11.4 Portrollen und Portzustände bei STP verständlich erklärt

Portrollen und Portzustände gehören zu den wichtigsten Grundlagen des Spanning Tree Protocol, kurz STP. Sobald ein Netzwerk mehrere redundante Switch-Verbindungen enthält, muss STP entscheiden, welche Pfade aktiv genutzt werden dürfen und welche blockiert werden müssen, damit keine Layer-2-Schleifen entstehen. Genau dafür verwendet STP zwei eng miteinander verknüpfte Konzepte: Portrollen und Portzustände. Die Portrolle beschreibt die logische Aufgabe eines Ports innerhalb der STP-Topologie. Der Portzustand beschreibt dagegen, wie sich dieser Port aktuell im Betrieb verhält. Wer STP wirklich verstehen will, muss beide Konzepte klar auseinanderhalten und gleichzeitig ihr Zusammenspiel kennen.

Warum STP Portrollen und Portzustände überhaupt braucht

In einem geswitchten Ethernet-Netz mit Redundanz gibt es oft mehrere mögliche Wege zwischen Switches. Ohne Steuerung würden diese parallelen Pfade zu Netzwerkschleifen führen. Broadcasts, unbekannte Unicast-Frames und bestimmte Multicast-Frames könnten dann unkontrolliert im Kreis laufen. STP verhindert das, indem es eine logisch schleifenfreie Baumstruktur aufbaut.

Damit diese Baumstruktur funktioniert, muss STP auf jedem Switch-Port entscheiden:

• Welche Aufgabe hat dieser Port in der Topologie?
• Darf dieser Port aktuell Nutzverkehr weiterleiten oder nicht?

Die erste Frage beantwortet die Portrolle. Die zweite beantwortet der Portzustand. Genau deshalb sind beide Konzepte für das Verständnis von STP unverzichtbar.

Was ist der Unterschied zwischen Portrolle und Portzustand?

Ein häufiger Anfängerfehler besteht darin, Portrolle und Portzustand zu verwechseln. Beide Begriffe gehören zusammen, meinen aber nicht dasselbe.

Portrolle

Die Portrolle beschreibt die logische Funktion eines Ports im Spanning Tree. Sie beantwortet also die Frage, warum ein Port in der aktuellen Topologie existiert und welche Aufgabe er erfüllt.

Portzustand

Der Portzustand beschreibt dagegen, wie sich ein Port aktuell verhält. Er zeigt also, ob der Port Frames weiterleitet, MAC-Adressen lernt, nur auf BPDUs hört oder vollständig blockiert ist.

Einfaches Merkschema

• Portrolle: Welche Aufgabe hat der Port?
• Portzustand: Was tut der Port gerade?

Ein Port kann also beispielsweise die Rolle Root Port haben und sich gleichzeitig im Zustand Forwarding befinden. Genau diese Kombinationen machen STP verständlich.

Die Grundidee hinter Portrollen im STP

STP baut eine schleifenfreie logische Topologie auf, die sich an der Root Bridge orientiert. Jeder Port in dieser Topologie erhält eine bestimmte Rolle. Diese Rollen ergeben sich aus den STP-Berechnungen und bestimmen, welche Ports aktiv genutzt und welche blockiert werden.

Im klassischen STP und auch in modernen Varianten begegnet man vor allem diesen grundlegenden Rollen:

• Root Port
• Designated Port
• Nondesignated Port beziehungsweise blockierter Port

In Rapid Spanning Tree Protocol, kurz RSTP, kommen zusätzlich Begriffe wie Alternate Port oder Backup Port hinzu. Für das Grundverständnis ist es jedoch sinnvoll, zuerst die klassischen Hauptrollen sauber zu verstehen.

Die Root Bridge als Ausgangspunkt

Bevor Portrollen sinnvoll erklärt werden können, muss klar sein, dass STP immer eine Root Bridge wählt. Dieser Switch ist der logische Mittelpunkt der gesamten Spanning-Tree-Topologie. Alle anderen Switches berechnen ihren besten Pfad zur Root Bridge.

Die Portrollen ergeben sich genau aus dieser Struktur:

• Jeder Nicht-Root-Switch braucht einen besten Weg zur Root Bridge.
• Für jedes Netzwerksegment wird ein bevorzugter aktiver Port festgelegt.
• Redundante Pfade, die zu Schleifen führen würden, werden blockiert.

Ohne Root Bridge gäbe es also auch keine sinnvolle Definition von Root Port oder Designated Port.

Root Port einfach erklärt

Der Root Port ist auf einem Nicht-Root-Switch der Port mit dem besten Pfad zur Root Bridge. Jeder Switch, der nicht selbst Root Bridge ist, besitzt genau einen Root Port pro STP-Instanz.

Dieser Port zeigt logisch in Richtung Root Bridge und ist der bevorzugte Weg des Switches zur Wurzel der Topologie.

Merkmale des Root Ports

• Nur Nicht-Root-Switches haben einen Root Port.
• Pro Switch gibt es genau einen Root Port.
• Er wird anhand der besten Pfadkosten zur Root Bridge gewählt.
• Er befindet sich im Normalfall im Forwarding-Zustand.

Wie STP den Root Port auswählt

STP vergleicht die Pfadkosten zur Root Bridge. Der Port mit dem niedrigsten Gesamtpfad gewinnt. Wenn mehrere Pfade gleich gut erscheinen, greifen weitere Vergleichskriterien wie die Bridge ID des Nachbarswitches oder die Port-ID.

Praxisbeispiel

Ein Switch hat zwei Uplinks zu zwei verschiedenen Nachbarn. Beide führen letztlich zur Root Bridge. Wenn der erste Pfad Gesamtkosten von 19 und der zweite Pfad Gesamtkosten von 38 hat, wird der Port des ersten Pfads Root Port.

Designated Port einfach erklärt

Der Designated Port ist der Port, der für ein bestimmtes Layer-2-Segment der bevorzugte aktive Port ist. Über diesen Port wird Verkehr in dieses Segment weitergeleitet. Auf jedem Segment gibt es genau einen Designated Port.

Ein Segment kann vereinfacht als der gemeinsame Bereich zwischen zwei direkt verbundenen Geräten verstanden werden.

Merkmale des Designated Ports

• Pro Segment gibt es genau einen Designated Port.
• Er bietet aus Sicht des Segments den besten Pfad zur Root Bridge.
• Er befindet sich normalerweise im Forwarding-Zustand.
• Auf der Root Bridge sind alle aktiven Ports Designated Ports.

Warum der Designated Port wichtig ist

STP muss sicherstellen, dass pro Segment nur ein logischer Ausgangspunkt für die Weiterleitung existiert. Würden auf einem Segment zwei gleichberechtigte aktive Ports existieren, könnte das zu Schleifen führen. Der Designated Port ist also gewissermaßen der „gewinnende“ Port für dieses Segment.

Nondesignated Port beziehungsweise blockierter Port

Ein Port, der weder Root Port noch Designated Port ist, wird im klassischen STP blockiert. Diese Ports werden benötigt, um redundante Verbindungen physisch bestehen zu lassen, aber logisch aus dem aktiven Weiterleitungspfad zu entfernen.

Merkmale blockierter Ports

• Sie verhindern Schleifen in der Topologie.
• Sie leiten keinen normalen Nutzverkehr weiter.
• Sie empfangen weiterhin BPDUs.
• Sie können bei Topologieänderungen später aktiv werden.

Wichtig ist: Ein blockierter Port ist nicht „defekt“. Er ist bewusst in Reserve gehalten, damit Redundanz im Fehlerfall genutzt werden kann.

Warum blockierte Ports notwendig sind

Wenn zwei Switches redundant verbunden sind, darf nicht jede Verbindung gleichzeitig aktiv sein. Mindestens ein Port muss logisch blockiert werden, damit kein Layer-2-Kreis entsteht. Genau diese Aufgabe übernimmt STP.

Portrollen in einem einfachen Dreiecksnetz

Ein klassisches Lernbeispiel für STP ist ein Netz mit drei Switches, die in Dreiecksform verbunden sind. Physisch gibt es also drei Pfade. Logisch darf STP davon aber nicht alle gleichzeitig aktiv lassen.

Angenommen, Switch A wird Root Bridge:

• Switch B wählt den besten Port zu Switch A als Root Port.
• Switch C wählt ebenfalls den besten Port zu Switch A als Root Port.
• Auf der Verbindung zwischen Switch B und Switch C wird einer der Ports Designated Port.
• Der andere Port wird blockiert.

Damit bleibt die physische Redundanz bestehen, aber logisch entsteht ein schleifenfreier Baum. Dieses Beispiel zeigt sehr gut, wie sich Portrollen aus der Topologie ergeben.

Die klassischen Portzustände bei STP

Neben den Rollen kennt das klassische IEEE-802.1D-STP mehrere Portzustände. Diese beschreiben, wie sich ein Port aktuell im Betrieb verhält und ob er bereits normal Datenverkehr weiterleitet.

Die klassischen Portzustände sind:

• Blocking
• Listening
• Learning
• Forwarding
• Disabled

Diese Zustände spielen besonders bei Topologieänderungen und beim Hochkommen eines Ports eine wichtige Rolle.

Blocking-Zustand

Im Blocking-Zustand leitet ein Port keine normalen Frames weiter. Er lernt auch keine MAC-Adressen. Er empfängt jedoch weiterhin BPDUs, damit STP die Topologie überwachen und bei Bedarf neu berechnen kann.

Merkmale des Blocking-Zustands

• kein Forwarding von Nutzverkehr
• kein MAC-Learning
• BPDU-Empfang bleibt aktiv
• wichtig für Schleifenvermeidung

Ein blockierter Port ist also nicht nutzlos, sondern ein aktiver Teil der STP-Logik.

Listening-Zustand

Wenn STP eine Topologieänderung erkennt oder ein Port neu in Betrieb geht, wechselt ein Port zunächst oft in den Listening-Zustand. In diesem Zustand beginnt der Port, an den STP-Berechnungen teilzunehmen, leitet aber noch keinen normalen Datenverkehr weiter.

Merkmale des Listening-Zustands

• kein Forwarding
• kein MAC-Learning
• STP-BPDUs werden verarbeitet
• Topologieentscheidung wird vorbereitet

Der Listening-Zustand dient also dazu, die Topologie zunächst zu stabilisieren, bevor Frames normal fließen dürfen.

Learning-Zustand

Im Learning-Zustand beginnt der Port damit, MAC-Adressen zu lernen. Er leitet aber weiterhin noch keinen normalen Nutzverkehr weiter. Dieser Zustand ist eine Zwischenstufe auf dem Weg zum voll aktiven Betrieb.

Merkmale des Learning-Zustands

• kein normales Forwarding
• MAC-Adressen werden gelernt
• BPDUs werden weiterhin verarbeitet
• Port bereitet Übergang in den aktiven Betrieb vor

Dieser Zustand hilft dabei, nach Aktivierung eines Ports nicht sofort unkontrolliert Verkehr durch das Netz zu schicken.

Forwarding-Zustand

Im Forwarding-Zustand arbeitet der Port normal aktiv. Er leitet Frames weiter, lernt MAC-Adressen und nimmt regulär am Datenverkehr teil. Root Ports und Designated Ports befinden sich im stabilen Normalbetrieb typischerweise in diesem Zustand.

Merkmale des Forwarding-Zustands

• normale Weiterleitung von Nutzverkehr
• MAC-Learning aktiv
• BPDUs werden weiterhin verarbeitet

Der Forwarding-Zustand ist also das Ziel für alle Ports, die Teil der aktiven Topologie sein sollen.

Disabled-Zustand

Ein Port im Disabled-Zustand ist administrativ oder technisch außer Betrieb. Er nimmt nicht aktiv an STP teil und leitet keinen Verkehr weiter. Dieser Zustand unterscheidet sich klar von einem bewusst blockierten STP-Port.

Typische Ursachen

• Port wurde manuell mit shutdown deaktiviert
• kein Link vorhanden oder Port abgeschaltet
• Port wurde durch Schutzmechanismen deaktiviert

Ein Disabled-Port ist also kein normaler Reservepfad des STP, sondern faktisch nicht betriebsbereit.

Wie Portrolle und Portzustand zusammenhängen

Portrollen und Portzustände sind zwei Seiten derselben STP-Entscheidung. Die Rolle bestimmt die Aufgabe eines Ports. Der Zustand bestimmt, wie der Port sich aktuell verhält.

Typische Kombinationen

• Root Port → normalerweise Forwarding
• Designated Port → normalerweise Forwarding
• Blockierter Port → typischerweise Blocking

Bei Topologieänderungen können sich diese Zustände ändern, auch wenn die Rolle logisch bestehen bleibt oder neu berechnet wird.

Warum diese Unterscheidung wichtig ist

Ein Administrator muss bei der Fehlersuche erkennen können, ob ein Port die falsche Rolle hat oder ob ein Port zwar die richtige Rolle hat, aber noch nicht im erwarteten Zustand ist. Genau deshalb sollte man beide Begriffe nie vermischen.

Warum klassisches STP Zeit für Zustandswechsel braucht

Ein Nachteil des klassischen STP ist, dass Ports beim Wechsel in den aktiven Betrieb nicht sofort Forwarding nutzen. Sie durchlaufen zunächst Listening und Learning. Das erhöht die Stabilität, verlangsamt aber die Konvergenz.

Gerade bei Endgeräteports war das in der Praxis lange relevant, weil Geräte nach dem Einstecken auf DHCP oder Netzwerkzugang warten mussten. Deshalb gibt es modernere Varianten wie RSTP, die schneller reagieren.

Für das Grundverständnis ist jedoch wichtig: Die verschiedenen Portzustände sind kein unnötiger Formalismus, sondern dienen dazu, Schleifen beim Topologieaufbau sicher zu vermeiden.

Portrollen und Portzustände bei RSTP

In modernen Netzen wird häufig Rapid Spanning Tree Protocol eingesetzt. RSTP vereinfacht und beschleunigt die Zustandslogik. Dabei begegnet man zusätzlichen Rollen wie:

• Alternate Port
• Backup Port

Auch die Zustände werden reduziert und klarer gefasst. Für Einsteiger in die Grundlagen ist aber entscheidend, zuerst die klassische Logik von Root Port, Designated Port, Blocking, Listening, Learning und Forwarding zu verstehen. Darauf baut RSTP auf.

Praxisbeispiel: Warum ein Port blockiert ist, obwohl der Link aktiv ist

Ein sehr typischer Fall im Alltag sorgt bei Einsteigern oft für Verwirrung: Ein Switch-Port zeigt physisch einen aktiven Link, aber über diesen Pfad fließt scheinbar kein normaler Verkehr. Die Ursache ist oft, dass der Port durch STP blockiert wurde.

Das ist kein Fehler im klassischen Sinn, sondern normales STP-Verhalten. Der Port ist physisch verbunden, aber logisch bewusst aus der aktiven Topologie ausgeschlossen.

• Link-LED kann leuchten
• Portstatus wirkt physisch normal
• STP verhindert dennoch Forwarding

Gerade deshalb muss man bei STP-Problemen immer logisch und nicht nur physisch auf Interfaces schauen.

Wichtige Cisco-Befehle zur Prüfung von Portrollen und Portzuständen

Auf Cisco-Switches lassen sich Portrollen und Portzustände sehr gut mit CLI-Befehlen prüfen. Diese Kommandos gehören zum Standardwissen im STP-Troubleshooting.

Gesamten STP-Status anzeigen

show spanning-tree

Dieser Befehl zeigt unter anderem:

• die Root Bridge
• Portrollen
• Portzustände
• Pfadkosten
• Bridge-ID-Informationen

STP für ein bestimmtes VLAN anzeigen

show spanning-tree vlan 10

In PVST- oder Rapid-PVST-Umgebungen ist das besonders wichtig, da STP pro VLAN separat betrachtet werden kann.

Portstatus ergänzend prüfen

show interfaces status

Damit lässt sich erkennen, ob der Port physisch connected ist. Ein Port kann physisch aktiv und gleichzeitig logisch blockiert sein.

Interface-Details kontrollieren

show interfaces GigabitEthernet1/0/24

Dieser Befehl ist nützlich, um physische Linkinformationen mit der STP-Sicht abzugleichen.

Typische Anfängerfehler bei Portrollen und Portzuständen

„Ein blockierter Port ist defekt“

Nein. Ein blockierter STP-Port ist oft völlig gesund und dient als redundanter Reservepfad.

„Ein Root Port ist der wichtigste Port auf der Root Bridge“

Das ist falsch. Die Root Bridge selbst hat keinen Root Port. Root Ports gibt es nur auf Nicht-Root-Switches.

„Forwarding bedeutet automatisch, dass alles optimal ist“

Nicht unbedingt. Ein Port kann zwar im Forwarding-Zustand sein, aber die gesamte Topologie kann trotzdem ungünstig geplant sein, wenn etwa die falsche Root Bridge gewählt wurde.

„Portrolle und Portzustand sind dasselbe“

Auch das ist falsch. Die Rolle beschreibt die Funktion, der Zustand das Verhalten des Ports.

„Alle aktiven Ports sollten forwarding sein“

In einer redundanten Topologie muss mindestens ein redundanter Pfad blockiert werden, sonst entsteht eine Schleife.

Warum dieses Thema für CCNA und die Praxis so wichtig ist

Portrollen und Portzustände sind das Herzstück des Spanning Tree Protocol. Wer sie versteht, versteht auch, wie STP Schleifen verhindert, wie Root Bridge und Root Ports zusammenhängen und warum bestimmte Uplinks blockiert werden.

• Das Thema ist zentral für das Verständnis von STP.
• Es erklärt, warum Redundanz in Layer-2-Netzen sicher funktioniert.
• Es hilft bei der Fehlersuche in Switch-Topologien.
• Es ist ein Kernbestandteil von CCNA- und CCNP-Grundlagen.
• Es bildet die Basis für weiterführende Themen wie RSTP, PortFast und BPDU Guard.

Wer Root Port, Designated Port, Blocking, Listening, Learning und Forwarding sauber einordnen kann, versteht nicht nur einzelne Fachbegriffe, sondern die gesamte Logik, mit der STP ein potenziell schleifenreiches Layer-2-Netz in eine kontrollierte und stabile Topologie verwandelt.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.