JNCIS-ENT STP Protection Mechanisms

02.07.2026 5 Min. Lesezeit

BPDU Protection, Root Protection und Loop Protection in Junos

Einleitung

Das Spanning Tree Protocol (STP) und Rapid Spanning Tree Protocol (RSTP) schützen Netzwerke vor Layer-2-Schleifen. In der Praxis reicht dies jedoch häufig nicht aus.

Viele Netzwerkstörungen entstehen nicht durch fehlerhafte STP-Berechnungen, sondern durch:

  • falsch angeschlossene Switches
  • nicht autorisierte Geräte
  • Fehlkonfigurationen
  • Verkabelungsfehler
  • versehentlich erzeugte Schleifen

Aus diesem Grund bieten moderne Enterprise-Switches zusätzliche Schutzmechanismen.

Juniper EX-Switches unterstützen verschiedene STP-Protection-Features, die regelmäßig Bestandteil der JNCIS-ENT-Prüfung sind.

JNCIS-ENT Prüfungsrelevanz

Für die Prüfung solltest du folgende Mechanismen kennen:

  • BPDU Protection
  • Root Protection
  • Loop Protection
  • Edge Ports
  • Auswirkungen einer BPDU
  • Typische Einsatzszenarien
  • Junos-Konfiguration
  • Troubleshooting

Viele Prüfungsfragen beschreiben lediglich ein Netzwerkproblem und fragen nach dem passenden Schutzmechanismus.

Warum zusätzliche Schutzmechanismen notwendig sind

Betrachten wir einen typischen Access-Switch:

      Access Switch
      ├── PC
      ├── Drucker
      ├── Telefon
      └── Notebook

Die Annahme:

Alle angeschlossenen Geräte sind Endgeräte.

Doch was passiert, wenn jemand einen kleinen Switch anschließt?

      Access Switch
      Fremder Switch

Plötzlich empfängt der Access-Port BPDUs.

Dies kann die gesamte STP-Topologie beeinflussen.

Genau hier greifen die Protection-Mechanismen.

BPDU Protection

Was ist eine BPDU?

BPDU steht für:

Bridge Protocol Data Unit

Diese Nachrichten werden von STP und RSTP verwendet, um:

  • Root Bridges zu wählen
  • Topologien zu berechnen
  • Pfade zu bestimmen

Normale Endgeräte senden keine BPDUs.

Problem

Ein Port ist als Edge Port konfiguriert:

PC
Edge Port
Switch

Jemand ersetzt den PC durch einen Switch:

Switch
Edge Port
Switch

Nun erscheinen unerwartet BPDUs.

Funktion von BPDU Protection

BPDU Protection überwacht Edge Ports.

Sobald eine BPDU empfangen wird:

BPDU erkannt
Port wird deaktiviert

Dadurch wird verhindert, dass fremde Switches Einfluss auf die STP-Topologie nehmen.

JNCIS-ENT Merksatz

Ein Edge Port sollte niemals BPDUs empfangen.

Wenn doch, liegt meist eine Fehlverkabelung oder ein unerlaubter Switch vor.

Beispiel in Junos

Globale Aktivierung:

set protocols rstp bpdu-block-on-edge

Interface-spezifisch:

set protocols rstp interface ge-0/0/10 edge

Wird eine BPDU erkannt:

Port Disabled

Typische Prüfungsfrage

Ein Access-Port verbindet normalerweise einen PC.

Nach Anschluss eines kleinen Switches wird der Port automatisch deaktiviert.

Welcher Mechanismus ist verantwortlich?

Antwort:

BPDU Protection

Root Protection

Das Problem

In einem Enterprise-Netzwerk existiert normalerweise eine gewünschte Root Bridge.

Beispiel:

Core Switch
Priority 4096

Access-Switch:

Priority 32768

Der Core-Switch wird Root Bridge.

Nun wird ein neuer Switch angeschlossen:

Priority 0

Dieser besitzt plötzlich die niedrigste Bridge-ID.

Er könnte Root Bridge werden.

Warum ist das problematisch?

Die Root Bridge beeinflusst:

  • Pfadberechnungen
  • Traffic-Flows
  • Redundanzpfade

Eine unerwartete Root Bridge kann zu:

  • suboptimalen Pfaden
  • Performanceproblemen
  • Instabilitäten

führen.

Funktion von Root Protection

Root Protection verhindert, dass ein bestimmter Port eine bessere Root Bridge akzeptiert.

Empfängt der Port entsprechende BPDUs:

Bessere Root erkannt
Port blockiert

Die bestehende Root Bridge bleibt erhalten.

Typischer Einsatzort

Root Protection wird häufig auf Access-Uplinks verwendet.

Beispiel:

Core
Distribution
Access

Der Access-Switch darf niemals Root Bridge werden.

Prüfungstipp

Merke:

Root Protection schützt die bestehende Root Bridge.

Junos-Konfiguration

Beispiel:

set protocols rstp interface ge-0/0/24 root-protect

Typische Prüfungsfrage

Welcher Mechanismus verhindert, dass ein neu angeschlossener Switch die Root Bridge ersetzt?

Antwort:

Root Protection

Loop Protection

Das Problem

RSTP basiert auf dem Austausch von BPDUs.

Was passiert, wenn diese BPDUs plötzlich ausbleiben?

Beispiel:

Switch A ---- Switch B

Ein Softwarefehler oder Übertragungsproblem verhindert die BPDU-Kommunikation.

Switch B könnte fälschlicherweise annehmen:

Kein STP mehr vorhanden

Der Port wird aktiviert.

Es entsteht möglicherweise eine Schleife.

Funktion von Loop Protection

Loop Protection überwacht den Empfang von BPDUs.

Werden auf einem Port keine erwarteten BPDUs mehr empfangen:

BPDUs fehlen
Port bleibt blockiert

Dadurch wird verhindert, dass ein Port versehentlich in den Forwarding-Zustand wechselt.

Typische Einsatzorte

Loop Protection wird bevorzugt auf:

  • redundanten Uplinks
  • Alternate Ports
  • Backup-Pfaden

eingesetzt.

Junos-Beispiel

set protocols rstp interface ge-0/0/23 no-root-port

Je nach Junos-Version und Plattform können die verfügbaren Schutzoptionen leicht variieren. Für die JNCIS-ENT-Prüfung ist das Konzept wichtiger als die exakte Syntax.

Prüfungstipp

Merke:

Loop Protection schützt vor Schleifen, die durch fehlende BPDUs entstehen.

Vergleich der Schutzmechanismen

MechanismusSchützt vor
BPDU ProtectionFremden Switches auf Edge Ports
Root ProtectionUnerwarteter Root Bridge
Loop ProtectionFehlenden BPDUs und möglichen Loops

Typisches JNCIS-ENT Szenario

Gegeben:

Core
Distribution
Access

Ein Mitarbeiter bringt einen eigenen Switch mit und schließt ihn an einen freien Access-Port an.

Welcher Schutzmechanismus ist ideal?

Antwort:

BPDU Protection

Ein neuer Switch wird am Access-Layer angeschlossen und versucht Root Bridge zu werden.

Antwort:

Root Protection

Ein redundanter Uplink verliert die BPDU-Kommunikation.

Antwort:

Loop Protection

Wichtige Show-Kommandos

RSTP Status:

show spanning-tree bridge

Interface-Status:

show spanning-tree interface

RSTP-Konfiguration:

show configuration protocols rstp

Fehleranalyse:

show log messages

Best Practices für Enterprise-Netzwerke

Access-Ports

Immer als Edge Ports konfigurieren:

set protocols rstp interface ge-0/0/10 edge

Zusätzlich:

BPDU Protection aktivieren

Root Protection aktivieren.

Redundante Pfade

Loop Protection verwenden.

Root Bridge festlegen

Core-Switches sollten bewusst Root Bridge werden.

Beispiel:

Priority 4096

Nicht auf die Standardwerte verlassen.

Häufige Prüfungsfalle

Viele Kandidaten verwechseln:

BPDU Protection

Schützt Edge Ports.

Root Protection

Schützt die Root Bridge.

Loop Protection

Schützt vor fehlenden BPDUs.

Eine typische Multiple-Choice-Frage besteht oft nur darin, diese drei Konzepte korrekt zuzuordnen.

Zusammenfassung

STP allein verhindert Schleifen, schützt jedoch nicht vor allen Fehlerquellen in Enterprise-Netzwerken.

Juniper bietet deshalb zusätzliche Schutzmechanismen:

  • BPDU Protection schützt Edge Ports vor fremden Switches.
  • Root Protection verhindert unerwartete Root Bridges.
  • Loop Protection verhindert Schleifen bei BPDU-Ausfällen.

Für die JNCIS-ENT-Prüfung solltest du vor allem die Unterschiede und Einsatzszenarien dieser Mechanismen sicher beherrschen.