📘 Module Académique : L'Écosystème du Spanning Tree – Du Chaos Potentiel à l'Arbre Ordonné

Imaginez un système de chauffage urbain complexe desservant une ville.

Mapping Explicite

• Chaudière → Pont Racine.
• Canalisation entre deux nœuds → Segment Ethernet / Lien Trunk.
• Vanne sur une canalisation → Port de commutateur avec son état STP.
• Eau chaude qui circule → Trame de données (Broadcast, Unknown Unicast).
• Messages de contrôle entre les vannes (pression, température) → BPDU.
• Boucle de canalisation avec vannes ouvertes → Boucle de couche 2 → Tempête de diffusion.
• Plan de l'ingénieur (quelles vannes fermer) → Topologie Spanning Tree finale.

Le domaine STP est un système vivant de régulation au sein de la couche 2. Son rôle n'est pas de créer des chemins, mais d'en inhiber pour préserver la stabilité globale. Il transforme un graphe physique maillé (plein de boucles) en un arbre logique (sans boucle).

Composants : Commutateurs, ports, liens, BPDU (le langage du système), BID (l'identité et le rang).

Interactions : Échange incessant de BPDU pour négocier les rôles. Calcul distribué du chemin optimal vers la racine.

Dépendances : Toute la topologie logique dépend de l'identité du Pont Racine. Un changement de Pont Racine déclenche un recalcul en cascade.

Causalités :

• Si le Pont Racine tombe en panne → le système converge vers un nouveau Pont Racine.
• Si un lien actif tombe en panne → un port bloqué se réactive (après les délais).
• Si on abaisse la priorité d'un commutateur → il devient probablement le nouveau Pont Racine → toute la topologie des chemins est recalculée.
• Si on active PortFast sur un port connecté à un autre commutateur → risque de création d'une boucle non détectée.

Rôle dans les réseaux modernes : STP et ses évolutions (RSTP, MSTP) sont les gardiens de la stabilité de la couche de commutation Ethernet. Ils permettent d'implémenter la redondance physique (chemins multiples) sans souffrir de ses effets destructeurs (boucles logiques), garantissant ainsi la disponibilité.

Positionnement dans les modèles :

• Modèle OSI : Couche 2 (Liaison de données). STP opère au niveau des trames Ethernet et des adresses MAC.
• Modèle TCP/IP : Couche Accès réseau. Il est totalement indépendant des adresses IP (couche 3). C'est une erreur conceptuelle majeure de le confondre avec un protocole de routage comme OSPF. Le routage gère la redondance par équilibrage de charge et métriques ; STP la gère par blocage pur.

Frontières du domaine : STP opère au sein d'un domaine de broadcast unique. Avec PVST+, chaque VLAN a son propre domaine STP. Sa frontière s'arrête aux routeurs ou aux liens où la commutation de couche 2 cesse.

Relations avec les autres briques :

• Avec le VLAN : PVST+ crée une instance STP par VLAN, permettant des arbres logiques différents par VLAN.
• Avec le routage (Couche 3) : Dans les designs modernes (fabric switching, routage everywhere), on réduit le domaine STP à la seule couche d'accès. La redondance entre distribution et cœur est gérée par des protocoles de couche 3 (ECMP), éliminant le besoin de STP sur ces liens et ses délais de convergence.

A. La Genèse de la Boucle Catastrophique

Fonctionnement normal d'un switch : Pour une trame dont l'adresse MAC de destination est inconnue (Unknown Unicast) ou est une adresse de Broadcast/Multicast, le switch utilise le flooding : il envoie la trame sur tous ses ports, sauf celui de réception.

Condition de validité : Ce mécanisme est sain dans une topologie en arbre.

Limite et cas frontière : Dès qu'une boucle physique existe entre deux switches ou plus, la trame va tourner en rond indéfiniment. Chaque passage sur un switch déclenche un nouveau flooding, créant une réaction en chaîne exponentielle : c'est la tempête de diffusion. Contrairement aux paquets IP qui ont un TTL, les trames Ethernet n'ont pas de compteur de sauts. Elles tournent jusqu'à ce que la boucle soit rompue ou que les équipements soient saturés.

B. Le Langage du Système : Les BPDU

Séquence logique : Tous les 2 secondes (Hello Time), chaque switch envoie une BPDU de configuration sur chacun de ses ports. Ce message dit : "Je suis le switch [BID], et je pense que le Pont Racine est [Root BID], à un coût de [Root Path Cost] depuis moi."

Fonctionnement : En recevant une BPDU sur un port, un switch compare l'information "Pont Racine revendiqué" avec sa propre connaissance. Si la BPDU reçue annonce un meilleur Pont Racine (BID plus bas), le switch met à jour sa table et relaie cette information à ses autres ports, en ajoutant le coût du port d'entrée au Root Path Cost. C'est ainsi que la connaissance du meilleur Pont Racine se propage.

A. Le Cœur : Spanning Tree Protocol (STP - IEEE 802.1D)

• Objectif : Établir une topologie en boucle unique en quatre étapes.
• Couche : 2 (Liaison de données).
• Encapsulation : Trame Ethernet de type 0x4242 (propriétaire Cisco) ou destination MAC 01:80:C2:00:00:00 (adresse MAC de pontage IEEE).
• Champs importants : Bridge ID (BID), Root BID, Root Path Cost, Port ID.
• Comportement normal : Convergence lente (30 à 50 secondes). Utilise 5 états de port.
• Interactions : Nécessite des minuteurs (Hello, Fwd Delay, Max Age) synchronisés sur le Pont Racine.

B. L'Identité et le Rang : Le Bridge ID (BID)

• Objectif : Identifier de manière unique un switch dans le processus STP et déterminer sa priorité pour être Pont Racine.
• Structure : 8 octets = Priorité (2 octets) + ID système étendu (2 octets sur 3, mais valeur significative sur 12 bits) + Adresse MAC (6 octets).
• Décision : Le BID le plus bas gagne.
  1. On compare d'abord la priorité (plus basse = mieux). Valeur par défaut : 32768.
  2. En cas d'égalité, on compare l'ID système étendu (lié au VLAN dans PVST+).
  3. En dernier recours, on compare l'adresse MAC (plus basse = mieux).
• Illusion conceptuelle déconstruite : "Le Pont Racine est celui avec la priorité la plus basse". C'est presque vrai, mais incomplet. C'est le BID le plus bas qui est élu. Avec les configurations par défaut (priorité identique à 32768), c'est effectivement l'adresse MAC la plus basse qui l'emporte, pas une priorité "plus basse".
• ID système étendu : Son inclusion est une évolution majeure. Il encode le numéro de VLAN (sur 12 bits), permettant à PVST+ d'exécuter une instance STP indépendante par VLAN.

C. Les Rôles de Port : La Clé de la Prévention des Boucles

1. Port Racine (Root Port - RP) :
   • Objectif : Être le meilleur chemin depuis ce switch vers le Pont Racine.
   • Détermination : Le port avec le Root Path Cost le plus bas. Ce coût est la somme des coûts des liens depuis le Pont Racine. En cas d'égalité de coût, on utilise un ordre de tie-breaker : BID voisin le plus bas, puis Port ID voisin le plus bas.
   • État : Forwarding (après les états transitoires).
2. Port Désigné (Designated Port - DP) :
   • Objectif : Être le meilleur port sur un segment LAN pour envoyer/recevoir le trafic vers/du Pont Racine.
   • Détermination : Par segment (lien entre deux switches, ou lien vers un hôte), le port du switch qui a le meilleur chemin vers le Pont Racine devient DP. Si les deux switches ont le même coût, c'est le port du switch avec le BID le plus bas qui gagne.
   • État : Forwarding.
   • Illusion conceptuelle déconstruite : "Le port désigné est le meilleur port vers le Pont Racine". C'est ambigu. Le Port Racine est le meilleur port depuis un switch. Le Port Désigné est le meilleur port pour un segment. Sur le lien direct entre un switch non-racine et le Pont Racine, le port du Pont Racine est DP, et le port du switch non-racine est RP.
3. Port Alternatif / Bloqué (Alternate/Blocked Port) :
   • Objectif : Être le port redondant, prêt à prendre le relais, mais bloqué pour prévenir la boucle.
   • Détermination : Tout port qui n'est ni RP ni DP.
   • État : Blocking (STP) / Discarding (RSTP). Il écoute les BPDU mais ne transmet aucune trame de données utilisateur.

D. La Convergence et ses États (STP vs RSTP)

• Minuteurs STP : Sources de lenteur.
  • Hello (2s) : Intervalle des BPDU.
  • Forward Delay (15s) : Temps passé dans chacun des états Listening et Learning. Total : 30 secondes d'attente avant de transmettre des données.
  • Max Age (20s) : Temps maximum pour attendre une BPDU avant de considérer le chemin perdu.
• États des Ports STP :
  • Blocking : Reçoit des BPDU seulement. Aucune donnée. Attente de 20s (Max Age) si aucune BPDU.
  • Listening : Reçoit et envoie des BPDU pour déterminer la topologie. Ne transmet PAS de trames de données. Attente de 15s.
  • Learning : Reçoit et envoie des BPDU. Commence à peupler la table MAC à partir des trames reçues. Ne transmet PAS de trames de données. Attente de 15s.
  • Forwarding : Opération normale. Transmet BPDU et données.
  • Disabled : Administrativement désactivé.
• Rapid Spanning Tree Protocol (RSTP - IEEE 802.1w) :
  • Objectif : Convergence en quelques centaines de millisecondes.
  • Changement majeur : Réduction à trois états opérationnels.
    • Discarding : Fusion des états Disabled, Blocking et Listening. Aucune donnée utilisateur ne passe.
    • Learning : Identique à STP.
    • Forwarding : Identique à STP.
  • Avantage : Élimine les délais passifs. Les ports peuvent passer directement de Discarding à Forwarding via des mécanismes de négociation de port rapide (Proposal/Agreement).

E. Les Implémentations par VLAN

• PVST+ (Per-VLAN Spanning Tree Plus - Cisco) : Exécute une instance STP 802.1D par VLAN. Permet d'avoir un Pont Racine différent par VLAN, répartissant ainsi le trafic sur les différents liens uplinks.
• Rapid-PVST+ (Cisco) : Exécute une instance RSTP 802.1w par VLAN. C'est la norme sur les commutateurs Cisco modernes. Offre la convergence rapide de RSTP avec la granularité par VLAN de PVST+.

F. Les Optimisations pour l'Accès

• PortFast :
  • Objectif : Éviter les délais de 30 secondes (Listening + Learning) sur les ports d'accès connectés à des hôtes finaux (PC, serveur, imprimante).
  • Fonctionnement : Le port passe immédiatement à l'état Forwarding dès qu'il est activé physiquement. Il ignore les états transitoires.
  • Condition de validité : DOIT être utilisé uniquement sur des ports connectés à des équipements terminaux qui ne génèrent PAS de boucle. Jamais sur un lien vers un autre switch.
  • Conséquence pratique : Résout le problème des clients DHCP qui expirent avant d'obtenir une adresse IP.
• Protection BPDU (BPDU Guard) :
  • Objectif : Sécuriser la configuration PortFast.
  • Fonctionnement : Si un port avec PortFast et BPDU Guard activés reçoit une BPDU (ce qui indiquerait qu'un switch a été connecté par erreur), il est immédiatement mis dans l'état err-disabled (désactivé par erreur). Cela empêche la création accidentelle d'une boucle.
  • C'est une mesure de sécurité proactive indispensable avec PortFast.

Un expert ne voit pas STP comme une collection de commandes, mais comme un système dynamique dont il influence le comportement.

1. Penser en causalité et en système :
   • Avant de changer la priorité STP d'un switch, l'expert anticipe : "Si je fais de ce switch le Pont Racine, tous les chemins racine vont-ils être optimaux ? Vais-je créer un goulot d'étranglement ?"
   • Il comprend que modifier un coût de port sur un lien influence non seulement les ports directs, mais peut aussi déclencher un changement de rôle de port (DP vers bloqué) sur un segment distant, modifiant ainsi tout le flux de trafic.
2. La méthodologie de dépannage STP :
   • Étape 1 : Identifier le Pont Racine réel (show spanning-tree root). Est-ce le switch souhaité par le design ? Sinon, vérifier les BID.
   • Étape 2 : Vérifier les rôles de port (show spanning-tree detail). Pour un lien qui devrait être actif mais ne passe pas de trafic : est-ce que le port est bien en Forwarding ? Est-il DP ou RP ? Si non, pourquoi ? (Coût trop élevé ? BID voisin meilleur ?)
   • Étape 3 : Auditer la cohérence. Les BPDU sont-elles reçues partout ? Un filtre ACL bloque-t-il le protocole 0x4242 ou l'adresse MAC 01:80:C2:00:00:00 ?
   • Étape 4 : Vérifier les optimisations. Les ports d'accès ont-ils PortFast et BPDU Guard ? Si oui, un port est-il en err-disabled ? Cela signale une mauvaise connexion.
3. Design pour la résilience et la performance :
   • L'expert choisit manuellement et place stratégiquement le Pont Racine (et le Pont Racine secondaire) au centre de la topologie logique, généralement sur les switches de distribution ou de cœur, qui sont les plus puissants et disponibles.
   • Il utilise PVST+ ou Rapid-PVST+ pour répartir la charge du trafic des différents VLAN sur des liens uplinks différents, en assignant des Ponts Racine différents.
   • Il limite le domaine STP. Dans un design moderne, il pousse le routage (L3) aussi loin que possible vers la périphérie, confinant STP à un petit nombre de switches d'accès, réduisant ainsi la complexité et le risque de perturbation à grande échelle.

Lois Conceptuelles :

Équations Mentales :

Rappel de l'Analogie :

• Multiple Spanning Tree (MSTP - IEEE 802.1s) : Le successeur évolué de PVST+. Au lieu d'une instance par VLAN (lourd), il permet de mapper plusieurs VLAN sur un même arbre logique (MSTI). On peut ainsi avoir quelques arbres seulement (ex: "Arbre_VLANs_Data", "Arbre_VLANs_Voix") et répartir la charge, avec une bien meilleure efficacité que PVST+ à grande échelle.
• Les limites de STP et le paradigme du "Routage Everywhere" : Dans les data centers modernes (fabric VXLAN, EVPN), STP est souvent désactivé. La redondance et la boucle libre sont garanties par des protocoles de couche 3 (sous-jacents ou overlay) et des protocoles de contrôle de fabrique qui gèrent nativement les multi-chemin (ECMP). STP est vu comme un protocole lent, réactif et peu scalable pour ces environnements.
• Protections avancées : Au-delà de BPDU Guard, l'expert connaît Root Guard (empêche un port de devenir Port Racine, protégeant le Pont Racine élu), Loop Guard (détecte les boucles unidirectionnelles), et UDLD (UniDirectional Link Detection), pour renforcer la robustesse de l'arbre.
• Vision "Vendor-Neutral" : Comprendre que les concepts de BID, RPC, RP, DP sont universels (IEEE). Les implémentations comme PVST+ sont des extensions Cisco. MSTP est le standard ouvert recommandé pour les réseaux multi-vendors complexes.