BPDU Guard und BPDU Filter sind zwei STP-Schutzmechanismen auf Cisco Switches, die oft verwechselt werden. Beide beziehen sich auf BPDUs (Bridge Protocol Data Units) – also STP-Steuerframes. Der Unterschied ist entscheidend: BPDU Guard schützt aktiv vor Schleifen, indem es einen Port bei empfangenen BPDUs blockiert (err-disabled). BPDU Filter hingegen unterdrückt BPDUs und kann STP damit effektiv „aushebeln“. Richtig eingesetzt erhöhen beide die Betriebssicherheit – falsch eingesetzt kann BPDU Filter jedoch Loops begünstigen.
Grundlagen: Was sind BPDUs und warum sind sie wichtig?
BPDUs sind STP-Steuerinformationen, mit denen Switches Root Bridge, Port-Rollen und Loop-freie Pfade bestimmen. Wenn BPDUs fehlen oder unterdrückt werden, verliert STP seine Schutzwirkung.
- BPDUs steuern Spanning Tree (Root, Pfadkosten, Port-Rollen)
- Endgeräte-Ports sollten normalerweise keine BPDUs sehen
- Uplinks zwischen Switches müssen BPDUs austauschen
STP-Basisstatus prüfen
show spanning-tree summary
show spanning-tree vlan 10
BPDU Guard: Schutzmechanismus für Edge-Ports
BPDU Guard ist für Ports gedacht, die als Edge/PortFast betrieben werden. Wenn auf einem solchen Port BPDUs empfangen werden, wird der Port in den Zustand err-disabled versetzt. So wird ein potenzieller Loop sofort unterbunden.
- Schützt Endgeräte-Ports vor angeschlossenen Switches
- Reagiert auf empfangene BPDUs mit Port-Disable (err-disabled)
- Best Practice in Campus-/Mittelstandsnetzen
BPDU Guard global aktivieren (empfohlen)
enable
configure terminal
spanning-tree portfast default
spanning-tree bpduguard default
end
BPDU Guard pro Interface aktivieren
configure terminal
interface gigabitEthernet 1/0/10
spanning-tree portfast
spanning-tree bpduguard enable
end
Verifikation und typische Logs
show spanning-tree interface gigabitEthernet 1/0/10 detail
show interface status err-disabled
show logging | include BPDU|ERRDISABLE|SPANNING
BPDU Filter: BPDUs unterdrücken – mit Risiko
BPDU Filter verhindert, dass BPDUs gesendet und/oder verarbeitet werden (abhängig von globaler oder Interface-Konfiguration). Damit kann der Port faktisch „STP-blind“ werden. Das ist in Spezialfällen nützlich, erhöht aber das Loop-Risiko deutlich, wenn ein Switch oder eine Schleife an diesem Port entsteht.
- Unterdrückt BPDUs (STP-Signal verschwindet)
- Kann STP-Schutzmechanismen umgehen
- Nur in klar begründeten Sonderfällen einsetzen
BPDU Filter pro Interface (Spezialfall)
Diese Konfiguration ist nur sinnvoll, wenn du sicher bist, dass der Port nicht Teil einer STP-Topologie sein darf und keine Loop-Gefahr besteht.
configure terminal
interface gigabitEthernet 1/0/10
spanning-tree bpdufilter enable
end
BPDU Filter global (mit äußerster Vorsicht)
Globale BPDU-Filter-Settings können unbeabsichtigt viele Ports betreffen. In der Praxis wird das selten empfohlen, weil Fehlerimpact hoch ist.
configure terminal
spanning-tree portfast bpdufilter default
end
Unterschiede im Alltag: Guard schützt, Filter versteckt
Der wichtigste Denkfehler ist, BPDU Filter als „Alternative“ zu BPDU Guard zu sehen. In sicheren Designs ist BPDU Guard der Standard. BPDU Filter ist eine Ausnahme für sehr spezifische Situationen.
- BPDU Guard: erkennt BPDUs am Edge-Port und schützt durch Abschalten
- BPDU Filter: unterdrückt BPDUs und kann Schleifen unsichtbar machen
- Operational Impact: Guard führt zu err-disabled (sichtbar), Filter kann stilles Fehlverhalten ermöglichen
Typisches Szenario: „Switch unter dem Tisch“
Mit BPDU Guard wird der Port sofort err-disabled und du hast einen klaren Hinweis im Log. Mit BPDU Filter könnte der Switch angeschlossen bleiben, BPDUs werden unterdrückt, und eine Schleife kann unbemerkt entstehen.
Sinnvolle Einsatzfälle: Wann BPDU Guard richtig ist
BPDU Guard ist für nahezu alle Access-Ports geeignet, insbesondere dort, wo PortFast aktiv ist. Das schützt vor Fehlpatching und unerwünschten Switches.
- Client-Ports (LAN)
- Drucker/IoT/Kameras
- IP-Telefone (Voice+PC Ports)
- Edge-Trunks zu Access Points (mit PortFast trunk, wenn bewusst geplant)
Access-Port-Template (empfohlen)
configure terminal
interface range gigabitEthernet 1/0/1 - 24
description EDGE-CLIENTS
switchport mode access
switchport access vlan 10
spanning-tree portfast
spanning-tree bpduguard enable
end
Sinnvolle Einsatzfälle: Wann BPDU Filter überhaupt in Frage kommt
BPDU Filter wird in der Praxis selten benötigt. Mögliche Sonderfälle sind sehr kontrollierte Edge-Szenarien, in denen BPDUs bewusst nicht gesendet werden sollen und die Topologie eindeutig loopfrei ist.
- Legacy-/Spezialgeräte, die bei BPDU-Empfang/Sendung instabil werden
- Lab-/Testumgebungen mit klarer physischer Kontrolle
- Sehr spezifische Provider-/CPE-Szenarien, die explizit dokumentiert sind
Wichtige Regel für BPDU Filter
Wenn du BPDU Filter einsetzen musst, dokumentiere den Port klar (Description), begrenze den Einsatz auf einzelne Interfaces und halte einen Review-/Audit-Prozess bereit.
Fehlerbilder und Troubleshooting
Bei Guard/Filter-Problemen helfen Logs und STP-Details. Wichtig: BPDU Guard Events sind sichtbare Schutzreaktionen, BPDU Filter Probleme zeigen sich oft indirekt (Loops, TCNs, Instabilität).
BPDU Guard ausgelöst: Ursachenanalyse
show interface status err-disabled
show spanning-tree interface gigabitEthernet 1/0/10 detail
show logging | include BPDU|ERRDISABLE|SPANNING
Port wieder aktivieren (erst nach Behebung der Ursache)
configure terminal
interface gigabitEthernet 1/0/10
shutdown
no shutdown
end
Verdacht auf BPDU Filter Fehlverhalten
Wenn STP-Signale fehlen, achte auf ungewöhnlich viele Topology Changes, MAC-Flapping oder Broadcast-Stürme. Prüfe, ob BPDU Filter irgendwo aktiv ist.
show spanning-tree summary
show spanning-tree vlan 10 detail
show logging | include TOPOLOGY|SPANNING|MACFLAP
show running-config | include bpdufilter|bpduguard|portfast
Best Practices: Klare Guard-Policy für stabile Netze
Ein sicherer Standard ist einfach: PortFast + BPDU Guard auf Edge-Ports als Default, Root Guard auf Downlinks und BPDU Filter nur als dokumentierte Ausnahme. Damit bleibt STP Schutz aktiv und Fehlanschlüsse werden sofort sichtbar.
- PortFast default auf Access-Switches
- BPDU Guard default als Pflichtstandard
- BPDU Filter nur pro Interface und nur in begründeten Sonderfällen
- Events überwachen: err-disabled, TCNs, STP-Logs
show spanning-tree summary
show spanning-tree inconsistentports
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
