March 3, 2026

Root Guard: Schutz gegen falsche Root Bridges

Root Guard ist ein Spanning-Tree-Schutzmechanismus auf Cisco Switches, der verhindert, dass eine „falsche“ Root Bridge gewählt wird. In stabilen Campus- und Enterprise-Netzen soll die Root Bridge bewusst auf Distribution/Core liegen. Wird jedoch ein Access-Switch falsch konfiguriert oder ein fremder Switch angeschlossen, kann er durch eine niedrigere STP-Priorität plötzlich Root werden. Root Guard blockiert in diesem Fall den betroffenen Port kontrolliert, statt die Root-Wahl zuzulassen – und schützt damit Topologie, Pfade und Stabilität.

Problem verstehen: Wie entsteht eine „falsche“ Root Bridge?

STP wählt die Root Bridge anhand der niedrigsten Bridge ID (Priority + MAC). Wenn ein Switch mit niedrigerer Priority in die STP-Domain kommt, kann er Root werden – auch wenn das designtechnisch falsch ist.

  • Access-Switch wird Root durch Fehlkonfiguration (Priority zu niedrig)
  • „Lab-Switch“ mit niedriger Priority wird in Produktion eingesteckt
  • RMA/Swap: vorkonfiguriertes Gerät wird unkontrolliert angeschlossen
  • Fehlpatching: Downlink wird plötzlich Switch-to-Switch

Ist-Zustand prüfen: Wer ist aktuell Root?

show spanning-tree summary
show spanning-tree root
show spanning-tree vlan 10 root

Was Root Guard macht: Port blockieren statt Root-Wechsel

Wenn Root Guard auf einem Port aktiv ist und dort „bessere“ BPDUs ankommen (Hinweis auf einen Switch, der Root werden will), setzt der Switch den Port in den Zustand root-inconsistent. Der Port wird blockiert, bis die unerwünschten BPDUs nicht mehr empfangen werden.

  • Schützt Root-Placement-Strategie (Distribution/Core bleibt Root)
  • Blockiert nur den betroffenen Port, nicht das ganze Netzwerk
  • Rückkehr automatisch, sobald die Ursache verschwindet

Root Guard ist kein Ersatz für Prioritätsplanung

Root Guard ergänzt eine geplante Root Bridge. Zuerst setzt du Root Primary/Secondary oder Priorities, dann schützt du Downlinks mit Root Guard.

Wo Root Guard sinnvoll ist: Typische Einsatzorte

Root Guard wird dort eingesetzt, wo niemals eine Root Bridge „von unten“ kommen darf. Das ist typischerweise auf Downlinks Richtung Access/Edge.

  • Distribution/Core Downlinks zu Access-Switches
  • Aggregation-Ports Richtung Edge (wenn dort keine Root entstehen darf)
  • Ports zu Partner-/Fremdnetzen, wenn Root strikt lokal bleiben muss

Wo Root Guard nicht hingehört

  • Uplinks Richtung Core/übergeordnete Layer-2-Domäne (dort kann Root legitimerweise „besser“ sein)
  • Port-Channels/Uplinks, wenn Root-Wahl dort bewusst dynamisch sein soll

Root Guard konfigurieren: Cisco IOS/IOS XE Beispiele

Root Guard wird auf Interface-Ebene gesetzt. Nutze klare Descriptions, damit bei Incidents sofort klar ist, warum ein Port blockiert.

Root Guard auf einem Downlink-Port aktivieren

enable
configure terminal
interface gigabitEthernet 1/0/1
 description DOWNLINK-TO-ACCESS-01
 spanning-tree guard root
end

Root Guard auf mehreren Ports per Interface Range

configure terminal
interface range gigabitEthernet 1/0/1 - 24
 description DOWNLINKS-TO-ACCESS
 spanning-tree guard root
end

Root Guard in Kombination: Root Primary/Secondary sauber planen

Damit Root Guard sinnvoll wirkt, muss es eine klare Root-Strategie geben. Lege Root Primary auf dem gewünschten Distribution/Core-Switch fest und Root Secondary auf dem redundanten Partner.

Root Primary/Secondary setzen (Beispiel)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,40,99 root primary
end

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,40,99 root secondary
end

Verifikation: Erkennen, ob Root Guard greift

Wenn Root Guard auslöst, wird der Port root-inconsistent. Das ist ein bewusstes Schutzverhalten. Prüfe Status, STP-Details und Logs.

show spanning-tree inconsistentports
show spanning-tree interface gigabitEthernet 1/0/1 detail
show logging | include ROOT|SPANNING|INCONSISTENT

Was tun, wenn ein Port root-inconsistent ist?

Das bedeutet: Auf diesem Port kommen unerwünschte „bessere“ BPDUs an. Häufig ist dort ein Switch angeschlossen oder ein Downlink wurde versehentlich redundant gepatcht. Behebe die Verkabelung oder die Gegenstellen-Priorität.

  • Gegenstelle prüfen: ist es ein Switch statt ein Access-Device?
  • Fehlpatching/Redundanz prüfen
  • Access-Switch-Priority kontrollieren
  • Nach Behebung: Port wird automatisch wieder forwarding

Praxis-Playbook: Root Guard sinnvoll ausrollen

Ein kontrollierter Rollout verhindert Überraschungen. Starte in der Distribution, dokumentiere Downlinks und aktiviere Root Guard schrittweise.

  • Root Primary/Secondary pro VLAN festlegen
  • Downlinks identifizieren (LLDP/CDP, Doku, Beschriftung)
  • Root Guard auf Downlinks aktivieren
  • Nach Changes: inconsistentports und Logs prüfen

Spickzettel: Pre-/Post-Checks

show spanning-tree root
show spanning-tree summary
show spanning-tree inconsistentports
show logging | include ROOT|SPANNING|INCONSISTENT

Best Practices: Root Guard als Teil einer STP-Sicherheitsstrategie

Root Guard ist ein Baustein. In stabilen Netzen kombinierst du Root Guard mit Edge-Standards, um sowohl Root-Wahl als auch Loop-Risiken abzusichern.

  • Root Bridge geplant setzen (Primary/Secondary oder feste Priorities)
  • Root Guard auf Downlinks Richtung Access
  • PortFast + BPDU Guard auf Endgeräte-Ports
  • Trunks statisch und whitelisted (Allowed VLANs), Native VLAN konsistent
  • Regelmäßig auditieren: Root-Status, TCNs, inconsistentports
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer