JNCIS-ENT STP Protection Mechanisms
02.07.2026 5 Min. Lesezeit
Einleitung
Das Spanning Tree Protocol (STP) und Rapid Spanning Tree Protocol (RSTP) schützen Netzwerke vor Layer-2-Schleifen. In der Praxis reicht dies jedoch häufig nicht aus.
Viele Netzwerkstörungen entstehen nicht durch fehlerhafte STP-Berechnungen, sondern durch:
- falsch angeschlossene Switches
- nicht autorisierte Geräte
- Fehlkonfigurationen
- Verkabelungsfehler
- versehentlich erzeugte Schleifen
Aus diesem Grund bieten moderne Enterprise-Switches zusätzliche Schutzmechanismen.
Juniper EX-Switches unterstützen verschiedene STP-Protection-Features, die regelmäßig Bestandteil der JNCIS-ENT-Prüfung sind.
JNCIS-ENT Prüfungsrelevanz
Für die Prüfung solltest du folgende Mechanismen kennen:
- BPDU Protection
- Root Protection
- Loop Protection
- Edge Ports
- Auswirkungen einer BPDU
- Typische Einsatzszenarien
- Junos-Konfiguration
- Troubleshooting
Viele Prüfungsfragen beschreiben lediglich ein Netzwerkproblem und fragen nach dem passenden Schutzmechanismus.
Warum zusätzliche Schutzmechanismen notwendig sind
Betrachten wir einen typischen Access-Switch:
Access Switch
├── PC
├── Drucker
├── Telefon
└── Notebook
Die Annahme:
Alle angeschlossenen Geräte sind Endgeräte.
Doch was passiert, wenn jemand einen kleinen Switch anschließt?
Access Switch
│
Fremder Switch
Plötzlich empfängt der Access-Port BPDUs.
Dies kann die gesamte STP-Topologie beeinflussen.
Genau hier greifen die Protection-Mechanismen.
BPDU Protection
Was ist eine BPDU?
BPDU steht für:
Bridge Protocol Data Unit
Diese Nachrichten werden von STP und RSTP verwendet, um:
- Root Bridges zu wählen
- Topologien zu berechnen
- Pfade zu bestimmen
Normale Endgeräte senden keine BPDUs.
Problem
Ein Port ist als Edge Port konfiguriert:
PC
│
Edge Port
│
Switch
Jemand ersetzt den PC durch einen Switch:
Switch
│
Edge Port
│
Switch
Nun erscheinen unerwartet BPDUs.
Funktion von BPDU Protection
BPDU Protection überwacht Edge Ports.
Sobald eine BPDU empfangen wird:
BPDU erkannt
↓
Port wird deaktiviert
Dadurch wird verhindert, dass fremde Switches Einfluss auf die STP-Topologie nehmen.
JNCIS-ENT Merksatz
Ein Edge Port sollte niemals BPDUs empfangen.
Wenn doch, liegt meist eine Fehlverkabelung oder ein unerlaubter Switch vor.
Beispiel in Junos
Globale Aktivierung:
set protocols rstp bpdu-block-on-edge
Interface-spezifisch:
set protocols rstp interface ge-0/0/10 edge
Wird eine BPDU erkannt:
Port Disabled
Typische Prüfungsfrage
Ein Access-Port verbindet normalerweise einen PC.
Nach Anschluss eines kleinen Switches wird der Port automatisch deaktiviert.
Welcher Mechanismus ist verantwortlich?
Antwort:
BPDU Protection
Root Protection
Das Problem
In einem Enterprise-Netzwerk existiert normalerweise eine gewünschte Root Bridge.
Beispiel:
Core Switch
Priority 4096
Access-Switch:
Priority 32768
Der Core-Switch wird Root Bridge.
Nun wird ein neuer Switch angeschlossen:
Priority 0
Dieser besitzt plötzlich die niedrigste Bridge-ID.
Er könnte Root Bridge werden.
Warum ist das problematisch?
Die Root Bridge beeinflusst:
- Pfadberechnungen
- Traffic-Flows
- Redundanzpfade
Eine unerwartete Root Bridge kann zu:
- suboptimalen Pfaden
- Performanceproblemen
- Instabilitäten
führen.
Funktion von Root Protection
Root Protection verhindert, dass ein bestimmter Port eine bessere Root Bridge akzeptiert.
Empfängt der Port entsprechende BPDUs:
Bessere Root erkannt
↓
Port blockiert
Die bestehende Root Bridge bleibt erhalten.
Typischer Einsatzort
Root Protection wird häufig auf Access-Uplinks verwendet.
Beispiel:
Core
│
Distribution
│
Access
Der Access-Switch darf niemals Root Bridge werden.
Prüfungstipp
Merke:
Root Protection schützt die bestehende Root Bridge.
Junos-Konfiguration
Beispiel:
set protocols rstp interface ge-0/0/24 root-protect
Typische Prüfungsfrage
Welcher Mechanismus verhindert, dass ein neu angeschlossener Switch die Root Bridge ersetzt?
Antwort:
Root Protection
Loop Protection
Das Problem
RSTP basiert auf dem Austausch von BPDUs.
Was passiert, wenn diese BPDUs plötzlich ausbleiben?
Beispiel:
Switch A ---- Switch B
Ein Softwarefehler oder Übertragungsproblem verhindert die BPDU-Kommunikation.
Switch B könnte fälschlicherweise annehmen:
Kein STP mehr vorhanden
Der Port wird aktiviert.
Es entsteht möglicherweise eine Schleife.
Funktion von Loop Protection
Loop Protection überwacht den Empfang von BPDUs.
Werden auf einem Port keine erwarteten BPDUs mehr empfangen:
BPDUs fehlen
↓
Port bleibt blockiert
Dadurch wird verhindert, dass ein Port versehentlich in den Forwarding-Zustand wechselt.
Typische Einsatzorte
Loop Protection wird bevorzugt auf:
- redundanten Uplinks
- Alternate Ports
- Backup-Pfaden
eingesetzt.
Junos-Beispiel
set protocols rstp interface ge-0/0/23 no-root-port
Je nach Junos-Version und Plattform können die verfügbaren Schutzoptionen leicht variieren. Für die JNCIS-ENT-Prüfung ist das Konzept wichtiger als die exakte Syntax.
Prüfungstipp
Merke:
Loop Protection schützt vor Schleifen, die durch fehlende BPDUs entstehen.
Vergleich der Schutzmechanismen
| Mechanismus | Schützt vor |
|---|---|
| BPDU Protection | Fremden Switches auf Edge Ports |
| Root Protection | Unerwarteter Root Bridge |
| Loop Protection | Fehlenden BPDUs und möglichen Loops |
Typisches JNCIS-ENT Szenario
Gegeben:
Core
│
Distribution
│
Access
Ein Mitarbeiter bringt einen eigenen Switch mit und schließt ihn an einen freien Access-Port an.
Welcher Schutzmechanismus ist ideal?
Antwort:
BPDU Protection
Ein neuer Switch wird am Access-Layer angeschlossen und versucht Root Bridge zu werden.
Antwort:
Root Protection
Ein redundanter Uplink verliert die BPDU-Kommunikation.
Antwort:
Loop Protection
Wichtige Show-Kommandos
RSTP Status:
show spanning-tree bridge
Interface-Status:
show spanning-tree interface
RSTP-Konfiguration:
show configuration protocols rstp
Fehleranalyse:
show log messages
Best Practices für Enterprise-Netzwerke
Access-Ports
Immer als Edge Ports konfigurieren:
set protocols rstp interface ge-0/0/10 edge
Zusätzlich:
BPDU Protection aktivieren
Uplinks
Root Protection aktivieren.
Redundante Pfade
Loop Protection verwenden.
Root Bridge festlegen
Core-Switches sollten bewusst Root Bridge werden.
Beispiel:
Priority 4096
Nicht auf die Standardwerte verlassen.
Häufige Prüfungsfalle
Viele Kandidaten verwechseln:
BPDU Protection
Schützt Edge Ports.
Root Protection
Schützt die Root Bridge.
Loop Protection
Schützt vor fehlenden BPDUs.
Eine typische Multiple-Choice-Frage besteht oft nur darin, diese drei Konzepte korrekt zuzuordnen.
Zusammenfassung
STP allein verhindert Schleifen, schützt jedoch nicht vor allen Fehlerquellen in Enterprise-Netzwerken.
Juniper bietet deshalb zusätzliche Schutzmechanismen:
- BPDU Protection schützt Edge Ports vor fremden Switches.
- Root Protection verhindert unerwartete Root Bridges.
- Loop Protection verhindert Schleifen bei BPDU-Ausfällen.
Für die JNCIS-ENT-Prüfung solltest du vor allem die Unterschiede und Einsatzszenarien dieser Mechanismen sicher beherrschen.