Das Spanning Tree Protocol (STP) ist eine fundamentale Technologie in Netzwerken, um Schleifen zu verhindern. Der Einsatz von BPDU Guard, Root Guard und Loop Guard ist entscheidend, um das Netzwerk gegen unerwünschte Topologieänderungen und Fehler zu schützen. In diesem Artikel erklären wir, wie diese Sicherheitsfunktionen konfiguriert und in einem praktischen Lab-Szenario eingesetzt werden, um Access- und Uplink-Ports abzusichern.
1. BPDU Guard: Schutz vor unerwünschten BPDUs
BPDU Guard ist eine Sicherheitsfunktion, die dazu dient, Switches vor fehlerhaften oder unerwünschten BPDUs (Bridge Protocol Data Units) zu schützen. Wenn BPDU Guard aktiviert ist, wird der Port sofort deaktiviert, wenn er eine BPDU empfängt, die nicht erwartet wird, was in einem Access-Port zu einem sofortigen Shutdown führt.
1.1 Wann sollte BPDU Guard verwendet werden?
- BPDU Guard sollte an Access-Ports aktiviert werden, um sicherzustellen, dass keine BPDUs von Endgeräten (wie PCs oder Servern) gesendet werden.
- Verhindert, dass nicht autorisierte Switches in das Netzwerk gelangen und als Root Bridge fungieren.
1.2 BPDU Guard aktivieren
Um BPDU Guard zu aktivieren, gehen Sie in den Konfigurationsmodus des Access-Ports und verwenden den folgenden Befehl:
Switch(config)# interface range fa0/1 - 24
Switch(config-if-range)# spanning-tree bpduguard enable
2. Root Guard: Sicherstellung der Root Bridge-Integrität
Root Guard schützt die Root Bridge-Topologie vor nicht autorisierten Änderungen. Wenn ein Switch eine BPDU mit einer höheren Bridge-ID empfängt, wird der Port in den “Root Inconsistent”-Zustand versetzt und blockiert. Dadurch wird verhindert, dass dieser Switch die Root Bridge des Netzwerks wird.
2.1 Wann sollte Root Guard verwendet werden?
- Root Guard ist nützlich auf Ports, die zu Geräten führen, die keine Root Bridges sein sollen (z. B. Access-Switches).
- Es wird häufig auf Uplink-Ports eingesetzt, um sicherzustellen, dass der Zugangspunkt zur Root Bridge stabil bleibt.
2.2 Root Guard aktivieren
Um Root Guard zu aktivieren, wechseln Sie in den Interface-Konfigurationsmodus und verwenden den folgenden Befehl:
Switch(config)# interface range fa0/1 - 24
Switch(config-if-range)# spanning-tree guard root
3. Loop Guard: Schutz vor falschen Weiterleitungen
Loop Guard schützt vor der Gefahr von Netzwerkloops, die durch fehlerhafte BPDU-Empfangsmechanismen entstehen können. Wenn ein Port im STP-Prozess keine BPDU mehr empfängt, wird er in den “Loop Inconsistent”-Zustand versetzt und nicht weiter verwendet, um potenzielle Schleifen zu verhindern.
3.1 Wann sollte Loop Guard verwendet werden?
- Loop Guard ist besonders nützlich an Uplink-Ports, die das Risiko haben, keine BPDUs zu empfangen, wenn der Switch ausfällt oder der Port blockiert wird.
- Es wird empfohlen, Loop Guard an allen Port-Typen zu aktivieren, wo fehlerhafte Konvergenz zu Problemen führen könnte.
3.2 Loop Guard aktivieren
Um Loop Guard zu aktivieren, wechseln Sie ebenfalls in den Interface-Konfigurationsmodus und geben Sie den folgenden Befehl ein:
Switch(config)# interface range fa0/1 - 24
Switch(config-if-range)# spanning-tree guard loop
4. Kombinierte Konfiguration: Best Practices für Access- und Uplink-Ports
Die Kombination von BPDU Guard, Root Guard und Loop Guard bietet eine umfassende Sicherheit für Switch-Ports. Hier ist eine empfohlene Vorgehensweise, wie diese Schutzmechanismen effektiv eingesetzt werden können.
4.1 Access-Ports absichern
Für Access-Ports, die mit Endgeräten wie PCs oder Servern verbunden sind, sollten Sie BPDU Guard aktivieren, um sicherzustellen, dass keine fehlerhaften BPDUs empfangen werden.
Switch(config)# interface range fa0/1 - 24
Switch(config-if-range)# spanning-tree bpduguard enable
4.2 Uplink-Ports absichern
Uplink-Ports, die mit anderen Switches verbunden sind, sollten sowohl Root Guard als auch Loop Guard aktivieren, um sicherzustellen, dass die Root Bridge stabil bleibt und keine Netzwerkloops auftreten.
Switch(config)# interface range gig0/1 - 2
Switch(config-if-range)# spanning-tree guard root
Switch(config-if-range)# spanning-tree guard loop
4.3 Kombination von Sicherheitsfunktionen
Die Kombination dieser Funktionen auf den richtigen Ports sorgt für eine zuverlässige und stabile Netzwerkstruktur:
- BPDU Guard schützt vor unautorisierten BPDUs an Access-Ports.
- Root Guard verhindert unerwünschte Root-Bridge-Änderungen auf Uplink-Ports.
- Loop Guard sorgt dafür, dass Ports nicht in einen fehlerhaften Zustand geraten und Schleifen verursachen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
