Spanning Tree Schutzfeatures: BPDU Guard, Root Guard, Loop Guard richtig nutzen

Spanning Tree schützt dein Netzwerk vor Layer-2-Loops – aber erst die STP-Schutzfeatures machen den Betrieb wirklich robust gegen typische Praxisfehler: „Switch unter dem Tisch“, falsche Root Bridge, unidirektionale Links oder fehlende BPDUs. BPDU Guard, Root Guard und Loop Guard sind dabei die wichtigsten Werkzeuge auf Cisco Switches. Richtig platziert verhindern sie große Ausfälle, falsch platziert blockieren sie Ports und erzeugen unnötige Tickets. Dieser Leitfaden zeigt, wann welches Feature sinnvoll ist, wie du es sauber konfigurierst und wie du die Zustände im Troubleshooting korrekt interpretierst.

Überblick: Welches Schutzfeature löst welches Problem?

Die drei Mechanismen adressieren unterschiedliche Risiken. Eine klare Zuordnung hilft, sie nicht zu verwechseln und nicht „alles überall“ zu aktivieren.

• BPDU Guard: schützt Edge-/PortFast-Ports vor angeschlossenen Switches (Loop/Rogue)
• Root Guard: verhindert unerwünschte Root-Wahlen auf Downlinks (Root bleibt geplant)
• Loop Guard: verhindert fälschliches Forwarding bei BPDU-Ausfall (unidirectional/STP-Falle)

Schnellcheck der STP-Gesundheit

show spanning-tree summary
show spanning-tree root
show spanning-tree inconsistentports
show logging | include SPANNING|BPDU|ROOT|LOOP|INCONSISTENT

BPDU Guard: Edge-Ports gegen Rogue-Switches und Loops absichern

BPDU Guard gehört auf Ports, die als Edge betrieben werden (typischerweise mit PortFast). Wenn dort BPDUs empfangen werden, ist das fast immer ein Hinweis auf einen angeschlossenen Switch oder eine Loop-Situation. BPDU Guard setzt den Port dann in err-disabled, um das Netz zu schützen.

• Best Practice: PortFast + BPDU Guard auf allen Endgeräte-Ports
• Schützt vor „Switch unter dem Tisch“ und Fehlpatching
• Reaktion: Port wird err-disabled (sichtbar, eindeutig)

Globaler Standard: PortFast + BPDU Guard

enable
configure terminal
spanning-tree portfast default
spanning-tree bpduguard default
end

BPDU Guard pro Interface (granular)

configure terminal
interface gigabitEthernet 1/0/10
 description EDGE-CLIENT
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Wenn BPDU Guard auslöst: err-disabled prüfen

show interface status err-disabled
show logging | include BPDU|ERRDISABLE|SPANNING

Root Guard: Schutz gegen „falsche“ Root Bridges

Root Guard schützt deine Root-Bridge-Planung. Wenn auf einem Port mit Root Guard plötzlich „bessere“ BPDUs ankommen (eine Gegenstelle will Root werden), blockiert der Switch den Port in den Zustand root-inconsistent. So bleibt die Root Bridge dort, wo du sie geplant hast (Distribution/Core).

• Best Practice: Root Guard auf Downlinks Richtung Access (Distribution-Seite)
• Verhindert Root-Wahl durch Fehlkonfiguration oder fremde Switches
• Reaktion: Port wird root-inconsistent (blockiert) und erholt sich automatisch

Root Guard aktivieren (Downlink-Beispiel)

configure terminal
interface gigabitEthernet 1/0/1
 description DOWNLINK-TO-ACCESS-01
 spanning-tree guard root
end

Root Guard Zustand prüfen

show spanning-tree inconsistentports
show spanning-tree interface gigabitEthernet 1/0/1 detail
show logging | include ROOT|INCONSISTENT|SPANNING

Loop Guard: Unidirectional Links und BPDU-Ausfälle abfangen

Loop Guard schützt vor einem gefährlichen Spezialfall: Ein Port, der eigentlich blocking/alternate sein sollte, sieht plötzlich keine BPDUs mehr (z. B. durch unidirektionale Fiber oder BPDU-Transportfehler). Ohne Schutz könnte der Port fälschlich in Forwarding wechseln und eine Schleife erzeugen. Loop Guard setzt den Port dann in loop-inconsistent und hält ihn sicher blockiert, bis BPDUs wieder eintreffen.

• Best Practice: Loop Guard in redundanten Netzen als Default aktivieren
• Besonders sinnvoll auf Trunks/Uplinks mit Blocking-Pfaden
• Reaktion: Port wird loop-inconsistent (blockiert) und erholt sich automatisch

Loop Guard global aktivieren

configure terminal
spanning-tree loopguard default
end

Loop Guard pro Interface aktivieren

configure terminal
interface gigabitEthernet 1/0/48
 description UPLINK-TRUNK
 spanning-tree guard loop
end

Loop Guard Zustand prüfen

show spanning-tree inconsistentports
show spanning-tree interface gigabitEthernet 1/0/48 detail
show logging | include LOOP|INCONSISTENT|SPANNING

Wo du welches Feature platzierst: Praxis-Blueprint

Die Platzierung ist entscheidend. Nutze die Features rollenbasiert: Edge, Downlink, Uplink. So bleibt das Verhalten vorhersehbar und du vermeidest „selbst verursachte“ Blockierungen.

• Edge-Ports (Clients/Printer/IoT): PortFast + BPDU Guard
• Downlinks Richtung Access (Distribution): Root Guard
• Uplinks/Redundante Trunks: Loop Guard (zusätzlich oft UDLD bei Fiber)

Access-Switch Baseline (empfohlen)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
end

Distribution Downlinks absichern (Root Guard)

configure terminal
interface range gigabitEthernet 1/0/1 - 24
 description DOWNLINKS-TO-ACCESS
 spanning-tree guard root
end

Troubleshooting: Inconsistent vs. err-disabled richtig interpretieren

Ein häufiger Fehler ist, Schutzmechanismen als „Bug“ zu sehen. In Wirklichkeit zeigen sie meist ein reales Problem an. Der Zustand verrät dir, welche Richtung du prüfen musst.

• err-disabled: BPDU Guard hat ausgelöst → Switch/Loop am Edge-Port
• root-inconsistent: Root Guard greift → unerwartete Root-BPDUs vom Downlink
• loop-inconsistent: Loop Guard greift → BPDUs fehlen (Link-/Unidirectional-Problem)

Diagnose-Spickzettel

show spanning-tree inconsistentports
show interface status err-disabled
show logging | include BPDU|ROOT|LOOP|INCONSISTENT|ERRDISABLE
show interfaces counters errors

Typische Fehler und wie du sie vermeidest

Die Schutzfeatures verursachen Probleme meist nur dann, wenn sie falsch platziert oder ohne Design-Rahmen ausgerollt werden. Diese Fehlerbilder sind besonders häufig.

• BPDU Guard auf Uplinks: Port err-disabled, weil Switch-BPDUs normal sind
• Root Guard auf Uplink/Core: unerwartete Blockierung, weil Root „von oben“ kommt
• Loop Guard Events: häufig Hinweis auf Fiber/SFP/Unidirectional, nicht „STP spinnt“
• Viele TCNs trotz Guards: Edge-Ports ohne PortFast oder Link-Flaps

Best Practices: Minimaler, sicherer STP-Guard-Standard

Ein guter Standard ist einfach und wiederholbar: Edge-Ports gehärtet, Root geschützt, BPDU-Ausfälle abgesichert. Ergänze bei Fiber-Uplinks UDLD, um unidirektionale Links zusätzlich zu erkennen.

• PortFast + BPDU Guard default auf Access-Switches
• Root Guard auf Downlinks Richtung Access (Distribution)
• Loop Guard default in redundanten L2-Topologien
• UDLD aggressive auf kritischen Fiber-Uplinks

Kompaktes Template (Access)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
udld enable
udld aggressive
end
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.