STP / RSTP: защита коммутируемой сети от петель

STP (Spanning Tree Protocol) и его быстрая версия RSTP (Rapid Spanning Tree Protocol) — это протоколы канального уровня (L2), которые не дают избыточным связям между коммутаторами образовать петлю и положить всю сеть.

Что такое петля и почему она опасна

Представьте два коммутатора, соединённых двумя кабелями для надёжности. Без защиты широковещательный кадр (например, ARP-запрос) уйдёт по первому кабелю, вернётся по второму, снова уйдёт по первому — и так до бесконечности. Это называется «широковещательный шторм»: за секунды трафик-петля забивает каналы на 100%, коммутаторы перегружаются, сеть встаёт целиком.

В отличие от IP-уровня, у L2-кадра нет поля TTL (счётчика хопов, который ограничивает время жизни пакета), поэтому остановить зациклившийся кадр нечем. Один случайно воткнутый «кольцом» патч-корд в офисе способен обрушить работу всей компании. Именно от этого защищает STP.

Как работает STP

Логика простая: физически связи могут быть избыточными, но логически в каждый момент должно работать только одно дерево без колец. STP строит это дерево автоматически.

• Выбор корня (Root Bridge) — все коммутаторы обмениваются служебными кадрами BPDU (Bridge Protocol Data Unit) и выбирают «главный» коммутатор с наименьшим Bridge ID. Он становится корнем дерева.
• Расчёт путей — каждый коммутатор находит кратчайший путь до корня по стоимости портов (зависит от скорости линка).
• Блокировка избыточных портов — лишние связи, которые создали бы петлю, переводятся в состояние Blocking: кадры через них не идут, но порт слушает BPDU и готов включиться.
• Перестройка при обрыве — если рабочая связь падает, ранее заблокированный порт активируется и трафик идёт по резервному пути.

Чем RSTP лучше классического STP

Классический STP (стандарт 802.1D) при изменении топологии сходился медленно — порт проходил состояния Listening и Learning, и переключение на резерв занимало десятки секунд. Для современного офиса с IP-телефонией и видеосвязью это неприемлемо: звонки рвутся, сессии слетают.

RSTP (802.1w) сократил время сходимости до единиц секунд (а в простых топологиях — до долей секунды). Это достигается за счёт новых ролей портов и механизма быстрого подтверждения между соседями. Сегодня RSTP — стандарт де-факто, классический STP отдельно почти не используют.

На практике на коммутаторах обычно включают RSTP или PVST+/MSTP (вариации, работающие отдельно для каждого VLAN), а на портах к конечным устройствам — функцию PortFast, чтобы они включались мгновенно, минуя расчёт дерева.

Типичные проблемы и защита

• BPDU Guard — отключает порт, если на него вдруг прилетел BPDU (значит, кто-то воткнул неавторизованный коммутатор). Защита от случайных петель в офисе.
• Root Guard — не даёт «чужому» коммутатору перехватить роль корня и сломать спроектированную топологию.
• Loop Guard — страхует от ситуации, когда порт перестал получать BPDU из-за одностороннего отказа линка.
• Неправильный корень — частая ошибка: корнем «случайно» становится слабый доступовый коммутатор вместо ядра. Это перегружает не предназначенные для транзита линки. Лечится приоритетами.

Что включает наша услуга

• Аудит текущей L2-топологии: где есть петли, где избыточность работает, а где только мешает
• Проектирование уровней доступа/агрегации/ядра с правильным расположением корня дерева
• Настройка RSTP/MSTP с привязкой к схеме VLAN и приоритетами
• Включение защит BPDU Guard, Root Guard, Loop Guard, PortFast на нужных портах
• Связка с агрегацией каналов через LACP для отказоустойчивых линков между коммутаторами
• Мониторинг изменений топологии из NOC — мы видим переключения дерева раньше, чем пользователи заметят сбой

Связанные термины

• VLAN — сегментация локальной сети — STP работает поверх VLAN-структуры, в MSTP/PVST+ дерево строится для каждого VLAN
• LACP — агрегация каналов — объединённый канал STP видит как один логический линк, что снимает часть избыточности
• Cisco и MikroTik — выбор сетевого оборудования — на этом оборудовании и настраиваются RSTP и защиты от петель

Подробный разбор частых ошибок проектирования читайте в статье 7 ошибок корпоративной сети — петли и неправильный STP там в числе первых.