Spanning Tree schützt dein Netzwerk vor Layer-2-Loops – aber erst die STP-Schutzfeatures machen den Betrieb wirklich robust gegen typische Praxisfehler: „Switch unter dem Tisch“, falsche Root Bridge, unidirektionale Links oder fehlende BPDUs. BPDU Guard, Root Guard und Loop Guard sind dabei die wichtigsten Werkzeuge auf Cisco Switches. Richtig platziert verhindern sie große Ausfälle, falsch platziert blockieren sie Ports und erzeugen unnötige Tickets. Dieser Leitfaden zeigt, wann welches Feature sinnvoll ist, wie du es sauber konfigurierst und wie du die Zustände im Troubleshooting korrekt interpretierst.
Überblick: Welches Schutzfeature löst welches Problem?
Die drei Mechanismen adressieren unterschiedliche Risiken. Eine klare Zuordnung hilft, sie nicht zu verwechseln und nicht „alles überall“ zu aktivieren.
- BPDU Guard: schützt Edge-/PortFast-Ports vor angeschlossenen Switches (Loop/Rogue)
- Root Guard: verhindert unerwünschte Root-Wahlen auf Downlinks (Root bleibt geplant)
- Loop Guard: verhindert fälschliches Forwarding bei BPDU-Ausfall (unidirectional/STP-Falle)
Schnellcheck der STP-Gesundheit
show spanning-tree summary
show spanning-tree root
show spanning-tree inconsistentports
show logging | include SPANNING|BPDU|ROOT|LOOP|INCONSISTENT
BPDU Guard: Edge-Ports gegen Rogue-Switches und Loops absichern
BPDU Guard gehört auf Ports, die als Edge betrieben werden (typischerweise mit PortFast). Wenn dort BPDUs empfangen werden, ist das fast immer ein Hinweis auf einen angeschlossenen Switch oder eine Loop-Situation. BPDU Guard setzt den Port dann in err-disabled, um das Netz zu schützen.
- Best Practice: PortFast + BPDU Guard auf allen Endgeräte-Ports
- Schützt vor „Switch unter dem Tisch“ und Fehlpatching
- Reaktion: Port wird err-disabled (sichtbar, eindeutig)
Globaler Standard: PortFast + BPDU Guard
enable
configure terminal
spanning-tree portfast default
spanning-tree bpduguard default
end
BPDU Guard pro Interface (granular)
configure terminal
interface gigabitEthernet 1/0/10
description EDGE-CLIENT
spanning-tree portfast
spanning-tree bpduguard enable
end
Wenn BPDU Guard auslöst: err-disabled prüfen
show interface status err-disabled
show logging | include BPDU|ERRDISABLE|SPANNING
Root Guard: Schutz gegen „falsche“ Root Bridges
Root Guard schützt deine Root-Bridge-Planung. Wenn auf einem Port mit Root Guard plötzlich „bessere“ BPDUs ankommen (eine Gegenstelle will Root werden), blockiert der Switch den Port in den Zustand root-inconsistent. So bleibt die Root Bridge dort, wo du sie geplant hast (Distribution/Core).
- Best Practice: Root Guard auf Downlinks Richtung Access (Distribution-Seite)
- Verhindert Root-Wahl durch Fehlkonfiguration oder fremde Switches
- Reaktion: Port wird root-inconsistent (blockiert) und erholt sich automatisch
Root Guard aktivieren (Downlink-Beispiel)
configure terminal
interface gigabitEthernet 1/0/1
description DOWNLINK-TO-ACCESS-01
spanning-tree guard root
end
Root Guard Zustand prüfen
show spanning-tree inconsistentports
show spanning-tree interface gigabitEthernet 1/0/1 detail
show logging | include ROOT|INCONSISTENT|SPANNING
Loop Guard: Unidirectional Links und BPDU-Ausfälle abfangen
Loop Guard schützt vor einem gefährlichen Spezialfall: Ein Port, der eigentlich blocking/alternate sein sollte, sieht plötzlich keine BPDUs mehr (z. B. durch unidirektionale Fiber oder BPDU-Transportfehler). Ohne Schutz könnte der Port fälschlich in Forwarding wechseln und eine Schleife erzeugen. Loop Guard setzt den Port dann in loop-inconsistent und hält ihn sicher blockiert, bis BPDUs wieder eintreffen.
- Best Practice: Loop Guard in redundanten Netzen als Default aktivieren
- Besonders sinnvoll auf Trunks/Uplinks mit Blocking-Pfaden
- Reaktion: Port wird loop-inconsistent (blockiert) und erholt sich automatisch
Loop Guard global aktivieren
configure terminal
spanning-tree loopguard default
end
Loop Guard pro Interface aktivieren
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
spanning-tree guard loop
end
Loop Guard Zustand prüfen
show spanning-tree inconsistentports
show spanning-tree interface gigabitEthernet 1/0/48 detail
show logging | include LOOP|INCONSISTENT|SPANNING
Wo du welches Feature platzierst: Praxis-Blueprint
Die Platzierung ist entscheidend. Nutze die Features rollenbasiert: Edge, Downlink, Uplink. So bleibt das Verhalten vorhersehbar und du vermeidest „selbst verursachte“ Blockierungen.
- Edge-Ports (Clients/Printer/IoT): PortFast + BPDU Guard
- Downlinks Richtung Access (Distribution): Root Guard
- Uplinks/Redundante Trunks: Loop Guard (zusätzlich oft UDLD bei Fiber)
Access-Switch Baseline (empfohlen)
configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
end
Distribution Downlinks absichern (Root Guard)
configure terminal
interface range gigabitEthernet 1/0/1 - 24
description DOWNLINKS-TO-ACCESS
spanning-tree guard root
end
Troubleshooting: Inconsistent vs. err-disabled richtig interpretieren
Ein häufiger Fehler ist, Schutzmechanismen als „Bug“ zu sehen. In Wirklichkeit zeigen sie meist ein reales Problem an. Der Zustand verrät dir, welche Richtung du prüfen musst.
- err-disabled: BPDU Guard hat ausgelöst → Switch/Loop am Edge-Port
- root-inconsistent: Root Guard greift → unerwartete Root-BPDUs vom Downlink
- loop-inconsistent: Loop Guard greift → BPDUs fehlen (Link-/Unidirectional-Problem)
Diagnose-Spickzettel
show spanning-tree inconsistentports
show interface status err-disabled
show logging | include BPDU|ROOT|LOOP|INCONSISTENT|ERRDISABLE
show interfaces counters errors
Typische Fehler und wie du sie vermeidest
Die Schutzfeatures verursachen Probleme meist nur dann, wenn sie falsch platziert oder ohne Design-Rahmen ausgerollt werden. Diese Fehlerbilder sind besonders häufig.
- BPDU Guard auf Uplinks: Port err-disabled, weil Switch-BPDUs normal sind
- Root Guard auf Uplink/Core: unerwartete Blockierung, weil Root „von oben“ kommt
- Loop Guard Events: häufig Hinweis auf Fiber/SFP/Unidirectional, nicht „STP spinnt“
- Viele TCNs trotz Guards: Edge-Ports ohne PortFast oder Link-Flaps
Best Practices: Minimaler, sicherer STP-Guard-Standard
Ein guter Standard ist einfach und wiederholbar: Edge-Ports gehärtet, Root geschützt, BPDU-Ausfälle abgesichert. Ergänze bei Fiber-Uplinks UDLD, um unidirektionale Links zusätzlich zu erkennen.
- PortFast + BPDU Guard default auf Access-Switches
- Root Guard auf Downlinks Richtung Access (Distribution)
- Loop Guard default in redundanten L2-Topologien
- UDLD aggressive auf kritischen Fiber-Uplinks
Kompaktes Template (Access)
configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
udld enable
udld aggressive
end
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
