In Netzwerken, die auf Cisco-Switches basieren, spielen Schutzmechanismen wie BPDU Guard, Root Guard und Loop Guard eine wichtige Rolle bei der Sicherstellung der Stabilität und Sicherheit der Spanning Tree-Protokoll (STP)-Topologie. Diese Schutzmechanismen helfen, unerwünschte Topologieänderungen und Netzwerkschleifen zu verhindern. Doch wie setzt man sie richtig in einer Access- und Distribution-Schicht ein? In diesem Artikel werden die Unterschiede und die richtige Kombination dieser Funktionen erklärt.
1. BPDU Guard: Schutz vor ungewollten STP-BPDUs
BPDU Guard schützt das Netzwerk vor unbeabsichtigten oder böswilligen BPDU-Nachrichten (Bridge Protocol Data Units), die von Endgeräten an Access-Ports gesendet werden. Wenn ein Endgerät eine BPDU-Nachricht an einem Port sendet, der für Endgeräte vorgesehen ist, blockiert BPDU Guard diesen Port und verhindert so die Teilnahme an STP.
1.1. Verwendung von BPDU Guard
BPDU Guard sollte an allen Access-Ports aktiviert werden, die keine Switches oder Router verbinden. Auf diesen Ports erwartet man keine BPDUs und ein Empfang einer solchen Nachricht kann auf einen Fehler oder einen Angriff hinweisen.
switch(config)# interface range fa0/1 - 48
switch(config-if-range)# spanning-tree bpduguard enable2. Root Guard: Verhindern eines ungewollten Root-Switches
Root Guard schützt das Netzwerk davor, dass ein unerwünschter Switch die Root-Bridge im STP wird. Falls auf einem Port ein Switch versucht, die Rolle des Root-Bridge zu übernehmen, wird dieser Port in den “Root-Inconsistent”-Status gesetzt und nicht weiter an der STP-Topologie teilnehmen.
2.1. Verwendung von Root Guard
Root Guard ist besonders sinnvoll in der Distribution-Schicht, um zu verhindern, dass in einem redundanten Netzwerk ein nicht autorisierter Switch zur Root-Bridge wird. Aktivieren Sie Root Guard an den Uplinks zwischen Access- und Distribution-Switches.
switch(config)# interface gi0/1
switch(config-if)# spanning-tree rootguard3. Loop Guard: Schutz vor Schleifen bei STP-Ausfällen
Loop Guard verhindert die Entstehung von Schleifen, die durch das Fehlen von BPDUs entstehen können, z.B. wenn ein Link ausfällt. In einem solchen Fall würde der Switch ohne BPDU weiterhin seine Ports weiterleiten, was zu Schleifen führen könnte. Loop Guard setzt den Port in den “Loop-Inconsistent”-Status, wenn keine BPDUs empfangen werden.
3.1. Verwendung von Loop Guard
Loop Guard sollte an allen Links aktiviert werden, bei denen eine Schleifenbildung durch den Ausfall eines Links möglich ist. Insbesondere an den Verbindungen zwischen Distribution- und Core-Switches ist dies sinnvoll, da diese Verbindungen oft die kritischsten sind.
switch(config)# interface range gi0/1 - 2
switch(config-if-range)# spanning-tree loopguard default4. Die richtige Kombination: Best Practices für Access- und Distribution-Ports
Die Kombination dieser Schutzmechanismen muss mit Bedacht gewählt werden, um das Netzwerk vor potenziellen Problemen zu bewahren. Eine unsachgemäße Konfiguration könnte dazu führen, dass das Netzwerk instabil wird oder wichtige Verbindungen blockiert werden.
4.1. Empfehlungen für Access-Ports
- Aktivieren Sie BPDU Guard, um zu verhindern, dass ungewollte BPDUs von Endgeräten gesendet werden.
- Verwenden Sie keine weiteren Schutzmechanismen wie Root Guard oder Loop Guard, da Access-Ports in der Regel nicht mit anderen Switches kommunizieren und somit diese Funktionen nicht benötigt werden.
4.2. Empfehlungen für Distribution-Ports
- Aktivieren Sie Root Guard an den Uplinks zu anderen Switches, um ungewollte Root-Bridge-Wahlen zu verhindern.
- Aktivieren Sie Loop Guard auf allen Verbindungen, die potenziell ausfallen könnten, um Schleifen zu verhindern.
- Stellen Sie sicher, dass BPDU Guard an allen Access-Ports, die mit Endgeräten verbunden sind, aktiviert ist.
4.3. Beispiel für eine vollständige Konfiguration
Eine typische Konfiguration für den sicheren Betrieb eines Access-Switches und eines Distribution-Switches könnte wie folgt aussehen:
switch(config)# interface range fa0/1 - 48
switch(config-if-range)# spanning-tree bpduguard enable
switch(config)# interface gi0/1
switch(config-if)# spanning-tree rootguard
switch(config)# interface gi0/2
switch(config-if)# spanning-tree loopguard default
5. Fazit
Durch die korrekte Anwendung von BPDU Guard, Root Guard und Loop Guard auf den richtigen Ports können Sie Ihr Netzwerk vor ungewollten STP-Problemen schützen. Diese Mechanismen helfen, Netzwerkstabilität zu gewährleisten und potenzielle Fehlerquellen zu minimieren, insbesondere in großen Campusnetzen mit vielen redundanten Verbindungen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
