March 3, 2026

Spanning Tree verstehen: Warum STP dein Netzwerk rettet

Spanning Tree Protocol (STP) ist einer der wichtigsten Schutzmechanismen in Ethernet-Netzen: Es verhindert Layer-2-Schleifen (Loops), die innerhalb von Sekunden ein gesamtes Netzwerk lahmlegen können. Loops erzeugen Broadcast-Stürme, MAC-Table-Flapping und massive Paketverluste – oft ausgelöst durch ein falsch gestecktes Patchkabel oder einen „kleinen“ Switch unter dem Tisch. STP erkennt redundante Pfade, blockiert sie kontrolliert und hält dein Netzwerk damit stabil und verfügbar.

Warum Layer-2-Loops so gefährlich sind

Ethernet-Switching arbeitet ohne „Hop Limit“ wie IP. Wenn ein Frame in einer Schleife kreist, kann er endlos weitergeleitet werden. Schon wenige Sekunden reichen, um Bandbreite, CPU und MAC-Tabellen zu überlasten.

  • Broadcast Storm: Broadcasts/Multicasts vervielfachen sich exponentiell
  • MAC Flapping: dieselbe MAC wird auf wechselnden Ports gelernt
  • Hohe CPU-Last und Paketverlust auf Switches und Endgeräten
  • „Alles langsam“ bis kompletter Netzwerkausfall

Typische Loop-Ursachen im Alltag

  • Patchkabel verbindet zwei Dosen/Ports im gleichen Switch
  • Unmanaged Switch wird redundant angeschlossen
  • Uplink falsch gesteckt (z. B. zwei Uplinks ohne Port-Channel)
  • Fehlkonfiguration von Trunks/VLANs in redundanten Pfaden

Was STP macht: Ein Topologiebaum statt einer Schleife

STP sorgt dafür, dass in jedem VLAN (bei PVST/RPVST) eine loopfreie Baumstruktur entsteht. Redundante Links bleiben physikalisch vorhanden, werden aber logisch blockiert. Fällt ein aktiver Link aus, kann ein blockierter Link übernehmen.

  • STP wählt eine Root Bridge (Referenzpunkt)
  • Bestimmt den besten Pfad zur Root (Root Ports)
  • Wählt pro Segment einen Designated Port
  • Blockiert alternative Pfade (Alternate/Blocking), um Loops zu verhindern

Die Root Bridge verstehen

Die Root Bridge ist der „Anker“ der STP-Topologie. In stabilen Netzen wird die Root bewusst geplant (typisch: Distribution/Core), nicht dem Zufall überlassen.

STP-Varianten: STP, RSTP, PVST, Rapid-PVST

In Cisco-Campus-Netzen ist Rapid-PVST weit verbreitet, weil es pro VLAN arbeitet und deutlich schneller konvergiert als klassisches STP (802.1D). In modernen Designs ist schnelle Konvergenz wichtig, um kurze Ausfälle bei Link-Events zu erreichen.

  • STP (802.1D): klassisch, langsamer
  • RSTP (802.1w): schneller, moderne Konvergenz
  • PVST+: pro VLAN STP (Cisco)
  • Rapid-PVST+: pro VLAN, RSTP-basiert (häufiger Campus-Standard)

STP-Modus anzeigen

show spanning-tree summary

Port-Rollen und Zustände: Was „blocking“ wirklich bedeutet

STP nutzt Rollen und Zustände, um die loopfreie Struktur zu erzwingen. Wichtig ist: Ein „blocking“ Port ist nicht „kaputt“, sondern bewusst deaktiviert, um Loops zu verhindern.

  • Root Port: bester Pfad zur Root Bridge
  • Designated Port: Forwarding-Port pro Segment
  • Alternate Port: Backup-Pfad, typischerweise blocking/discarding

Port-Status pro VLAN prüfen

show spanning-tree vlan 10
show spanning-tree vlan 10 detail

STP in der Praxis: Root Bridge bewusst festlegen

Wenn du STP der Zufallswahl überlässt, kann ein Access-Switch Root werden – mit unnötig langen Pfaden und riskantem Verhalten bei Changes. Lege Root und Secondary Root auf den passenden Switches fest.

Root für VLANs setzen (Beispiel)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 1-4094 root primary
spanning-tree vlan 1-4094 root secondary
end

Root-Status prüfen

show spanning-tree root
show spanning-tree vlan 10 root

PortFast: Warum Endgeräte schnell online kommen

Endgeräte-Ports müssen nicht am STP-Baum „mitarbeiten“. PortFast setzt einen Access-Port sofort in Forwarding, damit Clients schneller eine IP bekommen und Anwendungen schneller starten.

PortFast global aktivieren

configure terminal
spanning-tree portfast default
end

PortFast am Interface aktivieren

configure terminal
interface gigabitEthernet 1/0/10
 spanning-tree portfast
end

BPDU Guard: Der Sicherheitsgurt gegen „Switch unter dem Tisch“

BPDU Guard schützt PortFast-Ports: Wenn ein Endgeräte-Port plötzlich BPDUs empfängt (Hinweis auf einen Switch), wird der Port err-disabled gesetzt. Das verhindert Loops und unerwünschte Topologieänderungen.

BPDU Guard global aktivieren

configure terminal
spanning-tree bpduguard default
end

BPDU Guard pro Port aktivieren

configure terminal
interface gigabitEthernet 1/0/10
 spanning-tree bpduguard enable
end

Typische STP-Fehlerbilder: Wenn STP „plötzlich Probleme macht“

Oft ist STP nicht die Ursache, sondern der Hinweisgeber: Es blockiert einen Port, weil es eine Schleife verhindern muss. Logs und STP-Details zeigen dir die Richtung.

  • Port ist blocking: redundanter Pfad erkannt (oft korrekt)
  • Port err-disabled: BPDU Guard hat ausgelöst
  • Netzwerk instabil: häufige Topology Changes (TCN)
  • Native VLAN/Trunk-Fehler: STP wirkt „komisch“ pro VLAN

Diagnose-Befehle für STP-Probleme

show spanning-tree summary
show spanning-tree inconsistentports
show spanning-tree vlan 10 detail
show interface status err-disabled
show logging | include SPANNING|BPDU|TOPOLOGY|ERRDISABLE

Best Practices: STP-Standards für stabile Campus-Netze

Mit wenigen Standards wird STP zu einem zuverlässigen „Sicherheitsnetz“ statt zu einer Überraschung. Wichtig sind geplante Root-Placement, PortFast/BPDU Guard auf Access-Ports und klare Uplink-Designs.

  • Root Bridge auf Distribution/Core festlegen (Primary/Secondary)
  • Rapid-PVST nutzen, wenn pro VLAN benötigt
  • PortFast + BPDU Guard auf Endgeräte-Ports
  • Uplinks sauber dokumentieren und Port-Channels korrekt bauen
  • Trunks whitelisten (Allowed VLANs) und Native VLAN konsistent setzen
  • Topology Changes überwachen (Hinweis auf Loop/Flaps)

Minimaler STP-Baseline-Block (Access-Switch)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
end

show spanning-tree summary

Konfiguration speichern

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer