Loop Guard ist ein Spanning-Tree-Schutzmechanismus auf Cisco Switches, der eine spezielle, aber gefährliche Fehlerklasse abfängt: unidirektionale Links oder „stille“ BPDU-Ausfälle. In solchen Situationen kann ein STP-Blocking/Alternate-Port fälschlich in Forwarding wechseln, weil er keine BPDUs mehr sieht – und damit genau die Schleife erzeugen, die STP eigentlich verhindern soll. Loop Guard verhindert dieses Szenario, indem betroffene Ports in einen sicheren Zustand (loop-inconsistent) versetzt werden, bis wieder gültige BPDUs empfangen werden.
Problem verstehen: Warum unidirektionale Links STP austricksen können
STP entscheidet anhand von BPDUs, welche Ports blockieren müssen. Wenn ein Port keine BPDUs mehr empfängt, kann STP ihn als „frei“ interpretieren und in Forwarding setzen. Bei unidirektionalen Fehlern ist genau das riskant, weil der physische Pfad weiterhin existiert, aber STP-Signale fehlen.
- Unidirectional Link: Traffic geht nur in eine Richtung
- BPDU-Ausfall: BPDUs kommen nicht an, Datenverkehr ggf. teilweise schon
- Riskant bei redundantem L2: Blocking-Port kann fälschlich forwarden
- Ergebnis: Broadcast Storm, MAC Flapping, Netzwerkausfall
Typische Ursachen in der Praxis
- Defekte Glasfaser/Transceiver (TX/RX asymmetrisch)
- Fehlerhafte Patchfelder oder SFP-Module
- Fehlkonfigurierte Media Converter
- Einseitige Fehler in Port-Channels/physikalischen Membern
Was Loop Guard macht: „Sicher blockieren“, wenn BPDUs fehlen
Loop Guard überwacht Ports, die STP nicht als Designated Port betreibt (typisch: Alternate/Blocking). Wenn auf solchen Ports die erwarteten BPDUs ausbleiben, setzt Loop Guard den Port in den Zustand loop-inconsistent. Der Port bleibt blockiert, bis wieder BPDUs eintreffen.
- Schützt vor fälschlichem Forwarding bei BPDU-Ausfall
- Besonders sinnvoll auf redundanten Switch-to-Switch-Links
- Automatische Wiederherstellung, sobald BPDUs wieder da sind
Loop Guard ist kein Ersatz für BPDU Guard
BPDU Guard schützt Edge-Ports (PortFast) gegen angeschlossene Switches. Loop Guard schützt redundante Pfade gegen BPDU-Ausfälle. Beide adressieren unterschiedliche Risiken.
Wo Loop Guard sinnvoll ist
Loop Guard nutzt du dort, wo STP-Blocking-Ports entstehen können und ein BPDU-Ausfall gefährlich wäre. Das sind typischerweise Uplinks/Trunks zwischen Switches oder redundante Layer-2-Pfade.
- Redundante Switch-to-Switch-Trunks (Distribution/Core/Access)
- Links mit höherem Risiko für unidirektionale Fehler (Fiber, Media Converter)
- Netze mit häufigen Topologieänderungen, in denen stabile Block-Ports entstehen
Wo Loop Guard meist nicht notwendig ist
- Endgeräte-Ports (dort ist BPDU Guard relevanter)
- Ports, die per Design keine STP-Blocking-Rolle haben
Loop Guard konfigurieren: Global oder pro Interface
In vielen Enterprise-Designs wird Loop Guard als Default aktiviert, damit alle relevanten Ports geschützt sind. Alternativ kannst du gezielt Interfaces absichern.
Loop Guard global aktivieren (häufiger Standard)
enable
configure terminal
spanning-tree loopguard default
end
Loop Guard pro Interface aktivieren
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
spanning-tree guard loop
end
Hinweis: Konsistenz im STP-Domain
Loop Guard sollte in einem STP-Domain konsistent eingesetzt werden, insbesondere auf kritischen Uplinks. Mischbetrieb ist möglich, aber weniger vorhersehbar im Troubleshooting.
Verifikation: Erkennen, ob Loop Guard greift
Wenn Loop Guard auslöst, zeigt der Switch Ports als loop-inconsistent bzw. in der Inconsistent-Übersicht. Zusätzlich geben Logs Hinweise auf BPDU-Ausfälle oder Guard-Events.
show spanning-tree inconsistentports
show spanning-tree interface gigabitEthernet 1/0/48 detail
show logging | include LOOP|INCONSISTENT|SPANNING
Was bedeutet „loop-inconsistent“?
Der Port ist nicht „defekt“, sondern bewusst blockiert, weil erwartete BPDUs fehlen. Ursache ist meist ein unidirektionaler Link oder ein STP-Signalproblem. Behebe die Link-Ursache, danach wird der Port automatisch wieder normal.
Praxisbeispiel: Redundanter Trunk und Loop Guard als Sicherheitsnetz
In einem redundanten Access-Design gibt es zwei Uplinks. Einer davon kann durch STP blockiert sein. Wenn auf dem blockierten Link BPDUs plötzlich ausbleiben, verhindert Loop Guard, dass er fälschlich forwardet.
configure terminal
spanning-tree mode rapid-pvst
spanning-tree loopguard default
end
Uplink-Check (Trunk + STP pro VLAN)
show interfaces trunk
show spanning-tree vlan 10
show spanning-tree inconsistentports
Troubleshooting-Playbook: Wenn Loop Guard auslöst
Ein Loop Guard Event ist ein wichtiges Warnsignal: Es deutet auf einen Link- oder BPDU-Transportfehler hin. Gehe strukturiert vor und behebe die Ursache, nicht das Symptom.
- Port-Status und Errors prüfen (CRC, Input Errors, Flaps)
- Transceiver/Fiber tauschen oder Patchfeld prüfen
- Trunk/Native VLAN Konsistenz prüfen (Mismatches erzeugen STP-Events)
- Port-Channel/Member prüfen (bei EtherChannel)
show interfaces status
show interfaces gigabitEthernet 1/0/48
show interfaces counters errors
show interfaces trunk
show logging | include LOOP|SPANNING|NATIVE|TRUNK|LINK
Nach Behebung: Zustand verifizieren
show spanning-tree inconsistentports
show spanning-tree interface gigabitEthernet 1/0/48 detail
Loop Guard vs. UDLD: Ergänzende Schutzmechanismen
Loop Guard schützt die STP-Logik bei BPDU-Ausfall. UDLD (Unidirectional Link Detection) erkennt unidirektionale Links direkt auf Layer 1/2 und kann Ports ebenfalls deaktivieren. In vielen Designs ergänzen sich beide Mechanismen sinnvoll.
- Loop Guard: STP-Schutz gegen BPDU-Ausfälle auf Blocking-Pfaden
- UDLD: Link-Fehlererkennung (unidirectional) unabhängig von STP
- Kombination erhöht Robustheit auf Fiber/kritischen Uplinks
Best Practices: Loop Guard sicher und sinnvoll einsetzen
Loop Guard ist besonders wertvoll in Netzen mit Redundanz und Fiber-Uplinks. Mit klaren Standards wird das Verhalten vorhersehbar und schützt zuverlässig vor seltenen, aber gravierenden STP-Fallen.
- Rapid PVST+ konsistent nutzen
- Loop Guard default in redundanten Campus-Netzen aktivieren
- BPDU Guard für Edge-Ports, Loop Guard für Uplinks/Blocking-Pfade
- Root Bridge bewusst planen (Primary/Secondary) und Downlinks mit Root Guard schützen
- Guard-Events überwachen: inconsistentports, Logs, TCNs
show spanning-tree summary
show spanning-tree inconsistentports
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
