Le Spanning Tree Protocol, souvent abrégé STP, fait partie de ces mécanismes réseau que l’on oublie quand tout va bien, mais que l’on redécouvre brutalement quand un réseau local s’effondre.

Une boucle Ethernet peut transformer un réseau stable en incident généralisé : ports saturés, équipements injoignables, WiFi instable, adoption UniFi impossible, caméras qui décrochent, téléphones IP inutilisables, lenteurs sans cause apparente.

Le piège, c’est que le problème ne ressemble pas toujours à une “boucle” sur le terrain. Il ressemble souvent à un réseau capricieux, à des déconnexions aléatoires ou à un switch qui semble bloquer des ports sans raison.

STP existe pour empêcher ce scénario. Il permet de garder des liens redondants sans laisser les trames Ethernet tourner en boucle indéfiniment.

Dans un réseau professionnel, ce n’est pas une option de confort. C’est une brique de stabilité.

Chez BoucheCousue, nous voyons STP comme un sujet de conception, pas seulement comme une case à cocher.

Un bon déploiement réseau doit prévoir qui est le switch racine, quels ports sont des uplinks, quels ports sont des ports clients, où activer STP Edge, où appliquer BPDU Guard, et comment éviter les boucles créées par des équipements mal raccordés ou des chemins WiFi inattendus.

Vidéo UniFi Academy à regarder

La page UniFi Academy “Switching, Routing, and Why STP Exists” liste une vidéo YouTube dédiée au sujet qu’on vous invite à regarder.

Elle résume visuellement pourquoi le switching Ethernet est rapide, pourquoi les boucles sont dangereuses et comment STP force une topologie de niveau 2 à se comporter comme un arbre sans boucle :

Lien direct : UniFi Academy: Switching, Routing, and Why STP Exists

Ce qu’il faut retenir

• Le switching Ethernet fonctionne au niveau 2 et apprend les adresses MAC pour transférer les trames rapidement.
• Quand la destination est inconnue, un switch diffuse la trame sur plusieurs ports.
• Si plusieurs chemins physiques créent une boucle, les trames peuvent circuler en continu.
• Une boucle peut provoquer une tempête de broadcast, du MAC flapping, une saturation et des coupures réseau.
• STP et RSTP créent une topologie logique sans boucle en bloquant certains ports redondants.
• Le Root Bridge doit être choisi volontairement, idéalement sur un switch central et stable.
• Les ports clients doivent être protégés avec STP Edge, BPDU Guard et, selon le contexte, Loop Protection.
• Les points d’accès câblés ne doivent pas conserver un chemin mesh inutile qui pourrait créer un chemin alternatif.
• Un réseau fiable ne dépend pas seulement du matériel : il dépend de la topologie, des priorités STP et des protections de bordure.

Switching niveau 2 et routing niveau 3 : deux logiques différentes

Pour comprendre STP, il faut d’abord distinguer deux familles d’équipements.

Un routeur travaille au niveau 3. Il relie des réseaux IP différents. Il consulte une table de routage, applique des règles, choisit un chemin, passe d’un sous-réseau à l’autre et peut participer à des protocoles de routage.

Un switch Ethernet travaille principalement au niveau 2. Il relie des équipements dans un même domaine de broadcast. Son objectif est simple : transférer rapidement les trames vers le bon port.

Pour cela, le switch apprend les adresses MAC. Quand une trame arrive, il regarde l’adresse MAC source et mémorise sur quel port elle a été vue. Progressivement, il construit une table de correspondance :

Adresse MAC	Port connu
PC comptabilité	Port 5
Imprimante	Port 12
Borne WiFi	Port 18
Uplink vers un autre switch	Port 24

Quand le switch connaît la destination, il envoie la trame vers le bon port. Quand il ne la connaît pas, il la diffuse sur les autres ports du VLAN concerné.

Ce comportement est normal. Il rend le switching très efficace, mais il devient dangereux si la topologie contient une boucle.

Pourquoi une boucle Ethernet est si dangereuse

Ethernet n’a pas de compteur de durée de vie comparable au TTL IP. Une trame qui boucle peut donc continuer à circuler. Avec plusieurs switches et plusieurs liens redondants, une trame diffusée peut être reçue, recopiée, rediffusée, puis reçue de nouveau.

Le réseau devient alors une caisse de résonance.

Une seule trame peut se multiplier très vite. Le trafic inutile augmente, les liens se saturent, les CPU de certains équipements montent, les tables MAC deviennent instables, et les utilisateurs ne voient qu’une chose : “le réseau ne marche plus”.

Les symptômes typiques sont :

• lenteurs soudaines sur tout un site ;
• pertes de paquets ;
• latence élevée ;
• téléphones IP qui se désenregistrent ;
• caméras ou bornes WiFi qui disparaissent ;
• ports qui passent en état bloqué ;
• switches qui deviennent difficiles à administrer ;
• trafic broadcast ou multicast anormal ;
• adresses MAC vues alternativement sur plusieurs ports.

Ce dernier point est important. Quand une adresse MAC apparaît sur plusieurs ports à intervalles rapprochés, on parle souvent de MAC flapping. Le switch ne sait plus où se trouve réellement l’équipement. Il réapprend en permanence, flood davantage de trafic et déclenche des changements de topologie.

Le rôle de STP : garder les câbles, supprimer la boucle logique

STP ne retire pas les câbles. Il transforme une topologie physique qui peut contenir des liens redondants en une topologie logique sans boucle.

L’idée est simple : si plusieurs chemins existent entre deux points, STP choisit le meilleur chemin actif et bloque les chemins redondants. Les ports bloqués restent connectés, mais ils ne transfèrent pas les trames de données tant qu’ils ne sont pas nécessaires.

Cela permet d’avoir :

• une topologie stable en temps normal ;
• des liens de secours disponibles ;
• une protection contre les boucles de niveau 2 ;
• une convergence possible quand un lien principal tombe.

STP utilise pour cela des messages de contrôle appelés BPDU, pour Bridge Protocol Data Units. Les switches échangent ces messages pour comprendre la topologie, élire une référence commune et décider quels ports doivent transférer ou bloquer.

Root Bridge : le switch de référence

Au cœur de STP se trouve le Root Bridge. C’est le switch de référence de la topologie de niveau 2. Tous les autres switches calculent leur meilleur chemin vers lui.

Si vous laissez le réseau choisir automatiquement, le Root Bridge peut être un équipement mal placé : un petit switch d’accès, un switch dans une baie secondaire, ou un matériel qui n’est pas le cœur logique du réseau. Ce n’est pas forcément catastrophique sur un petit site, mais c’est une mauvaise base pour un réseau professionnel.

Dans un design propre, le Root Bridge doit être choisi volontairement :

• switch central ;
• équipement stable ;
• alimentation fiable ;
• liens montants cohérents ;
• rôle clair dans l’architecture ;
• supervision possible.

On utilise les priorités STP pour influencer cette élection. La règle générale est de donner la priorité la plus basse au switch qui doit devenir racine, puis d’augmenter les priorités à mesure que l’on descend vers les couches d’accès.

Exemple simple :

Couche réseau	Rôle	Priorité STP typique
Cœur	Root Bridge principal	0, 4096 ou 8192
Distribution / agrégation	Niveau intermédiaire	12288 ou 16384
Accès	Switches utilisateurs	Valeur supérieure

L’objectif n’est pas de retenir un chiffre magique. L’objectif est d’obtenir une hiérarchie volontaire, lisible et déterministe.

STP, RSTP : pourquoi on parle souvent de Rapid Spanning Tree

Le STP historique fonctionne, mais sa convergence peut être lente. Dans les réseaux modernes, on utilise généralement RSTP, pour Rapid Spanning Tree Protocol.

RSTP garde la même philosophie : éviter les boucles, élire une racine, choisir les meilleurs chemins et bloquer les ports redondants. Sa différence principale est sa capacité à converger plus vite quand la topologie change.

Dans un environnement réel, cette vitesse compte. Quand un lien tombe, qu’un switch redémarre ou qu’un port change d’état, le réseau doit retrouver un état stable rapidement. Une convergence lente peut se traduire par des coupures visibles pour les utilisateurs.

Dans UniFi, RSTP est généralement le comportement attendu sur les switches compatibles. Il faut toutefois vérifier la configuration globale, les réglages par switch et les exceptions par port.

STP Edge : accélérer les ports utilisateurs

Tous les ports d’un switch n’ont pas le même rôle.

Un port connecté à un autre switch fait partie de l’infrastructure. Il doit participer pleinement à STP. Un port connecté à un PC, une imprimante, une caisse, un téléphone IP ou un terminal métier n’est normalement pas censé créer une topologie de switches.

STP Edge sert à traiter ces ports clients comme des ports de bordure. Le port peut passer rapidement en forwarding sans déclencher inutilement des recalculs de topologie à chaque branchement d’un équipement utilisateur.

C’est utile pour :

• accélérer la connexion des postes ;
• limiter les changements de topologie inutiles ;
• éviter qu’un périphérique dual-homed perturbe tout le domaine de niveau 2 ;
• garder une architecture plus stable.

Mais STP Edge repose sur une hypothèse : le port est bien connecté à un terminal, pas à un switch ou à un bridge. C’est pour cela qu’il doit souvent être associé à BPDU Guard.

BPDU Guard : protéger les ports clients

Un port client ne devrait pas recevoir de BPDU. Si un port configuré comme port de bordure reçoit une BPDU, cela signifie souvent qu’un équipement de switching ou de bridge a été branché là où il ne devrait pas l’être.

BPDU Guard sert à protéger le réseau dans ce cas. Si une BPDU est détectée sur un port protégé, le port est désactivé. C’est volontairement strict : mieux vaut couper un port suspect que laisser une boucle perturber tout le site.

Cas typiques :

• un utilisateur branche un petit switch non administré sous un bureau ;
• deux prises murales sont reliées entre elles par erreur ;
• un équipement audiovisuel fait du bridging ;
• un système domotique ou audio crée un chemin inattendu ;
• un appareil mélange Ethernet et WiFi d’une façon non maîtrisée.

Sur un réseau professionnel, BPDU Guard est une protection importante sur les ports utilisateurs. Elle doit être déployée avec méthode, car un port coupé nécessite souvent une intervention administrateur.

Les boucles ne viennent pas seulement des switches

Une boucle Ethernet n’est pas toujours causée par deux câbles entre les mêmes switches.

Les incidents modernes viennent souvent d’équipements qui mélangent plusieurs chemins :

• enceintes connectées avec réseau mesh propriétaire ;
• ponts WiFi ;
• bornes configurées avec uplink filaire et mesh inutile ;
• PC connectés en Ethernet et en WiFi ;
• boîtiers multimédias ;
• petits switches non administrés ;
• équipements IoT ;
• installations temporaires laissées en place.

Certains équipements ne créent pas forcément une vraie boucle, mais peuvent provoquer du MAC flapping. Leur adresse MAC apparaît tantôt côté filaire, tantôt côté WiFi, ou sur plusieurs ports. Pour le switch, la localisation change en permanence. Le réseau devient instable sans qu’un câble en boucle soit immédiatement visible.

C’est une raison pour laquelle les audits réseau ne doivent pas se limiter au cœur de réseau. Il faut regarder les ports d’accès, les appareils des salles de réunion, les équipements audio, les bornes, les imprimantes et les petits switches ajoutés hors procédure.

Points d’accès WiFi câblés : attention au mesh

Dans un réseau UniFi, un point d’accès peut parfois utiliser un uplink sans fil. C’est pratique dans certains cas. Mais quand une borne est déjà raccordée en Ethernet, conserver un chemin mesh inutile peut créer un chemin alternatif indésirable.

Dans une architecture propre, une borne câblée doit utiliser son uplink filaire. Le mesh ne doit rester actif que lorsqu’il a un rôle clair et maîtrisé.

Le risque n’est pas seulement la boucle franche. C’est aussi l’instabilité : chemins alternatifs, comportements dual-homed, changements de topologie, MAC vues à plusieurs endroits, latence et pertes temporaires.

Pour BoucheCousue, ce point est important dans les déploiements WiFi : un bon réseau sans fil commence aussi par une infrastructure filaire saine.

Comment configurer une base saine dans un réseau

Une configuration STP correcte n’est pas universelle, mais une méthode de base se dégage.

1. Garder RSTP actif

Il faut éviter de désactiver STP ou RSTP pour “résoudre” un port bloqué sans comprendre pourquoi il est bloqué. Si STP bloque un port, il signale souvent un vrai sujet de topologie.

Désactiver STP peut faire disparaître l’alerte tout en supprimant la protection.

2. Définir le Root Bridge

Le switch central doit être désigné comme racine via une priorité adaptée. Les switches de distribution ou d’accès doivent recevoir des priorités cohérentes avec leur rôle.

L’objectif est que le chemin logique corresponde à l’architecture voulue.

3. Identifier les uplinks

Les ports entre switches, vers le cœur, vers une baie secondaire ou vers une agrégation doivent être traités comme des ports d’infrastructure.

Ils ne doivent pas être configurés comme de simples ports clients.

4. Protéger les ports utilisateurs

Sur les ports connectés aux terminaux, il faut envisager :

• STP Edge ;
• BPDU Guard ;
• Loop Protection ;
• profils de ports cohérents ;
• VLAN natif et VLAN tagués strictement nécessaires.

Ce sont ces protections qui empêchent un petit branchement local de devenir une panne générale.

5. Désactiver le mesh inutile

Les bornes câblées doivent être vérifiées. Si l’uplink Ethernet est présent et fiable, le mesh sans fil ne doit pas créer de chemin alternatif non prévu.

6. Surveiller les événements

Un bon design STP doit être accompagné d’une supervision :

• ports bloqués ;
• changements de topologie ;
• MAC flapping ;
• trafic broadcast inhabituel ;
• uplinks qui changent d’état ;
• erreurs physiques et négociation de lien ;
• ports désactivés par BPDU Guard ou Loop Protection.

La stabilité réseau se mesure dans le temps.

Exemple concret : le petit switch sous un bureau

Un utilisateur manque de prises. Il branche un petit switch non administré sous son bureau. Puis quelqu’un relie deux prises murales au même petit switch, ou connecte un équipement qui fait lui-même du bridge.

Au début, tout semble fonctionner. Puis le réseau devient lent. Les bornes WiFi décrochent. Les caméras perdent leur flux. Les utilisateurs parlent d’un problème Internet, alors que l’incident se situe dans le niveau 2 local.

Avec STP correctement configuré, un port peut être bloqué ou désactivé avant que la boucle ne se propage. Avec BPDU Guard et Loop Protection sur les ports d’accès, le défaut reste localisé. Sans protection, l’incident peut remonter beaucoup plus haut dans le réseau.

La leçon est simple : les ports d’accès ne sont pas des zones de confiance illimitée.

Exemple concret : l’enceinte ou le pont WiFi dual-homed

Certains équipements disposent d’un port Ethernet et d’une connectivité sans fil. S’ils relient ces deux interfaces ou participent à un réseau mesh propriétaire, ils peuvent créer un chemin de niveau 2 inattendu.

Ce type d’incident est difficile à diagnostiquer, car personne n’a forcément ajouté un câble évident entre deux switches. Le réseau peut seulement montrer des symptômes diffus : instabilité, ports bloqués, MAC flapping, lenteurs.

Les environnements avec audio multiroom, AV, IoT, salles de réunion et équipements grand public intégrés dans un réseau professionnel demandent une attention particulière.

Ce que BoucheCousue vérifie dans un audit STP

Un audit STP ne consiste pas seulement à regarder si la case “RSTP” est activée.

Nous vérifions notamment :

• la topologie physique réelle ;
• le rôle des switches ;
• l’élection du Root Bridge ;
• les priorités STP ;
• les ports bloqués ;
• les ports d’uplink ;
• les ports clients ;
• les profils de ports ;
• les VLAN tagués et non tagués ;
• les équipements dual-homed ;
• la présence de petits switches non administrés ;
• les bornes câblées avec mesh actif ;
• les événements de MAC flapping ;
• les protections BPDU Guard et Loop Protection ;
• la cohérence entre design réseau et réalité terrain.

Ce travail évite de traiter les symptômes au lieu de la cause.

Plan d’action recommandé

Pour fiabiliser STP sur un réseau d’entreprise, commencez par cette séquence :

1. Cartographier les switches, les uplinks et les VLANs.
2. Identifier le switch qui doit devenir Root Bridge.
3. Configurer les priorités STP par couche.
4. Vérifier que RSTP est actif sur les switches compatibles.
5. Classer les ports : infrastructure, client, borne WiFi, caméra, VoIP, AV, IoT.
6. Activer STP Edge sur les ports clients.
7. Activer BPDU Guard sur les ports qui ne doivent jamais recevoir de switch.
8. Activer Loop Protection lorsque le contexte d’exploitation le permet.
9. Désactiver le mesh inutile sur les bornes WiFi câblées.
10. Surveiller les événements STP et MAC flapping après changement.
11. Documenter la topologie cible et les exceptions.

Cette méthode est moins spectaculaire qu’un remplacement massif de matériel, mais elle corrige souvent les causes profondes d’instabilité.

FAQ

STP ralentit-il le réseau ?

STP ne ralentit pas le trafic normal quand la topologie est stable. Il peut bloquer certains chemins redondants pour éviter les boucles. Le vrai coût d’un réseau sans STP correctement configuré est beaucoup plus élevé : instabilité, tempêtes de broadcast et coupures.

Quelle différence entre STP et RSTP ?

STP est le protocole historique. RSTP est une version plus rapide à converger lors des changements de topologie. Dans les réseaux modernes, RSTP est généralement préféré quand les équipements le supportent.

Faut-il désactiver STP si un port est bloqué ?

Non, pas sans analyse. Un port bloqué peut signaler une redondance normale ou une boucle réelle. Désactiver STP peut supprimer la protection et aggraver l’incident.

Où placer le Root Bridge ?

Le Root Bridge doit être un switch central, stable et logique dans l’architecture. Il ne devrait pas être choisi par hasard sur un switch d’accès.

Quand activer BPDU Guard ?

BPDU Guard est pertinent sur les ports qui doivent accueillir uniquement des terminaux clients. Si une BPDU arrive sur ce type de port, il vaut mieux couper le port que laisser un équipement non prévu influencer la topologie.

STP protège-t-il contre toutes les boucles ?

STP protège contre les boucles visibles dans son domaine de fonctionnement. Des protections complémentaires, comme Loop Protection, une bonne segmentation, la désactivation du mesh inutile et une supervision sérieuse, restent nécessaires.

Pourquoi les équipements Sonos, IoT ou AV posent parfois problème ?

Certains équipements peuvent créer des chemins alternatifs, faire du bridging ou utiliser leur propre logique mesh. Ils peuvent alors provoquer des boucles ou du MAC flapping. Ils doivent être intégrés avec des règles réseau précises.

Sources et références

• UniFi Academy, article : Switching, Routing, and Why STP Exists
• UniFi Academy, vidéo YouTube : UniFi Academy: Switching, Routing, and Why STP Exists
• Ubiquiti Help Center : Understand and Mitigate Network Loops (STP)
• Ubiquiti Help Center : UniFi Switch Settings
• Ubiquiti Help Center : Best Practices for Sonos Devices

Vous voulez fiabiliser une infrastructure UniFi, clarifier votre topologie ou corriger des instabilités réseau ? BoucheCousue peut vous aider à auditer vos switches, vos VLANs, vos priorités STP et vos protections de ports. Contact : https://bouchecousue.com/contact