March 3, 2026

STP Priorität richtig setzen: Root Guard, BPDU Guard & Co.

Eine stabile Spanning-Tree-Topologie entsteht nicht zufällig: Du musst Root Bridge und Prioritäten gezielt planen und gleichzeitig verhindern, dass Edge-Ports oder Access-Switches durch Fehlkonfigurationen den STP-Baum „umwerfen“. Genau hier greifen STP-Prioritäten und Schutzmechanismen wie Root Guard, BPDU Guard, Loop Guard und (je nach Design) BPDU Filter. Dieser Leitfaden zeigt, wie du STP-Priorität korrekt setzt und welche Guards du wo sinnvoll einsetzt – inklusive praxistauglicher Cisco-Konfigurationen.

STP Priorität verstehen: Warum die Root Bridge nicht „zufällig“ sein darf

STP wählt die Root Bridge anhand der niedrigsten Bridge ID. Diese besteht aus der Bridge Priority (in 4096er Schritten) und der MAC-Adresse. Wer die niedrigste Priority hat, wird Root – falls gleich, entscheidet die MAC.

  • Bridge ID = Priority + MAC (niedriger gewinnt)
  • Priorities sind typischerweise: 0, 4096, 8192, 12288, …, 61440
  • Ohne Planung kann ein Access-Switch Root werden

Ist-Zustand prüfen: Wer ist Root und mit welcher Priority?

show spanning-tree summary
show spanning-tree root
show spanning-tree vlan 10

Priorität richtig setzen: Primary/Secondary vs. feste Werte

In der Praxis gibt es zwei saubere Wege: bequem per root primary/secondary oder explizit per Priority. Wichtig ist, dass du pro VLAN (bei Rapid PVST+) bewusst definierst, wer Root ist.

Methode 1: Root Primary/Secondary (schnell und sicher)

Diese Methode setzt automatisch passende Prioritäten, damit der Switch Root wird. Nutze Primary im Distribution/Core und Secondary auf dem redundanten Partner.

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,40,50,60,70,80,99 root primary
end

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,40,50,60,70,80,99 root secondary
end

Methode 2: Priorities explizit setzen (maximale Kontrolle)

Nutze feste Werte, wenn du eine klare Root-Policy brauchst oder in gemischten Netzen konsistent bleiben willst. Typisch: Primary 4096, Secondary 8192.

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,99 priority 4096
end

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,99 priority 8192
end

Lastverteilung: Root pro VLAN bewusst aufteilen

Wenn du zwei Distribution-Switches hast, kannst du Root pro VLAN aufteilen, um Uplink-Nutzung zu verteilen. Das ist sinnvoll, wenn du viele VLANs und ausreichend klare Dokumentation hast.

  • Dist-A Root: VLAN 10/30 (Clients/WLAN)
  • Dist-B Root: VLAN 20/99/80 (Voice/Mgmt/Server)
  • Wichtig: Trunks/Allowed VLANs müssen konsistent sein

Beispiel: Root-Verteilung per Priority

configure terminal
spanning-tree vlan 10,30 priority 4096
spanning-tree vlan 20,80,99 priority 8192
end

Root Guard: Verhindert unerwünschte Root-Wahlen

Root Guard schützt deine Root-Strategie. Wenn auf einem Port plötzlich „bessere“ BPDUs ankommen, wird der Port in den Zustand root-inconsistent versetzt (blockiert), statt dass dein Netz die Root wechselt.

Wo Root Guard sinnvoll ist

  • Downlinks von Distribution/Core Richtung Access
  • Ports, auf denen niemals eine Root Bridge erwartet wird

Root Guard aktivieren

configure terminal
interface gigabitEthernet 1/0/1
 description DOWNLINK-TO-ACCESS-01
 spanning-tree guard root
end

Root Guard prüfen

show spanning-tree inconsistentports
show logging | include ROOT|SPANNING|INCONSISTENT

BPDU Guard: Schutz für Edge-Ports mit PortFast

BPDU Guard ist der Sicherheitsgurt an Endgeräte-Ports. Wenn ein PortFast-Port BPDUs empfängt (Hinweis auf Switch/Loop), wird der Port err-disabled gesetzt, um das Netz zu schützen.

Wo BPDU Guard sinnvoll ist

  • Endgeräte-Ports (Clients, Drucker, IP-Telefone, Kameras)
  • Ports, die niemals zu einem Switch führen sollen

PortFast und BPDU Guard als Access-Standard

configure terminal
spanning-tree portfast default
spanning-tree bpduguard default
end

BPDU Guard pro Port (granular)

configure terminal
interface gigabitEthernet 1/0/10
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Err-Disable nach BPDU Guard beheben (erst Ursache klären)

show interface status err-disabled
show logging | include BPDU|ERRDISABLE|SPANNING

configure terminal

interface gigabitEthernet 1/0/10

shutdown

no shutdown

end

Loop Guard: Schutz bei fehlenden BPDUs (unidirektionale Fehler)

Loop Guard verhindert, dass ein Port fälschlich in Forwarding geht, wenn BPDUs aufgrund von Fehlern nicht mehr empfangen werden. Das schützt insbesondere bei seltenen, aber kritischen „unidirektionalen“ Link-Problemen.

Loop Guard global aktivieren

configure terminal
spanning-tree loopguard default
end

Loop Guard prüfen

show spanning-tree inconsistentports
show logging | include LOOP|INCONSISTENT|SPANNING

BPDU Filter: Nur mit großer Vorsicht einsetzen

BPDU Filter unterdrückt BPDUs. Das kann in Spezialfällen nützlich sein, erhöht aber das Loop-Risiko erheblich, wenn es falsch eingesetzt wird. In Enterprise-Standards wird häufig BPDU Guard bevorzugt.

Warum BPDU Filter riskant ist

  • Unterdrückte BPDUs können STP-Schutz aushebeln
  • Fehlkonfiguration kann Loops begünstigen
  • Troubleshooting wird schwerer, weil STP-Signale fehlen

Praxis-Blueprint: Stabile Topologie mit Priorität + Guards

Ein typischer Campus-Standard: Root Primary/Secondary auf Distribution/Core, Root Guard auf Downlinks, PortFast+BPDU Guard auf Edge-Ports und Loop Guard als zusätzliche Absicherung.

Distribution/Core (Root-Planung)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,40,50,60,70,80,99 root primary
spanning-tree loopguard default
end

Downlinks Richtung Access (Root Guard)

configure terminal
interface range gigabitEthernet 1/0/1 - 24
 description DOWNLINKS-TO-ACCESS
 spanning-tree guard root
end

Access-Switch (Edge-Härtung)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
end

Verifikation: Nachweis, dass Root und Guards wie geplant greifen

Nach Änderungen solltest du prüfen, ob die Root Bridge pro VLAN korrekt ist, ob Ports erwartungsgemäß forwarden/blocken und ob keine inconsistent/err-disabled Zustände entstanden sind.

show spanning-tree summary
show spanning-tree root
show spanning-tree vlan 10
show spanning-tree inconsistentports
show interface status err-disabled
show logging | include SPANNING|TOPOLOGY|ROOT|BPDU|INCONSISTENT

Typische Fehlerbilder und schnelle Diagnose

Wenn STP „stört“, schützt es meist vor einem echten Problem. Nutze Logs und STP-Details, um die Ursache zu finden, statt STP abzuschalten.

  • Root bleibt falsch: Priority nicht niedrig genug oder VLAN-Set nicht vollständig
  • root-inconsistent: Root Guard greift (Access sendet unerwartete BPDUs)
  • err-disabled: BPDU Guard hat ausgelöst (Switch/Loop am Edge-Port)
  • Viele TCNs: Link-Flaps oder Edge-Ports ohne PortFast
show spanning-tree vlan 10 detail
show logging | include SPANNING|BPDU|ROOT|TCN|TOPOLOGY
show interfaces status

Best Practices: STP-Priorität und Guard-Policy als Standard

Ein stabiler STP-Betrieb entsteht durch geplante Prioritäten und konsequenten Guard-Einsatz. Damit bleibt Redundanz nutzbar, aber Loops und Fehlkonfigurationen werden zuverlässig abgefangen.

  • Root Primary/Secondary auf Distribution/Core definieren
  • Access-Switches nie Root werden lassen (Root Guard auf Downlinks)
  • PortFast + BPDU Guard auf Endgeräte-Ports als Default
  • Loop Guard als zusätzliche Absicherung aktivieren
  • BPDU Filter nur in Ausnahmefällen und dokumentiert einsetzen
  • Nach Changes immer verifizieren und Konfiguration speichern
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer