Spanning-Tree

Thomas Moegli
Ing. HES Télécommunications - Réseaux et Sécurité IT
Protocole Spanning-Tree
1 Cisco - Spanning-Tree - 11 novembre 2017

Protocole Spanning-Tree

Fonctionnement

Thomas Moegli
๏ Dans une topologie réseau, la présence de boucles engendre de nombreux problèmes
Fonctionnement de Spanning-Tree
Problématique
3
Fa0/0
SW1 SW2
Fa0/0
Gi0/0Gi1/0
PC-A PC-B

Thomas Moegli
Conséquences
๏ Surcharge du processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le
processeur. Les trames provenant d’interfaces différentes pour la même entité source fait que la table CAM est modifiée
constamment
Problématique
4
Fa0/0
SW1 SW2
Fa0/0
Gi0/0Gi1/0
PC-A via Gi1/0
PC-A PC-B
Fa0/0
SW1 SW2
Fa0/0
Gi0/0Gi1/0
PC-A via Gi0/0
PC-A PC-B

Thomas Moegli
๏ Soit une topologie de routeurs avec
présence d’une boucle
๏ Lorsqu’un paquet circule, une valeur
nommée TTL (Time To Live) est associée
au paquet
๏ Cette valeur diminue d’une unité à
chaque passage sur une interface d’un
routeur
๏ Si un paquet est pris dans une boucle, le
mécanisme de TTL permettra de
supprimer ce paquet
Problématique
5
TTL = 2
TTL = 1

Thomas Moegli
๏ Toutefois, dans un environnement Layer 2, les trames ne disposent pas de TTL
Conséquences
๏ Charge importante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent le réseau
Problématique
6
Fa0/0
SW1 SW2
Fa0/0
Gi0/0Gi1/0
PC-A PC-B

Thomas Moegli
Conséquences
๏ Charge importante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent
๏ Surcharge du processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le
processeur
๏ Déni de service : Vu que le switch change constamment de port entre les liens redondants (ports Fa0/2 et Fa0/3), il ne
choisit jamais le bon port de destination (dans notre exemple, Fa0/1) et les paquets ne peuvent jamais arriver sur le
client final.
๏ Trames dupliquées : Le fait que les paquets de diffusion soient diffusées sur l’ensemble des liens fait que le client
reçoit plusieurs copies de la même trame. Il y a une surcharge sur le client à cause de la réception de trames multiples.
Problématique
7

Thomas Moegli
๏ Algorithme original décrit par Radia Perlman et appelé DEC STP
๏ 1990 : Publication du standard 802.1D
๏ 1998 et 2004 : Nouvelles versions
๏ DEC STP et 802.1D sont incompatibles entre eux
๏ Avec les variantes, le protocole original est souvent appelé CST (Common Spanning Tree)
Spanning-Tree 802.1d
8

Thomas Moegli
๏ Empêcher les boucles de réseau entre switchs (liens
redondants)
๏ Couche OSI 2
๏ Création d’une topologie avec l’algorithme Spanning-
Tree (STA)
๏ Désactivation des liens redondants
๏ Lors d’une défaillance d’un lien actif, réactivation
automatique du lien de secours
Spanning-Tree 802.1d
9
S2 S3
S1
Boucle
S2 S3
S1
Pas de boucle
Sans 
Spanning-Tree
Avec 
Spanning-Tree

Thomas Moegli
๏ Désignation d’un switch « Maître » ou Root Bridge
๏ Tous les calculs se feront sur la base du Root Bridge
๏ Echange de messages entre switchs (trames BPDU)
๏ Pour chaque switch, calcul du meilleur chemin vers le Root Bridge
๏ Chaque interface possède un coût
๏ Coût du chemin : Somme du coût de chaque interface traversée
๏ Chaque switch place ses interfaces dans un mode STP
๏ Certains modes autorisent la transmission de données, d’autres bloquent
Etapes principales
10
Election du Root Bridge
Calcul de l’arbre STP
Définition de l’état STP par interface

Thomas Moegli
๏ Chaque switch possède un identifiant appelé Bridge ID (BID) de 64 bits
๏ Composé de la priorité définie et de l’adresse MAC
๏ Priorité possible : 0-65’535
๏ Par défaut, tous les switchs ont une priorité de 32’768 (65535 ÷ 2)
๏ Déterminer le Root Bridge
๏ Combinaison de la priorité de chaque switch et de l’adresse MAC
๏ Sélection du switch ayant la valeur de priorité la plus basse
๏ Si priorité équivalente, sélection d’après l’adresse MAC ayant la plus petite valeur
๏ Attention à privilégier un switch relativement performant comme Root Bridge (en modifiant manuellement la priorité)
Désignation du Root Bridge
11
A B
Priority : 32768
000A.41D5.7937
Priority : 32768
0030.F222.2794
1 Gb/s
Bridge Priority
0-65535
MAC Address
Unique
2 octets
Bridge Priority
6 octets
Adresse MAC
Bridge ID

Thomas Moegli
Root Bridge
Switch/Pont ayant le Bridge ID le plus bas (meilleur priorité). Dans une topologie réseau, les switchs communiquent
entre eux et désignent un Root Bridge.
Toutes les décisions (placer le port en mode Blocked ou Forward par ex.) se font en fonction du Root Bridge.
L’interface (ou port) ayant le coût le plus faible vers le Root Bridge est appelé Root Port
Non-Root Bridge
Tous les switchs qui ne sont pas Root Bridge. Ils échangent des informations entre eux et mettent à jour leur
topologie STP en fonction des évenements survenus.
Bridge ID
Chaque switch possède un Bridge ID qui est une combinaison du Bridge Priority (configuré par défaut à 32768) et
l’adresse MAC. Le switch ayant le Bridge ID le plus petit devient le Root Bridge du réseau.
Pour forcer un switch en particulier à devenir Root Switch, il faut configurer manuellement une valeur de priorité
basse.
Port Cost
Détermine le chemin à utiliser lorsque plusieurs liens sont présents entre deux switchs.
Le coût d’un port est déterminé par la bande passante.
Path Cost
Il s’agit toujours de calculer le chemin le plus court vers le Root Bridge afin de déterminer quels ports doivent être
désactivés dans le cas de chemins multiples.
Le coût d’un lien est déterminé par la somme des coûts de port de chaque switch.
Terminologie Spanning-Tree
12

Thomas Moegli
๏ Bridge Protocol Data Unit
๏ Messages échangés entre switchs pour STP
๏ Requis pour déterminer et maintenir la topologie STP
๏ Types de BPDU
๏ Configuration BPDUs : utilisé pour l’algorithme STP
๏ TCN BPDUs - (Topology Change Notification BPDU) : utilisé pour informer les équipements d’un changement réseau
BPDU
13
Protocol
Identiﬁer
Version
Msg
Type
Flags Root ID
Root
Path
Cost
Bridge
ID
Port ID Msg Age Max Age
Hello
Time
Forward
Delay
2 1 1 1 8 4 8 2 2 2 2 2

Thomas Moegli
๏ STP attribue un rôle à chaque port d’un switch
๏ 3 rôles possibles
Ports d’un switch : Rôles
14
Root Port
Port sur lequel se trouve le lien le plus direct vers le Root Bridge
Si plusieurs liens sont connectés avec le Root Bridge, élection du Root Port en sélectionnant le port avec
le coût le plus bas.
Designated Port
Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un
Designated Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul
Forwarding port par segment réseau.
Non-Designated Port 
/ Blocked Port
Un port Non-Designated est un port ayant un coût plus élevé qu’un Designated Port. Ils sont
également marqués comme Blocked Port et sont par conséquent désactivés.
RP
DP
BP

Thomas Moegli
๏ Chaque port d’un switch passe par plusieurs états STP avant d’être opérationnel
๏ Sur un switch Cisco, lumière orange sur le port (Transition STP) puis, si le port est en mode Forwarding, lumière devient
verte
Etats d’un port Spanning-Tree
15
Disabled
n’est pas un état de transition
Port qui a été désactivé de manière administrative (commande shutdown)
Ne participe pas à l’algorithme STP
Blocking
Ne transmet pas les trames de données, uniquement réception des BPDU (pas d’envoi)
Blocage pour prévenir des boucles de réseau. 
Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état 
(Exception des protocoles de couche 2 tels que DTP, VTP, CDP)
Tous les ports sont à l’état Blocking par défaut au démarrage du switch
Listening
Ecoute et envoie des trames BPDU pour être sûr qu’il n’y ait pas de boucles 
Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état
Learning
Apprentissage de tous les chemins du réseau. Ecoute et envoie des trames BPDU
Remplissage de la table CAM mais ne transmet pas encore de données 
Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état
Forwarding Envoi ou réception de données utilisateurs sur le port
DI
B
F
LE
LI

Thomas Moegli
16
Etat du port
STP
Reçoit des
BPDUs
Envoie des
BPDUs
Apprend les
MAC
Reçoit des
données
Envoi de
données
Durée de l’état
Blocking Non défini (si présence d’une boucle)
Listening Délai (env 15 secondes)
Learning Délai (env 15 secondes)
Forwarding Non défini (tant qu’aucune boucle détecté)
Disabled Non défini (tant que l’admin ne l’active pas)DI
B
F
LE
LI

Thomas Moegli
Timers STP
17
Timer Description
Hello
๏ Temps entre chaque BPDU envoyé sur le port
๏ Par défaut : 2 secondes, peut être configuré entre 1 à 10 secondes
Forward Delay
๏ Temps passé à l’état Listening et Learning
Max Age
๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU
๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes
F
LE
LI
Forward Delay
Forward Delay
BPDU BPDU
Hello
BPDU
M
ax
Age

Thomas Moegli
18
Etat
Blocking
Initialisation
Démarrage
Etat
Listening
Etat
Learning
Etat
Disabled
Etat
Learning
Etat 
Forwarding
Etat Transitoire
Etat Transitoire
DI
B
F
LE
LI
Après 20 secondes
Après 15 secondes
Après 15 secondes

Thomas Moegli
๏ Terme utilisé lorsque les ports passent d’un état STP à un autre
๏ Convergence complète : Lorsque les ports ont atteint l’état Forwarding ou Blocking (état final)
๏ Aucune donnée ne transite tant que la convergence n’est pas complète
๏ Convergence doit s’effectuer rapidement pour qu’un réseau soit efficace
๏ Possibilité (déconseillé) de modifier les timers STP
๏ Plusieurs variantes STP disponibles
Convergence STP
19

Thomas Moegli
Fa1/0/2Fa1/0/1
Gi0/10Gi0/9
PC B
PC A
Root Bridge
MAC Addr: 000d.28e4.7c80
Priorité: 32768
MAC Addr: 0018.b9ad.2d00
Priorité: 32768
100Mbps
10Mbps
SW A SW B
๏ Soit la topologie ci-contre
๏ A l’état stable, SW B est désigné comme Root
Bridge
๏ Fa1/0/2 de SW A est le port à l’état Blocking
Convergence STP
20
19
100
RP
DPBP
DP

Thomas Moegli
Fa1/0/2Fa1/0/1
Gi0/10Gi0/9
PC B
PC A
Root Bridge
Priorité: 32768
Priorité: 32768
100Mbps
10Mbps
SW A SW B
๏ Durant une intervention, le lien 100 Mbps
tombe
๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien
défectueux
๏ Au delà de 20 secondes, SW A décide que le
port Blocking (Fa 1/0/2) passe à l’état Listening
๏ Le port reçoit et envoie les BPDU
Convergence STP
21
19
100
DPBP
DP
LI
15 sec
Blocking (20 sec)
Listening (15 sec)

Thomas Moegli
Blocking (20 sec)
Listening (15 sec)
Learning (15 sec)
Fa1/0/2Fa1/0/1
Gi0/10Gi0/9
PC B
PC A
Root Bridge
Priorité: 32768
Priorité: 32768
100Mbps
10Mbps
SW A SW B
tombe
défectueux
๏ Au delà de 15 secondes, SW A décide que le
port Blocking (Fa 1/0/2) passe à l’état Learning
๏ Le port commence à apprendre les adresses
MAC
Convergence STP
22
19
100
DPBP
DP
LI
15 sec
LE

Thomas Moegli
Fa1/0/2Fa1/0/1
Gi0/10Gi0/9
PC B
PC A
Root Bridge
Priorité: 32768
Priorité: 32768
100Mbps
10Mbps
SW A SW B
tombe
défectueux
๏ Finalement, après 15 secondes, le port passe
finalement à l’état Forwarding
๏ Au total, le passage du port de l’état Blocking
à l’état Forwarding a duré : 
20 + 15 + 15 = 50 secondes
Convergence STP
23
19
100
DPBP
DP
15 sec
F
Blocking (20 sec)
Listening (15 sec)
Learning (15 sec)
Forwarding

Thomas Moegli
๏ Lorsqu’un utilisateur connecte un laptop sur l’un des
ports, la convergence STP fonctionne de manière similaire
๏ Le port passe également par les états Listening, Learning
puis Forwarding
๏ Du fait que le port n’était pas à l’état Blocking, il entre
directement à l’état Listening sans attendre 20 secondes
๏ Pour éviter une attente de 30 secondes, Cisco propose
l’option Spanning-Tree Portfast
Convergence STP
24
Blocking (20 sec)
Listening (15 sec)
Learning (15 sec)
Forwarding

Thomas Moegli
๏ Standard IEEE
๏ Utilisé dans les calculs STP
Coût d’un lien
25
Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2

Protocole Spanning-Tree 
Opérations

Thomas Moegli
Election du Root Bridge
๏ Au départ, chaque switch se croît Root Bridge
๏ Echange de BPDU entre eux contenant leur Bridge ID
et le Root ID (eux-mêmes)
๏ Priorité identique pour tous les switchs
๏ Utilisation de l’adresse MAC pour sélectionner Root
Bridge
๏ S1 a l’adresse MAC avec valeur la plus basse : est élu
RB
Opérations Spanning Tree
27
S2 S3
S1
Priority : 32768
0000.0CA7.A603
Root Bridge
Priority : 32768
000A.41D5.7937
Priority : 32768
0030.F222.2794
1 Gb/s
1 Gb/s
1 Gb/s
Root Bridge

Thomas Moegli
Calcul des coûts vers le Root Bridge
๏ S2 et S3 utilisent leur lien direct (coût : 4)
๏ Si S3 utilise le lien transitant par S2 pour aller vers S1 :  
Coût = 4 + 4 = 8 (coût supérieur au lien direct)
๏ Chaque port du Root Bridge est considéré comme
Designated Port
๏ Sur S2 et S3, le port sur lequel est connecté le lien avec le
coût le plus faible vers S1 est considéré comme Root Port
28
S2 S3
S1
Priority : 32768
0000.0CA7.A603
Root Bridge
Priority : 32768
000A.41D5.7937
Priority : 32768
0030.F222.2794
1 Gb/s
1 Gb/s
1 Gb/s
DP DP
RP
Cost : 4 Cost : 4
Cost : 4
RPRP
DP
Root Bridge
DP
RP
4
4
4

Thomas Moegli
๏ Lien S2 – S3 : Désignation des ports Blocking et Designated
๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire)
๏ S2 place son port en mode Designated et S3 le place en Blocked
๏ Convergence STP terminée
๏ Tous les ports sont en mode Forwarding ou Blocking
29
S2 S3
S1
Priority : 32768
0000.0CA7.A603
Root Bridge
Priority : 32768
000A.41D5.7937
Priority : 32768
0030.F222.2794
1 Gb/s
1 Gb/s
1 Gb/s
DP DP
RP
Cost : 4 Cost : 4
Cost : 4
RP
DP
4
4
4
RP
DPDP
RP
BP
DP

Thomas Moegli
๏ Lien S2 – S3 : Désignation des ports Blocking et Designated
๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire)
๏ S2 place son port en mode Designated et S3 le place en Blocked
๏ Convergence STP terminée
๏ Tous les ports sont en mode Forwarding ou Blocking
30
S2 S3
S1
Priority : 32768
0000.0CA7.A603
Root Bridge
Priority : 32768
000A.41D5.7937
Priority : 32768
0030.F222.2794
1 Gb/s
1 Gb/s
1 Gb/s
DP DP
RP
Cost : 4 Cost : 4
Cost : 4
RP
DP
4
4
4
RP
DPDP
RP
DP
BF
F
F F
F

Thomas Moegli
Etape 1 : Sélection du Root Bridge
๏ Parmi les 4 switchs de la topologie ci-contre,  
SW A et SW B ont une priorité plus faible (16384)
par rapport aux switchs SW C et SW D (32768)
๏ SW A ou SW B sera élu Root Bridge par rapport à
SW C et SW D selon la priorité
๏ SW A finalement sera élu Root Bridge car son
adresse MAC est inférieure à l’adresse MAC de
SW B
Exemple pratique
31
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
MAC Addr: 000d.4c11.570c
Priorité: 32768
Priorité: 16384
MAC Addr: 000d.28c4.7c80
Priorité: 16384
Root Bridge

Thomas Moegli
Etape 2 : Calcul des coûts vers le Root Bridge
Pour SW A
๏ Comme SW A est le Root Bridge, toutes ses
interfaces ont le rôle Designated Port
Exemple pratique
32
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2
2
4
4
RP
DP
DP
DP
DP

Thomas Moegli
Pour SW B
๏ Sur SW B, calcul du chemin le plus court vers le
Root Bridge
๏ Le plus court chemin passe par Te1/0/1
๏ Interface 10Gbps
๏ Le coût d’une interface est de 2
๏ L’interface Te1/0/1 est donc un Root Port
Exemple pratique
33
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2
2
4
4
RP
DP
DP
DP
DP

Thomas Moegli
Pour SW D
๏ Sur SW D, calcul du chemin le plus court vers le
Root Bridge
๏ Le plus court chemin passe par Gi1/0/1
๏ Interface 1Gbps
๏ Le coût d’une interface est de 4
๏ Le coût du chemin passant par Gi1/0/2 serait de 4
+ 2 = 6
๏ L’interface Gi1/0/1 est donc un Root Port
Exemple pratique
34
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2
4 4
RP
DP
DP
DP
DP
RP

Thomas Moegli
Pour SW C
๏ Sur SW C, le coût du chemin le plus court est de 4
๏ Le chemin par Gi1/0/10 et Gi1/0/11 ont le même
coût de 4
๏ Pour choisir le chemin entre ces deux possibilités,
STP utilise le Port ID le plus faible depuis l’émetteur
๏ Dans ce cas, l’émetteur est SW A, on prend donc le
Port ID le plus faible de SW A
๏ Le Port ID le plus faible est Gi1/0/3
๏ De ce fait, le port Gi1/0/10 est désigné comme RP
Exemple pratique
35
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2
4
4
RP
DP
DP
DP
DP
RP
RP

Thomas Moegli
Pour SW C
๏ Chaque port dispose d’une priorité
๏ Par défaut, la priorité est de 128
๏ Cette priorité peut être modifiée par la commande : 
๏ L’identifiant du port sous STP est majoré de 2
๏ Autrement dit, le port Gi1/0/3 a l’ID 3 + 2 = 5 
Le port Gi1/0/4 a l’ID 4 + 2 = 6
๏ Sous la commande show spanning-tree, le port est désigné par
Priorité.ID
๏ Port Gi1/0/3 : 128.5
๏ Port Gi1/0/4 : 128.6
๏ SW C peut connaitre les informations du port de SW A via les BPDU
๏ Finalement, SW C peut décider ainsi de sélectionner le port ayant la priorité
+ l’ID le plus petit
Exemple pratique
36
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2
4
4
RP
DP
DP
DP
DP
RP
RP
Switch(config-if)# spanning-tree vlan vlan-id port-priority value

Thomas Moegli
Etape 3 : Détermination des rôles pour chaque
segment réseau
Segment SW A - SW C
๏ Les ports de chaque segment ont déjà un rôle
attribué
Exemple pratique
37
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2
4
4
RP
DP
DP
DP
DP
RP
RP
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
RPDP

Thomas Moegli
Etape 3 : Détermination des rôles pour chaque segment
réseau
Segment SW B - SW D
๏ Aucun de ces ports n’est RP
๏ Il est nécessaire de désigner un port comme étant
Designated Port (chaque segment réseau doit disposer
d’un port DP ou RP)
๏ Pour connaitre quel port sera désigné DP, il faut regarder
le coût vers le Root Bridge depuis chaque interface
๏ Depuis SW B Gi1/0/5, le coût vers le RB est de 2
๏ Depuis SW D Gi1/0/2, le coût vers le RB est de 4  
(passe par Gi1/0/1 de SW D)
๏ Le port SW B - Gi1/0/5 ayant un coût plus faible sur le
segment SW B - SW D, il a comme rôle DP
๏ Le port SW D Gi1/0/2 a le rôle BP
Exemple pratique
38
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
4
4
RP
DP
DP
DP
DP
RP
RP
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
RPDP
DP
BP

Thomas Moegli
segment réseau
Segment SW B - SW C
๏ Aucun de ces ports n’est RP
๏ Il est nécessaire de désigner un port comme étant
Designated Port (chaque segment réseau doit
disposer d’un port DP ou RP)
๏ Coût vers le RB depuis chaque interface
๏ Depuis SW B Gi1/0/7, le coût vers le RB est de 2  
(passe par SW B - Te1/0/1)
๏ Depuis SW C Gi1/0/2, le coût vers le RB est de 4  
(passe par Gi1/0/10 de SW D)
๏ Le port SW B - Gi1/0/7 ayant un coût plus faible sur le
segment SW B - SW C, il a comme rôle DP
๏ Le port SW C Gi1/0/2 a le rôle BP
Exemple pratique
39
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
4
4
RP
DP
DP
DP
DP
RP
RP
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
RPDP
DP
BP
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
DP
BP

Thomas Moegli
segment réseau
Segment SW A - SW C
๏ Le port Gi1/0/4 de SW A a été désigné comme
DP
๏ SW C dispose déjà d’un RP. Il s’agit de Gi1/0/10
๏ Le port SW A - Gi1/0/4 a comme rôle DP
๏ Le port SW C Gi1/0/11 a le rôle BP
Exemple pratique
40
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
4
4
RP
DP
DP
DP
DP
RP
RP
RPDP
DP
BP
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
DP
BP
DP
BP

Thomas Moegli
segment réseau
Topologie finale
Exemple pratique
41
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
RP
DP
DP
DP
DP
RP
RP
RPDP
DP
BP
DP
BP
DP
BP

Thomas Moegli
Etape 4 : Détermination des états de chaque port
Durant la phase de détermination des ports RP, DP et
BP, les ports sont à l’état Listening puis Learning
Une fois la topologie terminée :
๏ Les ports désignés comme RP ou DP sont mises à
l’état Forwarding
๏ Les ports désignés comme BP sont mises à l’état
Blocking
Exemple pratique
42
Gi1/0/3
Gi1/0/4
Gi1/0/10
Gi1/0/11
Gi1/0/2
Gi1/0/7
Te1/0/1 Te1/0/1
Gi1/0/5Gi1/0/2
Gi1/0/10
Gi1/0/1
SW A SW B
SW C SW D
MAC Addr: 0018.c894.1a04
Priorité: 32768
Priorité: 32768
Priorité: 16384
Priorité: 16384
Root Bridge
RP
DP
DP
DP
DP
RP
RP
RPDP
DP
BP
DP
BP
DP
BP

Thomas Moegli
Changement de topologie
๏ Lors d’un changement de topologie, le switch l’annonce au Root Bridge via un BPDU TCN (Topologie Change Notification)
๏ Le Root Bridge répond par un BPDU TCA (Topology Change Ack)
๏ Le Root Bridge signale ensuite à l’ensemble des switchs un BPDU TC (Topology Change) qu’ils doivent effectuer un recalcul
de l’algorithme STP
43
SW1
SW2 SW3
SW4 SW5
TCNTCN
Root Bridge
TCATCA
SW1
SW2 SW3
SW4 SW5
Root Bridge
TCTC
TC
TC
SW4 détecte et
annonce un
changement dans sa
topologie.
Il le signale au Root
Bridge
Le Root Bridge signale le
changement aux autres
switchs

Thomas Moegli
๏ Il peut arrive également ce qu’on appelle une erreur indirecte
๏ Une interface avec une connectivité partielle ou une ACL appliquée sur l’interface qui filtre certaines trames
๏ L’erreur indirecte peut être détectée si les BPDUs ne sont plus reçus par le switch
๏ Le recalcul STP peut être déclenché également après l’échéance d’un timer lié à la réception des BPDUs
๏ Il peut également arriver des changements de topologie non liées à STP
๏ Exemple : Une interface en mode Access qui modifie de status
๏ Le switch annonce le changement au Root Bridge
๏ Le Root Bridge informe les autres switchs, mais aucun recalcul STP n’est effectué
44

Variantes

Thomas Moegli
Variantes Spanning-Tree
46
Spanning-Tree
PVST
Per VLAN Spanning-Tree
Prop. Cisco
PVST+
Per VLAN+ Spanning-Tree
Prop. Cisco
CST
Common Spanning-Tree
802.1d
RSTP
Rapid Spanning-Tree
802.1w
Rapid PVST+
Rapid PVST+ Spanning-Tree
Prop. Cisco
MST
Multiple Spanning-Tree
802.1s
๏ Une instance STP pour l’ensemble du réseau
๏ Lent mais requiert peu de ressources
๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir
plusieurs Root Bridge
๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL)
๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir
plusieurs Root Bridge
๏ Le « + » désigne le support des trunks 802.1Q
๏ Convergence plus rapide, un seul Root Bridge,  
charge plus importante que CST
๏ Implémentation Cisco de RSTP basé sur PVST+
๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge
๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST
๏ Plusieurs instance STP pour des groupe de VLANs

Thomas Moegli
๏ CST (Common Spanning Tree) : Protocole original - Standard IEEE 802.1d
๏ Lent mais requiert peu de ressources
๏ PVST, PVST+ (Per VLAN Spanning Tree) : Protocole propriétaire Cisco
๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge
๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL)
๏ Le « + » désigne le support des trunks 802.1Q
๏ MSTP (Multiple Spanning Tree ou RSTP)
๏ Plusieurs VLANs peuvent partager une même instance
๏ RSTP (Rapid Spanning Tree) : Standard IEEE 802.1w
๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST
๏ Rapid PVST+ : Protocole propriétaire Cisco, identique à PVST+ mais avec RSTP
๏ Implémentation Cisco de RSTP basé sur PVST+
๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge
47

Thomas Moegli
48
Standard Ressources nécessaires Convergence Nombre d’instances STP
CST 802.1D Peu de ressources Lente Une instance pour tous les VLANs
PVST Cisco Importante Lente Une instance par VLAN
PVST+ Cisco Importante Lente Une instance par VLAN
RSTP 802.1W Moyenne Rapide Une instance pour tous les VLANs
Rapid PVST+ Cisco Très élevé Rapide Une instance par VLAN
MSTP 802.1S Moyenne à élevé Rapide Une instance pour plusieurs VLANs

Thomas Moegli
๏ Avec CST, l’élection d’un seul Root Bridge pour tout le réseau n’optimise pas tout le trafic
๏ Exemple : Supposons que SW-A soit Root Bridge. Depuis les clients situés sur les VLAN Management, Engineering, CAD, il
est possible que les trames à destination des serveurs correspondants passent par SW-A pour accéder aux serveurs
connectés à SW-C (alors qu’un chemin plus court existe)
Per VLAN Spanning Tree+
49
MarketingCAD Engineering Finance Management
SW-A SW-B SW-C
Serveurs pour : Serveurs pour :
- Finance
- Marketing
- Management
- Engineering
- CAD
Root Bridge

Thomas Moegli
๏ Avantage d’un Root Bridge par VLAN
๏ Pour les VLAN Management, Engineering, CAD, élire SW-C comme Root Bridge optimise le trafic réseau
50
MarketingCAD Engineering Finance Management
SW-A SW-B SW-C
Serveurs pour : Serveurs pour :
- Finance
- Marketing
- Management
- Engineering
- CAD
Root Bridge pour
- VLAN Finance
- VLAN Maketing
Root Bridge pour
- VLAN Management
- VLAN Engineering
- VLAN CAD

Thomas Moegli
๏ PVST+ autorise la sélection d’un Root Bridge différent par VLAN
๏ Dans l’exemple :
๏ SW1 est configuré comme Root Bridge pour le VLAN1
๏ SW3 est configuré comme Root Bridge pour le VLAN2
๏ Permet l’équilibrage de charge sur des liens différents
51
SW1 SW3
SW2
Root Bridge : VLAN1 Root Bridge : VLAN2

Thomas Moegli
๏ Structure
๏ Champ supplémentaire Extended System ID pour gérer les multiples instances
๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address)
๏ La valeur de la priorité par défaut (32768) dépend du numéro de Vlan
๏ Comme le champ Extended System ID désigne l’identifiant du Vlan ou de l’instance, cette valeur est à ajouté à la priorité
๏ Exemple : La valeur par défaut pour le Vlan 100 est 32768 + 100 (Vlan ID) = 32868
52
Bridge Priority
0-65535
MAC Address
Unique
Sys-ID-Ext
4 bits 12 bits 6 bytes

Thomas Moegli
๏ Nouveau standard IEEE 802.1w
๏ Evolution de STP pour convergence plus rapide
๏ Améliorations
๏ Accélération du recalcul du Spanning Tree en cas de changement de topologie réseau
๏ Redéfinit les rôles des ports, états et BPDU de STP
๏ Proactif et très rapide, ne nécessite pas de timers
๏ Rétro-compatibilité avec 802.1d
๏ Transitions entre états accéléré
๏ 3 états au lieu de 5 (Discarding ➔ Learning ➔ Forwarding)
Rapid Spanning Tree Protocol 802.1w
53

Thomas Moegli
54
Rôle du port STP Etat possible du port STP dans ce rôle
Root Port Forwarding
Designated Port Forwarding
NonDesignated Port Blocking
Disabled -
En transition
Listening 
Learning
Rôle du port RSTP Etat possible du port RSTP dans ce rôle
Root Port Forwarding
Designated Port Forwarding
Alternative / Backup Port Discarding
Disabled Discarding
En transition Learning

Thomas Moegli
๏ RSTP définit les rôles suivants : 
Rôles d’un port Rapid Spanning-Tree
55
Root Port
Port sur lequel se trouve le lien le plus direct vers le Root Bridge
Si plusieurs liens sont connectés avec le Root Bridge, élection Root Port en sélectionnant le port avec le coût
le plus bas.
Designated Port
Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un Designated
Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul Forwarding port par
segment réseau.
Alternate Port
Port actuellement désactivé pour les trames de données mais permet de proposer un chemin alternatif vers
le Root Bridge (Alternatif au Root Port)
Backup Port
Port actuellement désactivé pour les trames de données. 
Peut être un chemin alternatif vers le Root Bridge mais sert également comme chemin redondant sur un
segment partagé
RP
DP
AP
BaP

Thomas Moegli
๏ Un Backup Port n’est présent uniquement
lorsqu’une boucle est formé entre un switch et un
hub (liens redondants)
๏ Les deux liens reliant le hub sont considérés
comme un seul et même segment réseau
๏ L’une des extrémités du segment prend le rôle de
DP
๏ L’autre extrémité reçoit le rôle Backup Port
Rôles d’un port Rapid Spanning-Tree
56
SW 1
Gi1/0
SW 2 SW 3
Hub
Gi1/1
Gi1/1
Gi1/1 Gi1/0
Gi1/2
Gi1/3
Gi1/0
RP
DP
AP
BaP
Root Bridge
DP
RP
DP
DP

Thomas Moegli
Etats d’un port Rapid Spanning-Tree
57
Discarding
Etat possible dans une topologie stable ou lors d’un changement de topologie.
L’état Discarding ne permet pas la transmission de trames.
Cet état permet de bloquer le port pour prévenir de la formation de boucles réseaux
Learning
Etat possible dans une topologie stable ou lors d’un changement de topologie.
L’état Learning autorise la transmission de trames uniquement pour remplir la table MAC des switchs
Forwarding
Etat possible uniquement dans une topologie stable
L’état Forwarding autorise la transmission de trames de données.
DIS
F
LE

Thomas Moegli
๏ RSTP utilise une terminologie différente pour les liens
d’interconnexion entre équipements
๏ Ils sont automatiquement déterminés par l’algorithme RSTP
Rapid Spanning-Tree Protocol 802.1w
Types de liens RSTP
58
Lien Edge
Lien p2p
Lien p2p
Lien p2p
Lien p2p
Lien EdgeLien SharedPoint-to-
Point (P2P)
Lien sur lequel le port fonctionne en Full Duplex 
Lien qui connecte généralement un switch à un autre switch
Shared
Lien sur lequel le port fonctionne en Half Duplex 
Lien qui connecte généralement un switch à un média
partagé (par exemple un hub)
Edge
Lien sur lequel un équipement de terminaison (PC) est
connecté (pas de switch, pas de hub)

Thomas Moegli
Types de liens RSTP
59
SW 1
Gi1/0
SW 2 SW 3
Hub
Gi1/1
Gi1/1
Gi1/1 Gi1/0
Gi1/2
Gi1/3
Gi1/0
Point-to-Point Point-to-Point
Point-to-Point
Shared
Edge

Thomas Moegli
๏ Contrairement à STP, tous les switchs
participent à l’échange de BPDU TC
๏ Le temps de convergence est
nettement réduit
Opérations RSTP
60
SW1
SW2 SW3
SW4 SW5
Root Bridge
TCTC
TC
TC

Configuration

Thomas Moegli
๏ Forcer à ce que le switch sera Root Bridge pour un VLAN particulier : 
๏ Définir que le switch sera Root Bridge secondaire : 
๏ Définir la priorité du switch :
๏ Nécessaire que la priorité soit un multiple de 4096 : 
Configuration Spanning-Tree
Configuration : Priorité
62
Switch(config)# spanning-tree vlan vlan-id root primary
Switch(config)# spanning-tree vlan vlan-id root secondary
Switch(config)# spanning-tree vlan vlan-id priority value

Thomas Moegli
๏
๏
๏
Configuration : Timers STP
63
Timer Description
Hello
๏ Temps entre chaque BPDU envoyé sur le port
Forward Delay
๏ Temps passé à l’état Listening et Learning
Max Age
๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU
๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes
Switch(config)# spanning-tree vlan vlan-id hello-time value
Switch(config)# spanning-tree vlan vlan-id forward-time value
Switch(config)# spanning-tree vlan vlan-id max-age value

Thomas Moegli
๏ SW3 possède le Bridge Priority par défaut : 32769
๏ Configuration en mode Rapid PVST+
๏ Priorité = 32768 (valeur par défaut) + 1 (VLAN ID 1) = 32769
Vérification : STP Root Bridge
64
SW3# show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address aabb.cc00.4500
Cost 100
Port 4 (Ethernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
…

Thomas Moegli
๏ Configuration de SW2 avec la commande :
65
SW2(config)# show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 28673
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 28673 (priority 28672 sys-id-ext 1)
…
SW2(config)# spanning-tree vlan 1 root primary

Thomas Moegli
66
SW1# show spanning-tree
…
Interface Role Sts Cost Prio.Nbr Type
———————————————————— ———— ——- ——————— ———————— ————————————————————————————————————
…
Et0/0 Root FWD 100 128.1 Shr
Et0/1 Desg FWD 100 128.2 Shr
…

Thomas Moegli
๏ Définir le mode Rapid PVST+ : 
๏ Configurer le switch pour être Root Bridge pour un Vlan particulier : 
Configuration Rapid PVST+
67
Switch(config)# spanning-tree mode rapid-pvst
Switch(config)# spanning-tree vlan vlan-id root primary

MST

Thomas Moegli
๏ Dans certains scénarios, plusieurs VLANs disposent d’une même topologie Spanning Tree
๏ Le regroupement de plusieurs instances STP identiques permettent de simplifier l’administration
๏ MST est rétro-compatible avec les autres variantes STP
MST
Introduction
69

Thomas Moegli
Deux switchs sont dans la même région MST si les éléments suivants sont identiques :
๏ Nom
๏ Numéro de révision
๏ Table d’association VLAN
MST
Régions
70
MST Region A MST Region B

Thomas Moegli
๏ Mapping de VLANs sur plusieurs instances
๏ Par défaut, tous les VLANS sont mappés sur
l’instance 0, également appelé IST (Internal
Spanning Tree)
๏ On définit des instances supplémentaires et on
associe ces instances aux VLANs
MST
Introduction
71
IST
MSTI 1
MSTI 2
IST
VLAN 11, 22, 33
44, 55, 66
VLAN 11, 22, 33
VLAN 44, 55, 66
MST 1
MST 2

Thomas Moegli
๏ MST peut fonctionner avec des variantes STP
๏ Pour les variantes qui ne supportent pas MST, les
switchs ne verront pas les instances MST mais ne
voient simplement qu’un seul switch logique
représentant toute la topologie MST
๏ C’est l’instance 0 qui communique avec les switchs non
MST
MST
Cohabitation MST et switchs non MST
72
IST
CST
CST
IST

Thomas Moegli
๏ Seule l’instance IST envoie les BPDUs
๏ Les messages BPDUs distribués par l’instance IST
contiennent les informations des autres instances
MST
๏ Seuls les switchs d’une même région MST reçoivent
les BPDUs avec les informations des autres instances
๏ Par compatibilité, les BPDUs envoyés sur des switchs
non MST ne contiennent pas les informations des
MST
MST
Communication
73
Région MST
To CST
Information IST
Enregistrements
MST
BPDU

Thomas Moegli
๏ Structure
๏ Champ supplémentaire Extended System ID pour gérer les multiples instances
๏ Le champ Extended System ID contient le numéro de l’instance MST
๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address)
MST
Extended System ID
74
Bridge Priority
0-65535
MAC Address
Unique
Sys-ID-Ext
4 bits 12 bits 6 bytes

Thomas Moegli
๏ Sous PVST+, on observe qu’une instance STP est définie pour chaque VLAN
๏ Dans l’exemple, 5 VLANs ont été définis
MST
Configuration MST
75
SW1# show spanning-tree summary
Switch is in past mode
Root bridge for: none
…
Name Blocking Listening Learning Forwarding STP Active
———————————————————— ———————- ————————— ————————— —————————- ——————————
VLAN0001 1 0 0 23 24
VLAN0002 1 0 0 23 2
VLAN0003 1 0 0 23 2
VLAN0004 1 0 0 23 2
VLAN0005 1 0 0 23 2
———————————————————— ———————- ————————— ————————— —————————- ——————————
5 vlans
…

Thomas Moegli
๏ Topologie d’exemple : 
 
MST
Configuration MST
76
Gi0/0 Gi0/2
Gi0/1Gi0/3
GI0/2
Gi0/1
SW1
SW3
SW2

Thomas Moegli
๏ Modifie le mode STP pour la variante MST
MST
Configuration MST : Activation de MST
77
SW1(config)# spanning-tree mode mst
IST
MST 1
MST 2
IST
VLAN 1
VLAN 2, 3
VLAN 4, 5
SW1
SW3
SW2
Région CCNP
Root Br.
SW1
SW3
SW2
SW1
SW3
SW2
Root Br.

Thomas Moegli
IST
MST 1
MST 2
IST
VLAN 1
VLAN 2, 3
VLAN 4, 5
SW1
SW3
SW2
Région CCNP
SW1
SW3
SW2
SW1
SW3
SW2
๏ Configuration des régions MST : 
MST
Configuration MST : Régions
78
SW1(config)# spanning-tree mst configuration
SW1(config-mst)# name CCNP
SW1(config-mst)# revision 1

Thomas Moegli
MST
Configuration MST : Mapping VLAN aux instances
79
๏ Mapping de VLANs aux instances MST :
SW1(config-mst)# instance 1 vlan 2,3
IST
MST 1
MST 2
IST
VLAN 1
VLAN 2, 3
VLAN 4, 5
SW1
SW3
SW2
Région CCNP
SW1
SW3
SW2
SW1
SW3
SW2

Thomas Moegli
๏ Sur l’instance 1, SW1 est configuré comme Root Bridge
๏ Sur l’instance 2, SW2 est configuré comme Root Bridge
MST
Configuration MST : Priorité du switch
80
SW1(config)# spanning-tree mst 1 root primary
SW1(config)# spanning-tree mst 2 root secondary
SW2(config)# spanning-tree mst 1 root secondary
SW2(config)# spanning-tree mst 2 root primary
IST
MST 1
MST 2
IST
VLAN 1
VLAN 2, 3
VLAN 4, 5
SW1
SW3
SW2
Région CCNP
Root Br.
SW1
SW3
SW2
SW1
SW3
SW2
Root Br.

Thomas Moegli
๏ Application de la configuration MST
MST
Configuration MST : Activation de MST
81
SW1(config-mst)# exit
IST
MST 1
MST 2
IST
VLAN 1
VLAN 2, 3
VLAN 4, 5
SW1
SW3
SW2
Région CCNP
Root Br.
SW1
SW3
SW2
SW1
SW3
SW2
Root Br.
๏ Si la configuration ne doit pas être appliquée, utiliser la commande :
Switch(config-mst)# abort

Thomas Moegli
MST
Vérification : MST
82
Switch is in mst mode (IEEE Standard)
…
Name Blocking Listening Learning Forwarding STP Active
———————————————————— ———————- ————————— ————————— —————————- ——————————
MST0 0 0 0 24 24
MST1 0 0 0 4 4
MST2 0 0 0 4 4
———————————————————— ———————- ————————— ————————— —————————- ——————————
3 msts 0 0 0 32 32
…
๏ Vérifier les instances MST configurés

Thomas Moegli
MST
Vérification : MST
83
SW1(config-mst)# show current
Current MST configuration
Name [CCNP]
Revision 1 Instances configured 3
Instance Vlans mapped
———————— ———————-———————————————————————————-——————————
0 1,6-4094
1 2-3
2 4-5
———————————————————————————-———————————————————————————-——————————
๏ Vérifier l’association des VLANs aux instances MST

Thomas Moegli
MST
Vérification : MST
84
SW1# show spanning-tree mst configuration digest
Name [CCNP]
Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D
Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9
๏ Vérifier la cohérence de configuration MST entre switchs (les Digests doivent correspondre)
Name [CCNP]
Name [CCNP]

Thomas Moegli
๏ Vérification des rôles d’interface par MST :
MST
Vérification : MST
85
SW1# show spanning-tree mst 1
##### MST1 vlans mapped: 2-3
…
Gi0/2 Altn BLK 2000000 128.3 Shr
Gi0/3 Root FWD 2000000 128.4 Shr
…
##### MST2 vlans mapped: 4-5
…
Gi0/2 Root FWD 2000000 128.3 Shr
Gi0/3 Altn BLK 2000000 128.4 Shr
…

Thomas Moegli
MST
Vérification : MST
86
Gi0/0 Gi0/2
Gi0/1Gi0/3
GI0/2
Gi0/1
SW1
SW3
SW2
R
D
B
Root Port
Designated Port
Blocked Port
D
D
Root Br.
MST 1 MST 2
D
R
B
R
Gi0/0 Gi0/2
Gi0/1Gi0/3
GI0/2
Gi0/1
SW1
SW3
SW2
R
D
B
Root Port
Designated Port
Blocked Port
D
D
Root Br.
D
R
B
R

Thomas Moegli
๏ MST, comme tout autre variante STP, utilise cette séquence de 4 critère pour sélectionner le meilleur chemin :
๏ Plus petit BID
๏ Plus petit coût vers le switch Root
๏ Plus petit Sender BID
๏ Plus petit Sender Port ID
๏ Seule différence : ce calcul est effectué pour chaque instance MST
๏ CST utilise une instance unique pour tous les VLANs
๏ PVST utilise une instance par VLAN
MST
Fonctionnement : Sélection meilleur chemin
87

Thomas Moegli
๏ Il est de définir la priorité du port qui sera envoyé dans les BPDU
MST
Configuration : Priorité du port
88
SW1(config)# interface GigabitEthernet0/2
SW1(config-if)# spanning-tree mst 1 port-priority 32
…
Gi0/2 Altn BLK 2000000 32.3 Shr
Gi0/3 Root FWD 2000000 128.4 Shr
…

Thomas Moegli
๏ Il est de définir le coût du port qui sera envoyé dans les BPDU
MST
Configuration : Coût du port
89
SW1(config)# interface GigabitEthernet0/2
SW1(config-if)# spanning-tree mst 1 cost 1000000
…
Gi0/2 Altn BLK 1000000 32.3 Shr
Gi0/3 Root FWD 2000000 128.4 Shr
…

Mécanismes de stabilité

Thomas Moegli
๏ Mécanismes permettant d’améliorer les performances STP :
๏ **UplinkFast : Active un failover rapide des liens d’uplink sur les switchs d’accès
๏ **BackboneFast : Permet la reconvergence rapide lors d’une défaillance indirecte d’un lien
๏ PortFast : Configure les ports d’accès pour qu’ils soient directement à l’état Forwarding, sans passer par des états
intermédiaires
๏ Mécanismes permettant d’assurer la stabilité STP :
๏ BPDU Guard : Configuré sur un port d’accès, il permet de désactiver ce port immédiatement si un BPDU est détecté sur
l’interface
๏ BPDU Filter : Suppression de BPDUs sur certains ports
๏ Root Guard : Empêche d’autres switchs externes de devenir Root Bridge
๏ Loop Guard : Empêche un port Alternate de devenir Designated Port si aucun BPDU n’est reçu
** : Ces mécanismes ne sont pas nécessaires si l’administrateur utilise RSTP
Protocole STP
Mécanismes de stabilité
91

Thomas Moegli
SW 2 SW 3
SW 1
SW 4
Gi1/0
Gi1/1
๏ UplinkFast ne doit être activé que sur les switchs d’accès et
non sur les switchs de distribution ou de coeur
๏ UplinkFast réagit suite à la défaillance d’un lien directement
attaché.
๏ UplinkFast s’applique de manière globale sur le switch
๏ Mécanisme désactivé par défaut
๏ Sur la topologie ci-contre, lorsque l’interface Gi1/0 est
défaillant, le mécanisme STP s’enclenche pour faire transiter
le port Gi1/1 de l’état Blocked à l’état Root
๏ Cette transition peut prendre jusqu’à 50 secondes, l’arbre STP
devant être recalculé à nouveau
๏ Pour un switch d’accès, le long temps de convergence cause
un impact majeur aux équipements connectées
Mécanismes d’optimisation STP
UplinkFast
92
Root Bridge
B
F
PC A PC B

Thomas Moegli
SW 2 SW 3
SW 1
SW 4
Gi1/0
Gi1/1
๏ Le problème est que les terminaux connectés à SW4 sont
impactés durant la phase de transition
๏ De plus, la table CAM de SW2 indique que les terminaux
PCA et PCB sont joignables via l’interface Gi1/0 de SW4
๏ Il est nécessaire d’attendre que les entrées expirent (Aging
Time) avant que SW2 se décide à effectuer un broadcast et
trouver le lien passant par SW3
UplinkFast
93
Root Bridge
B
F
PC A PC B
PC A
PC A
PC A
LI
LE
F
B

Thomas Moegli
SW 2 SW 3
SW 1
SW 4
Gi1/0
Gi1/1
๏ UplinkFast permet d’activer immédiatement le port Blocked
à l’état Forwarding
๏ Uplink envoie également depuis SW4 des messages
Multicast dont l’adresse source MAC est celui de PC A ou PC
B
๏ Ces adresses sont diffusés sur l’ensemble du domaine et
parviennent ainsi à SW2 via SW3
๏ La table CAM de SW2 est ainsi automatiquement modifiée
pour transiter immédiatement par SW3 pour atteindre PCA ou
PCB
UplinkFast
94
Root Bridge
B
F
PC A PC B
F
B
Trame Multicast
Src MAC: PC A
Trame Multicast
Src MAC: PC A

Thomas Moegli
๏ UplinkFast s’active de manière globale sur le switch
๏ Commande : Switch(config) spanning-tree uplinkfast
๏ Par défaut, UplinkFast est désactivé
๏ Vérification : Switch# show spanning-tree uplink fast
๏ Ne configurer UplinkFast que sur les switchs qui ne sont pas situés entre le Root Bridge et un autre switch
๏ En résumé, ne configurer UplinkFast que sur les switchs d’accès
๏ UplinkFast ne peut être configuré lorsque RSTP est mis en oeuvre
๏ Si l’administrateur utilise RSTP, ce mécanisme est déjà inclus dans le protocole lui-même
UplinkFast
95
Switch(config)# spanning-tree uplinkfast
Switch# show spanning-tree uplinkfast

Thomas Moegli
๏ BackBoneFast est configuré sur tous les switchs
๏ BackBoneFast est configuré de manière globale
๏ Permet de réagir à une défaillance indirecte d’un lien
BackboneFast
96
SW 2 SW 3
SW 1
Gi1/1
Gi1/0
Gi1/1
Gi1/1
Gi1/0Gi1/0
RP
DP BP
RP
DP DP

Thomas Moegli
๏ Supposons que le lien entre SW2 et SW1 soit défaillant
๏ Lorsque ce lien est rompu, SW2 va croire qu’il sera le
Root Bridge
๏ SW2 va envoyer un BPDU à SW3 indiquant qu’il est le
Root Bridge
๏ Le Bridge ID de ce BPDU est inférieur au BID envoyé par
le vrai Root Bridge (SW1)
๏ Le BPDU envoyé par SW2 est appelé un Inferior BPDU
BackboneFast
97
SW 2 SW 3
SW 1
Gi1/1
Gi1/0
Gi1/1
Gi1/1
Gi1/0Gi1/0
RP
DP BP
RP
DP DP
Root Bridge
BPDU
SW2 est le Root Bridge
(Inferior BPDU)

Thomas Moegli
๏ Si SW3 n’est pas configuré avec BackboneFast, le BPDU
reçu va simplement être ignoré (car BID inférieur) et le
port Gi1/0 va rester en mode Blocking
๏ Attente de 20sec + 2x15 secondes avant que le port Gi1/0
passe à l’état Forwarding
๏ Si SW3 est configuré avec BackboneFast, il va vérifier s’il
contient toujours un lien vers le Root Bridge SW1
๏ Permet d’éviter le délai de 20 secondes
๏ Envoi sur tous les ports non DP (dans ce cas, le port RP
Gi1/1) d’un RLQ (Root Link Query)
BackboneFast
98
SW 2 SW 3
SW 1
Gi1/1
Gi1/0
Gi1/1
Gi1/1
Gi1/0Gi1/0
RP
DP BP
RP
DP DP
Root Bridge
RLQ
Est-ce que j’ai encore
un chemin vers le RB ?
RLQ
1
2
Oui. Ce chemin est le  
chemin vers le RB
RLQ Reply
RLQ Request
SW1 est le Root Bridge 
(BPDU)
RLQ
3
RP
4

Thomas Moegli
๏ Configurer BackboneFast sur l’ensemble des switchs du réseau 
Seuls les switchs sur lesquels BackboneFast est actif peuvent comprendre et traiter les requêtes RLQ
๏ BackboneFast se configure de manière globale sur le switch
๏ Activation de BackboneFast : 
๏ Par défaut, BackboneFast est désactivé
๏ Vérification du fonctionnement : 
๏ BackboneFast ne s’applique qu’aux topologies avec STP. Avec RSTP, ce mécanisme est intégré nativement dans le
protocole
BackboneFast : Configuration
99
SW1(config)# spanning-tree backbonefast
SW1# show spanning-tree backbonefast

Thomas Moegli
๏ PortFast est une fonctionnalité qui permet de faire transiter
les ports d’accès (ceux connectés aux clients) directement à
l’état Forwarding
๏ Le port ne transite pas notamment par les états Learning et
Listening
๏ Le port peut être utilisable dès le démarrage du switch
๏ Permet à certains clients qui démarrent en PXE de recevoir
une configuration IP
PortFast
100
F
LE
LI

Thomas Moegli
๏ Ne configurer PortFast que sur des interfaces d’accès, sur lesquelles sont connectés les équipements clients
๏ Activer PortFast sur une interface particulière : 
 
๏ Activer PortFast sur l’ensemble des interfaces d’accès (pas sur les interfaces de trunk) : 
๏ Vérification configuration PortFast : 
 
PortFast : Configuration
101
SW1(config)# interface FastEthernet0/1
SW1(config-if)# spanning-tree portfast
SW1(config)# spanning-tree portfast default
SW1# show spanning-tree interface FastEthernet 0/0 portfast

Thomas Moegli
๏ BPDU Guard est un mécanisme de protection qui
empêche tout intrus de connecter un switch et tenter
de s’intégrer à la topologie STP.
๏ Un risque potentiel est qu’un intrus connecte un switch
externe et tente de communiquer et s’intégrer à
l’algorithme STP par le biais d’échanges BPDUs
๏ Sur un port d’accès, seuls des équipements terminaux
sont autorisés
๏ Aucune trame BPDU ne devrait circuler sur ces ports
๏ BPDU Guard se configure sur les ports d’accès
๏ Dès qu’un port configuré avec BPDU Guard détecte des
trames BPDU qui y circulent, le mécanisme bloque
immédiatement le port
๏ Le port est mis à l’état err-disable
Mécanismes de sécurité
BPDU Guard
102
BPDU
BPDU

Thomas Moegli
๏ Configurer BPDU Guard sur un port particulier : 
 
๏ Configurer BPDU Guard sur l’ensemble des ports ou PortFast est actif : 
 
๏ Vérifier la configuration de BPDU Guard : 
BPDU Guard : Configuration
103
SW1(config-if)# spanning-tree bpduguard enable
SW1(config)# spanning-tree portfast bpduguard default
SW1# show spanning-tree summary totals

Thomas Moegli
๏ BPDU Filter permet d’empêcher de transmettre les messages
BPDUs sur un port particulier
๏ Prudence lors de la configuration car ce mécanisme peut
empêcher le fonctionnement de STP si mal configuré
๏ Ne pas utiliser BPDU Filter sauf si cela est absolument
nécessaire
๏ Exemple : Deux topologies STP distinctes mais connectées
peuvent fonctionner
๏ BPDU Filter empêche que les messages BPDU d’une instance
STP soient transmis à l’autre instance STP
BPDU Filter
104
BPDU
BPDU
BPDU
BPDU
BPDU
BPDU
BPDUBPDU
BPDU Filter

Thomas Moegli
๏ Activer BPDU sur un port spécifique : 
 
๏ Activer BPDU Filter sur l’ensemble des ports ayant PortFast activé : 
๏ Vérifier la configuration globale de BPDU Filter : 
๏ Vérifier la configuration de BPDU Filter pour un port particulier : 
BPDU Filter : Configuration
105
SW1(config-if)# spanning-tree bpdufilter enable
SW1(config)# spanning-tree pordtfast bpdufilter default
SW1# show spanning-tree summary totals
SW1# show spanning-tree interface Ethernet 0/0 detail

Thomas Moegli
๏ Root Guard est une fonctionnalité qui permet de garantir certains switchs (généralement les switchs Core et Distribution) d’être Root
Bridge et d’éviter qu’un switch d’accès ne devienne par mégarde Root Bridge
๏ Les switchs d’accès sont généralement moins performants et disposent de moins de ressources CPU et mémoire. 
Si ils deviennent Root Bridge, la charge processeur et mémoire liée aux calculs STP risquent de rendre ces switchs instables et défaillants.
๏ Ils risquent également de devenir un noeud principal pour le trafic de données entre VLANs
๏ Le chemin n’est pas optimal
๏ Le switch ne dispose pas des ressources pour gérer ce volume de trafic. Un goulet d’étranglement risque de se produire
๏ Un risque de sécurité est présent si un attaquant tente volontairement d’élire son switch en Root Bridge
Root Guard
106
SW3
Conﬁgurer RootGuard uniquement sur ces
interfaces
SW1 SW2

Thomas Moegli
SW 1 SW 2
SW 3Gi1/0/2
Gi1/0/1
Gi1/0/2
Gi1/0/2
Gi1/0/1Gi1/0/1
๏ RootGuard ne doit être configuré que sur les ports qui ne
seront pas connectés à un Root Bridge
๏ Les ports sur lesquels RootGuard est configuré se mettent
en err-disable (Root Inconsistent) s’ils reçoivent un
BPDU supérieur (BID plus haut).
๏ Ils ignorent donc les BPDU reçus sur cette interface
Root Guard
107
Primary
Root Bridge
Secondary
Root Bridge
Rootguard
Rootguard

Thomas Moegli
๏ Configurer Root Guard sur un port particulier : 
 
๏ Vérifier si un port est à l’état err-disable (Root Inconsistent) : 
Root Guard : Configuration
108
SW1(config-if)# spanning-tree guard root
SW1# show spanning-tree inconsistentports

Thomas Moegli
๏ Permet de placer un Designated Port à l’état Err-disable (Loop
Inconsistent) s’il ne reçoit plus de BPDU
๏ Peut être activé individuellement par port
๏ Se configure généralement sur tous les liens non configurés
pour RootGuard
๏ Peut être activé de manière globale
๏ S’active sur tous les liens Point-to-Point
Loop Guard
109
SW 1 SW 2
SW 3Gi1/0/2
Gi1/0/1
Gi1/0/2
Gi1/0/2
Gi1/0/1Gi1/0/1
SW 1 SW 2
SW 3Gi1/0/2
Gi1/0/1
Gi1/0/2
Gi1/0/2
Gi1/0/1Gi1/0/1
Root Bridge
Rootguard
Rootguard
Loopguard Loopguard
Loopguard
Loopguard
RP
BP
DP
DP
RP
DP

Thomas Moegli
๏ Dans l’exemple ci-contre, le lien entre SW2 et SW3 est
endommagé. SW3 ne reçoit plus les informations de SW2
๏ Il peut s’agir d’un libre fibre optique, le lien RX ayant pu être
endommagé physiquement
๏ SW3 ne reçoit plus les BPDU de SW2
๏ Si SW3 Gi1/0/2 est configuré avec Loop Guard, le port se met
à l’état Err-Disable (Loop Inconsistent)
Loop Guard
110
SW 1 SW 2
SW 3Gi1/0/2
Gi1/0/1
Gi1/0/2
Gi1/0/2
Gi1/0/1Gi1/0/1
SW 1 SW 2
SW 3Gi1/0/2
Gi1/0/1
Gi1/0/2
Gi1/0/2
Gi1/0/1Gi1/0/1
Root Bridge
Rootguard
Rootguard
Loopguard Loopguard
Loopguard
Loopguard
RP
BP
DP
DP
RP
DP

Thomas Moegli
๏ Configurer Loop Guard sur un port particulier : 
 
๏ Configurer Loop Guard sur l’ensemble des interfaces connectés à des liens Point-to-Point : 
๏ Vérifier si la fonction LoopGuard est activée : 
Loop Guard : Configuration
111
SW1(config-if)# spanning-tree guard loop
SW1(config)# spanning-tree loopguard default

Spanning-Tree

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Spanning-Tree

Similaire à Spanning-Tree (20)

Plus de Thomas Moegli

Plus de Thomas Moegli (9)

Spanning-Tree