Spanning Tree Protocol

Das Spanning Tree Protocol ver­hin­dert Broadcast-Stürme und andere Störungen der Kom­mu­ni­ka­ti­on in einem Netzwerk. Die ver­gleichs­wei­se lange Aus­fall­zeit, die durch die Neu­struk­tu­rie­rung des na­mens­ge­ben­den Spann­baums entsteht, macht das Verfahren al­ler­dings anfällig für Angriffe.

Das Spanning Tree Protocol (kurz: STP) ist ein Verfahren, das in Ethernet-Netz­wer­ken ein­ge­setzt wird und dort die Bildung doppelter Frames ver­hin­dert. STP wurde von der US-ame­ri­ka­ni­schen Netz­werk­tech­ni­ke­rin und Software-Ent­wick­le­rin Radia Perlman erfunden und 1990 vom Institute of Elec­tri­cal and Elec­tro­nics Engineers (IEEE) als Standard 802.1D fest­ge­legt. Indem es das Netzwerk auf red­un­dan­te Pfade prüft und diese ab­schal­tet, ver­hin­dert das Spanning Tree Protocol, dass zwei oder mehr parallele Frames entstehen. Denn dies würde bei­spiels­wei­se zu Schleifen führen. Das Verfahren spannt das phy­si­ka­li­sche Netzwerk zu einem Baum auf, der ohne mehrfache Ver­bin­dun­gen zwischen Quelle und Ziel auskommt.

Das Problem, das das Spanning Tree Protocol behebt, entsteht, wenn zwischen zwei Switches in einem Netzwerk mehrere gleich­zei­ti­ge Da­ten­pfa­de entstehen. Gibt es mehrere Frames, über die Da­ten­pa­ke­te geleitet werden können, kann dies zu einem Fehl­ver­hal­ten des gesamten Systems führen. Eine mögliche Kon­se­quenz, die durch zwei oder mehr gleich­zei­ti­ge Pfade zwischen zwei Punkten entsteht, ist der so­ge­nann­te Broadcast-Sturm. Dabei wird der gesamte Broadcast- oder Multicast-Verkehr in einem Netzwerk gleich­zei­tig über­tra­gen und angehäuft, was zu einem Schnee­ball­ef­fekt führen kann und im schlimms­ten Fall die gesamte Kom­mu­ni­ka­ti­on lahmlegt. Mit Hilfe eines Spanning Tree Protocols wird dies ver­hin­dert, und das Netzwerk bleibt intakt.

Um si­cher­zu­stel­len, dass es zu keinen doppelten Frames kommen kann, etabliert das Spanning Tree Protocol einen Spannbaum (engl. spanning tree). In diesem findet die Ver­bin­dung zwischen zwei Punkten innerhalb des Netzwerks nur über einen einzigen Weg statt. Zudem wird die jeweils best­mög­li­che Ver­bin­dung über diese Methode gefunden. Sollte jedoch ein Frame ausfallen oder durch eine Störung be­ein­träch­tigt werden, wird der Spannbaum durch das Spanning Tree Protocol schnellst­mög­lich neu­or­ga­ni­siert und ein neuer Ver­bin­dungs­pfad geöffnet. So kommt es höchstens zu geringen Ver­zö­ge­run­gen, und die Ver­bin­dung zwischen den einzelnen Switches bleibt bestehen.

Die Kom­mu­ni­ka­ti­on zwischen zwei Switches oder Bridges innerhalb eines Netzwerks findet beim Spanning Tree Protocol über Bridge Protocol Data Units (BPDU) statt. Diese werden in sehr kurzen Abständen aus­ge­tauscht und als Multicast-Frames an die MAC-Adresse 01-80-C2-00-00-10 gesendet. Alle zwei Sekunden erfolgt eine solche Über­mitt­lung an die jeweils nächst- und tie­fer­ge­le­ge­ne Bridge. So erhält das Spanning Tree Protocol nicht nur eine Übersicht über alle ver­füg­ba­ren Wege, sondern kann gleich­zei­tig auch die schnells­te Ver­bin­dung ermitteln. Hierfür spielen ins­be­son­de­re die Datenrate und die Ent­fer­nung zwischen zwei Punkten eine ent­schei­den­de Rolle. Ist der beste Weg ermittelt, werden die übrigen Ports bis auf Weiteres de­ak­ti­viert.

Diese Neu­be­rech­nung und die damit ein­her­ge­hen­de längere Aus­fall­zeit sind leider ein Ein­falls­tor für Angriffe auf das Netzwerk. Wird ein falsches Frame ein­ge­speist und vom System nicht ab­ge­blockt, kann dadurch eine Neu­or­ga­ni­sa­ti­on ausgelöst werden, die das Netzwerk für 30 Sekunden oder länger außer Kraft setzen würde. Aus diesem Grund wurde 2003 das Rapid Spanning Tree Protocol (IEEE 802.1w) ent­wi­ckelt. Dieses ist ab­wärts­kom­pa­ti­bel und sorgt dafür, dass die aktuelle Struktur des Netzwerks so lange aufrecht gehalten wird, bis die aus­ge­fal­le­ne Strecke ersetzt wurde. Erst dann wird der Baum neu­struk­tu­riert. Diese Um­stel­lung dauert nur etwa eine Sekunde.

Beim Spanning Tree Protocol wird zwischen insgesamt fünf Port­zu­stän­den un­ter­schie­den. Dies beugt der Ent­ste­hung einer Schleife vor und sorgt außerdem dafür, dass keinerlei In­for­ma­tio­nen zur Baum­to­po­lo­gie verloren gehen. Die einzelnen Zustände sind folgende:

• For­war­ding: Ports, die als for­war­ding gelistet sind, können Frames wei­ter­lei­ten, Adressen lernen und Bridge Protocol Data Units empfangen, ver­ar­bei­ten und über­tra­gen.
• Blocking: Ports, die auf blocking stehen, verwerfen zwar Frames und lernen keine Adressen, empfangen und ver­ar­bei­ten dafür aber Bridge Protocol Data Units.
• Listening: Listening Ports verwerfen Frames, lernen keine Adressen, empfangen, ver­ar­bei­ten und über­tra­gen al­ler­dings Bridge Protocol Data Units.
• Learning: Learning Ports verwerfen zwar Frames, lernen aber Adressen und empfangen, ver­ar­bei­ten und über­tra­gen Bridge Protocol Data Units.
• Disabled: Ports, die auf disabled gestellt sind, verwerfen Frames, lernen keine Adressen und können Bridge Protocol Data Units weder empfangen noch ver­ar­bei­ten.

Ist das Spanning Tree Protocol aktiviert, durch­läuft jeder Port die Zustände Blocking, Listening, Learning und For­war­ding hin­ter­ein­an­der.

Im ersten Schritt wird beim Spanning Tree Protocol eine Root Bridge aus­ge­wählt, die als Aus­gangs­punkt für den Spannbaum fungiert. Von dort werden dann die einzelnen Pfade ausgebaut, indem der Al­go­rith­mus Ports aktiviert oder de­ak­ti­viert. Nur über die Root Bridge können auch Ein­stel­lun­gen verändert und die folgenden Timer neu justiert werden.

• Hello-Timer: Dieser Timer definiert den Zeitraum zwischen zwei Bridge Protocol Data Units, in der Regel zwei Sekunden.
• Forward-Delay: Der zweite Timer bestimmt die Zeit in den Zuständen Listening und Learning, die zusammen 30 Sekunden beträgt.
• Maximum Age: Der dritte Timer nennt sich Maximum Age und gibt an, wie lange ein Port die Kon­fi­gu­ra­ti­ons­in­for­ma­tio­nen verwahrt. Dieser Wert beträgt stan­dard­mä­ßig 20 Sekunden.

Der große Vorteil des Spanning Tree Protocols ist die Ver­mei­dung von Über­las­tun­gen oder Störungen innerhalb eines Netzwerks. Schleifen werden aus­ge­schlos­sen und parallele Strecken so vermieden. Auch die Iden­ti­fi­ka­ti­on der kürzesten Ver­bin­dung ist ein Vorteil für das Netzwerk. Nach­tei­lig am Spanning Tree Protocol ist seine ver­gleichs­wei­se lange Kon­ver­genz­zeit, die An­grei­fen­den in die Karten spielt. Durch die Ein­füh­rung des Rapid Spanning Tree Protocols und dessen Wei­ter­ent­wick­lung Multiple Spanning Tree Protocol, bei der innerhalb eines LANs mehrere un­ab­hän­gi­ge Spann­bäu­me erstellt werden können, werden diese Aus­fall­zei­ten al­ler­dings minimiert. Dies schützt das Netzwerk vor even­tu­el­len Angriffen.