000
100 GbitsN/A200
Die Prioritäten (Cost) werden dabei einheitslos angegeben.

Identifizierung der Root-Bridge

Um anfangs in einem Netzwerk zu erkennen, welcher Switch die Rolle der Root-Bridge übernimmt, tauschen alle Switches gemäß dem Spanning Tree Protokoll untereinander sogenannte „Bridge Protocol Data Unit“-Frames (BPDU) aus. In dieser BPDU ist die Bridge-ID sowie die Root-ID enthalten. Dabei ist die Root-ID (bestehend aus 6 Bit) anfangs immer die gleiche wie die Bridge-ID. Die Bridge-ID setzt sich, wie im obigen Abschnitt erklärt, aus der Priorität sowie der MAC-Adresse zusammen.

Die Switches vergleichen im Zuge des Spanning Tree Porotkolls untereinander die empfangenen Bridge-IDs. Sollten diese kleiner sein, so aktualisiert der Switch die Root-ID des empfangenen Frames mit seiner eigenen. Zudem werden die Switchports angepasst. So entstehen neue Root-Ports, Designated-Ports sowie Blocked-Ports.

Dabei kann die Priorität zwischen 0 und 61440 variieren. Der häufigste Standard ist 32768. Die gültigen Prioritätswerte sind 0 oder Vielfache von 4096. Je niedriger die Zahl, desto wahrscheinlicher wird der Switch als Root-Bridge ausgewählt.

Die Priorität setzt sich aus den Kosten (Cost) zusammen (einheitslos) sowie der VLAN-ID (12 Bit). Es sind also 2^12 = 4096 VLANs möglich.

Der Algorithmus wird beim Spanning Tree Protokoll so lange durchlaufen, bis die Root-Bridge ermittelt werden konnte und die Ports dementsprechend konfiguriert wurden. So lange fließen keine Daten.

 

Spanning Tree Protokoll

Wie man sieht, gibt es eine Menge beim Spanning Tree Protokoll zu beachten und zu verstehen. Sind Sie sich noch immer unsicher und hätten gern weitere Informationen zum Spanning Tree Protokoll? Dann zögern Sie nicht und kontaktieren Sie uns. Wir beantworten Ihre Fragen gerne.

Sie möchten sich bei IT-Sicherheitsprofis informieren?
Rufen Sie uns einfach an oder nutzen SIe unser Kontaktformular!
Zum Kontakt
ANDERE BEITRÄGE

Inhaltsverzeichnis

Willst Du Teil unseres Teams werden?