STP blockt Ports: Warum das passiert und wie man es korrigiert

Wenn in einem Cisco-Netzwerk plötzlich Ports auf „Blocking“ stehen, wirkt das zunächst wie ein Fehler: Ein Uplink ist up, der Trunk ist korrekt, aber Traffic kommt nicht an – und in show spanning-tree taucht ein Port als „Alternate“ oder „Blocking“ auf. Genau hier ist wichtig zu verstehen: Dass STP blockt Ports, ist in den meisten Fällen kein Defekt, sondern die beabsichtigte Schutzfunktion von Spanning Tree Protocol (STP). STP verhindert Layer-2-Loops, die sonst in Sekunden zu Broadcast-Stürmen, MAC-Flapping, hoher CPU-Last und massiven Paketverlusten führen würden. Gleichzeitig kann STP-Blocking für echte Betriebsprobleme sorgen, wenn das STP-Design nicht sauber geplant wurde: falsche Root Bridge, unerwartete Pfadkosten, inkonsistente VLAN-Topologien, falsch gesetztes PortFast oder fehlerhafte Redundanzkonstrukte (z. B. Dual-Homing ohne EtherChannel/MLAG). Dieser Artikel erklärt, warum STP Ports blockt, wie Sie die Ursache strukturiert prüfen und wie Sie es korrigieren, ohne den Loop-Schutz zu sabotieren. Sie erhalten praxisnahe Cisco-Befehle, typische Fehlerbilder und konkrete Korrekturen, die sowohl in klassischen Campus-Designs (PVST+/Rapid PVST+) als auch in RSTP-/MST-Umgebungen hilfreich sind.

Warum STP Ports blockt: Loop-Schutz statt „Fehler“

Layer 2 kennt standardmäßig keinen Mechanismus, um Schleifen zu verhindern. Wenn zwei Switches mit zwei parallelen Links verbunden sind (oder ein Loop durch falsche Verkabelung entsteht), werden Broadcasts und unbekannte Unicasts im Kreis geflutet. Das Netzwerk „verstärkt“ sich selbst, bis die Fabric oder die Endgeräte kollabieren. STP löst dieses Problem, indem es eine loopfreie Baum-Topologie berechnet: Für jede Layer-2-Domäne bleibt genau ein Pfad aktiv, redundante Pfade werden blockiert. Das Blocken ist also die Konsequenz aus Redundanz.

• Mit Redundanz (zwei Wege): STP muss mindestens einen Weg blockieren, sonst entsteht ein Loop.
• Ohne Redundanz (ein Weg): STP blockt meist nichts, weil kein Loop möglich ist.
• Mit EtherChannel: Mehrere physische Links werden zu einem logischen Link gebündelt, STP sieht nur einen Pfad und blockt nicht wegen Parallelität.

STP-Rollen und Zustände: Was „Blocking“ in der Praxis bedeutet

Damit Sie Korrekturen sauber planen können, müssen Sie die Rollen verstehen, die STP einem Port zuweist. In RSTP/Rapid PVST+ sind diese Rollen besonders relevant:

• Root Port: Der beste Pfad eines Switches zur Root Bridge. Pro Switch (pro VLAN/Instanz) genau einer.
• Designated Port: Der beste Port in Richtung eines Segments. Diese Ports forwarden.
• Alternate Port: Redundanter Pfad zur Root Bridge. Dieser Port wird typischerweise blockiert.
• Backup Port: Redundanz auf demselben Segment (selten, z. B. bei zwei Ports desselben Switches in einem Segment).

Wichtig: „Blocking“ heißt nicht „Port kaputt“, sondern „Port ist absichtlich nicht im Forwarding“, um die Topologie loopfrei zu halten. In Rapid STP werden Zustände häufig als „Discarding“ zusammengefasst, während klassische 802.1D-Zustände (Blocking/Listening/Learning/Forwarding) historisch bekannter sind.

Die häufigsten Gründe, warum STP Ports blockt

Wenn ein Port blockt, gibt es fast immer einen der folgenden Auslöser. Die Kunst ist zu entscheiden, ob das Blocken korrekt ist (Design) oder unerwünscht (Fehlplanung/Fehlkonfiguration).

• Parallele Links ohne EtherChannel: Zwei Switches sind mit mehreren Links verbunden, aber nicht gebündelt.
• Falsche Root Bridge: Ein Access-Switch wird Root, statt Distribution/Core. Dadurch blocken „falsche“ Ports.
• Unerwartete Pfadkosten: Ein Link hat geringere STP-Kosten als erwartet (z. B. 10G vs. 1G), wodurch STP einen anderen Pfad bevorzugt.
• VLAN-inkonsistente Topologie: Nicht alle VLANs sind auf allen Trunks erlaubt; pro VLAN kann ein anderer Port blocken.
• STP-Mode-Mix: MST/PVST-Kompatibilität oder falsch gemappte MST-Instanzen, was zu ungewollten Blockings führt.
• Loop durch falsche Verkabelung: Patchfeld-/Etagenverkabelung erzeugt einen Loop, STP blockt zur Rettung.
• PortFast falsch eingesetzt: PortFast auf einem Uplink kann zu Instabilität und Schutzreaktionen (z. B. BPDU Guard) führen.

Schritt-für-Schritt Diagnose: So finden Sie die echte Ursache

Eine stabile Diagnose folgt einem festen Ablauf. Ziel ist, nicht nur zu sehen, dass STP blockt, sondern zu verstehen, warum dieser Port blockt und welche Alternative gerade forwardet.

Schritt 1: Betroffenen Port und VLAN/Instanz eindeutig bestimmen

STP kann pro VLAN (PVST+/Rapid PVST+) oder pro MST-Instanz unterschiedlich entscheiden. Klären Sie zuerst: Für welches VLAN ist der Port blockiert?

• show spanning-tree interface Gi1/0/49 detail
• show spanning-tree vlan 10 (bei PVST/Rapid PVST+)
• show spanning-tree mst (bei MST)

Wenn das Problem nur ein VLAN betrifft, ist häufig die VLAN-Topologie (Allowed VLANs, Trunks) der eigentliche Auslöser.

Schritt 2: Root Bridge prüfen: Wer ist Root und ist das gewollt?

Der wichtigste Einzelpunkt im STP-Design ist die Root Bridge. Wenn die Root Bridge „falsch“ ist, blocken Ports oft an unerwarteten Stellen.

• show spanning-tree vlan 10 → Abschnitt „Root ID“ und „Bridge ID“
• show spanning-tree root (plattformabhängig, schneller Überblick)

Interpretation:

• Wenn ein Access-Switch Root ist, ist das in Campus-Netzen selten gewollt.
• Wenn Distribution/Core Root ist, ist das meist korrekt.

Praxisregel: Root gehört dorthin, wo auch die Layer-3-Gateways und die zentralen Uplinks liegen (Distribution/Core). So vermeiden Sie Umwege und „Hairpinning“.

Schritt 3: Pfadkosten und Portrollen vergleichen

Wenn Root korrekt ist, prüfen Sie: Warum ist dieser Port „Alternate“ und welcher Port ist „Root Port“? Das zeigen die Details pro VLAN/Instanz.

• show spanning-tree vlan 10 (Cost, Port ID, Role/State)
• show interfaces Gi1/0/49 (Speed, Duplex; beeinflusst indirekt STP-Kosten je nach Plattform)

Typische Erkenntnis: Ein 10G-Uplink wird bevorzugt, ein 1G-Uplink blockt. Das ist grundsätzlich logisch. Problematisch wird es, wenn die 10G-Strecke nur „scheinbar“ besser ist (z. B. höherer Loss, Microbursts, fehlerhafte Optik) und Sie eigentlich den anderen Pfad nutzen möchten.

Schritt 4: VLAN-End-to-End prüfen (Allowed VLANs, Trunks, Inkonsistenzen)

Viele „STP blockt falsch“-Tickets sind in Wahrheit VLAN-Inkonsistenzen: Ein VLAN ist auf einem Trunk nicht erlaubt, dadurch sieht STP pro VLAN eine andere Topologie und blockt anders.

• show interfaces trunk (Allowed VLANs, Native VLAN)
• show vlan brief (VLAN existiert lokal?)
• show spanning-tree vlan 10 auf beiden Switches vergleichen

Wenn VLAN 10 auf einem Uplink fehlt, kann STP den „anderen“ Link als einzigen Pfad sehen und dadurch Rollen anders verteilen. Das wirkt wie „zufälliges Blocking“, ist aber eine konsequente Reaktion auf eine inkonsistente VLAN-Topologie.

Schritt 5: STP-Events und Topology Changes auswerten

Wenn Ports häufig zwischen Forwarding und Blocking wechseln, ist das ein Stabilitätsproblem (Link-Flapping, Loop, falsch gesetztes PortFast). Prüfen Sie Topology Changes:

• show spanning-tree detail (Topology Change Count, Last Change)
• show logging (STP-Meldungen, BPDU Guard, Root Guard)

Viele TCNs deuten auf eine „unruhige“ Topologie hin. Das ist fast immer ein Hinweis, dass Sie nicht nur den blockierenden Port betrachten sollten, sondern das gesamte Layer-2-Design.

Wie man es korrigiert: Bewährte Cisco Maßnahmen

Korrekturen müssen das Ziel verfolgen, eine stabile, loopfreie Topologie zu erreichen. „Blocking abschalten“ ist fast nie eine gute Lösung, weil Sie damit den Schutzmechanismus entfernen und das Risiko eines kompletten Layer-2-Kollapses erhöhen.

Root Bridge gezielt festlegen (empfohlene Korrektur Nummer 1)

Wenn die Root Bridge falsch ist, setzen Sie sie bewusst auf Ihren Distribution/Core-Switch. In Rapid PVST+ wird das häufig pro VLAN umgesetzt. Beispiel konzeptionell:

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30 root primary
spanning-tree vlan 10,20,30 root secondary
end

Wichtig: In redundanten Designs sollten Sie Root Primary und Root Secondary bewusst auf unterschiedliche Distribution-Switches legen. In manchen Umgebungen wird Root pro VLAN verteilt, um Last zu verteilen (VLAN 10 Root auf DSW1, VLAN 20 Root auf DSW2). Das ist sinnvoll, wenn es sauber dokumentiert und mit Gateway-Rollen abgestimmt ist.

STP-Kosten oder Port-Prioritäten anpassen (gezielt, nicht blind)

Wenn Root korrekt ist, aber der falsche Pfad bevorzugt wird, können Sie die Entscheidung beeinflussen:

• Cost anpassen: Höhere Kosten machen einen Pfad unattraktiver, niedrigere attraktiver.
• Port-Priority anpassen: Feinsteuerung bei gleichwertigen Kosten.

Beispiel (konzeptionell) für Cost-Anpassung auf einem Interface:

configure terminal
interface GigabitEthernet1/0/49
spanning-tree vlan 10 cost 50
end

Best Practice: Nur dann anpassen, wenn Sie den gewünschten Normalpfad eindeutig definieren und die Auswirkungen verstehen. Falsche Cost-Tuning-Änderungen können bei Ausfällen zu unerwarteten Failover-Pfaden führen.

Parallele Links korrekt bündeln (EtherChannel statt STP-Blocking)

Wenn Sie zwei (oder mehr) parallele Links zwischen denselben Switches nutzen möchten, ist EtherChannel (LACP) häufig die richtige Lösung. STP sieht den Port-Channel als einen logischen Link, sodass kein Link blocken muss, während Sie Bandbreite und Redundanz gewinnen.

Beispiel (konzeptionell):

configure terminal
interface range GigabitEthernet1/0/49 - 50
switchport mode trunk
channel-group 1 mode active
!
interface Port-channel1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
end

Wichtig: Alle Member-Ports müssen identisch konfiguriert sein (Trunk-Parameter, Allowed VLANs, Native VLAN, Speed/Duplex, ggf. MTU). Sonst wird das Bundle instabil oder Ports werden suspendiert.

PortFast, BPDU Guard, Root Guard richtig einsetzen (und falsch eingesetzte Einstellungen korrigieren)

Viele STP-Probleme entstehen nicht durch STP selbst, sondern durch falsch gesetzte Schutzfunktionen.

• PortFast: Nur an echten Endgeräte-Ports (PC, Drucker, Telefon, AP in Access-Mode). Nicht auf Uplinks/Trunks.
• BPDU Guard: Auf PortFast-Ports, damit Rogue Switches sofort abgeschaltet werden.
• Root Guard: Auf Downlinks, damit ein Access-Switch nicht Root werden kann.

Typischer Fix, wenn PortFast auf einem Uplink gesetzt wurde:

configure terminal
interface GigabitEthernet1/0/49
no spanning-tree portfast
end

Wenn BPDU Guard einen Port errdisable schaltet, ist das meist ein Hinweis auf eine falsche Portnutzung (z. B. Switch statt Endgerät). Korrigieren Sie die Verkabelung oder den Porttyp, statt BPDU Guard abzuschalten.

STP-Mode und Skalierung: Rapid PVST+ vs. MST

In Cisco-Campus-Netzen ist Rapid PVST+ verbreitet, weil es pro VLAN eine eigene STP-Instanz bietet und schnelle Konvergenz ermöglicht. In sehr VLAN-lastigen Umgebungen kann MST (Multiple Spanning Tree) sinnvoll sein, weil mehrere VLANs auf wenige STP-Instanzen gemappt werden und die Control-Plane-Last sinkt. Allerdings erfordert MST saubere Planung (Region, Revision, VLAN-Mapping), sonst entstehen Inkonsistenzen und unerwartete Blockings.

• Rapid PVST+: einfach zu verstehen, VLAN-spezifische Steuerung, aber mehr Instanzen
• MST: skalierbarer, aber komplexer in der Konfiguration und Fehlerdiagnose

Wenn Sie MST nutzen, prüfen Sie bei Problemen immer Region-Name, Revision und VLAN-zu-Instance-Mapping auf allen Switches, sonst verhalten sich Instanzen wie „getrennte Welten“.

Typische Praxisfälle und schnelle Korrekturen

• Fall 1: Uplink blockt nach Einbau eines zweiten Links
  Ursache: Redundanz ohne EtherChannel. Korrektur: LACP EtherChannel bilden oder einen Link bewusst als Standby belassen und Design dokumentieren.
• Fall 2: Access-Switch wird Root Bridge
  Ursache: Root nicht festgelegt oder Prioritäten falsch. Korrektur: Root Primary/Secondary auf Distribution setzen, Root Guard auf Downlinks.
• Fall 3: Nur VLAN 20 hat Probleme, VLAN 10 nicht
  Ursache: VLAN 20 nicht auf einem Trunk erlaubt oder VTP/MST-Mapping inkonsistent. Korrektur: Allowed VLANs/MST-Mapping konsistent machen.
• Fall 4: Viele Topology Changes, Ports wechseln Zustände
  Ursache: Link-Flapping, falsches PortFast, Loop durch Verkabelung. Korrektur: physische Stabilität herstellen, PortFast korrekt, BPDU Guard aktiv, Loop isolieren.
• Fall 5: STP blockt „den falschen“ Pfad nach Upgrade auf 10G
  Ursache: Pfadkosten ändern sich, STP bevorzugt 10G. Korrektur: Cost/Priorität gezielt anpassen oder Routing/Design neu bewerten.

Verifikation: So prüfen Sie, dass die Korrektur wirklich greift

Nach jeder STP-Änderung sollten Sie nicht nur „sehen“, sondern verifizieren. Eine kurze, zuverlässige Routine:

• show spanning-tree vlan 10 (Root korrekt, Rollen korrekt, Portzustände erwartbar)
• show spanning-tree detail (Topology Changes stabilisieren sich)
• show interfaces trunk (VLANs aktiv und konsistent)
• show etherchannel summary (wenn EtherChannel genutzt wird: Bundle stabil)
• show logging (keine wiederkehrenden STP/Loop/Errdisable-Meldungen)

Praxis-Tipp: Wenn Sie Root-Änderungen durchführen, rechnen Sie mit kurzfristigen Umschaltungen. Planen Sie solche Änderungen im Wartungsfenster und informieren Sie über potenzielle kurze Unterbrechungen.

Best Practices: STP so planen, dass Ports nicht „überraschend“ blocken

• Root-Design festlegen: Root Bridge gehört in Distribution/Core; Primary/Secondary definieren.
• VLAN-Topologie konsistent halten: Allowed VLANs und Trunk-Design dokumentieren, keine „zufälligen“ VLAN-Pfade.
• EtherChannel nutzen: Parallele Links bündeln, statt STP „arbeiten lassen“, wenn Bandbreite genutzt werden soll.
• PortFast nur für Endgeräte: Uplinks/Trunks niemals mit PortFast betreiben.
• Guards konsequent: BPDU Guard auf Access-Ports, Root Guard auf Downlinks, um Root-Schutz sicherzustellen.
• Monitoring: Alerts auf Topology Changes, MAC-Flapping und Interface-Flaps, damit Loops früh erkannt werden.

Outbound-Links zur Vertiefung

• Cisco Spanning Tree Protocol (STP) Grundlagen
• Cisco EtherChannel Grundlagen (LACP)
• IEEE 802.1D Standard (STP)

Praxis-Checkliste: STP blockt Ports korrekt korrigieren

• Für welches VLAN/ welche Instanz blockt der Port tatsächlich (show spanning-tree vlan X / MST)?
• Ist die Root Bridge korrekt und geplant (Distribution/Core statt Access)?
• Welche Portrolle hat der blockierende Port (Alternate/Backup) und welcher Port forwardet stattdessen?
• Sind Allowed VLANs und Native VLAN auf allen Trunks konsistent, damit STP pro VLAN die richtige Topologie sieht?
• Gibt es viele Topology Changes oder Link-Flaps, die auf Instabilität oder Loops hindeuten?
• Ist PortFast nur an Endgeräteports aktiv und nicht auf Uplinks/Trunks?
• Soll Bandbreite aktiv genutzt werden (dann EtherChannel) oder soll Redundanz als Standby bleiben (dann STP-Blocking akzeptieren und dokumentieren)?
• Wurde nach dem Fix verifiziert (Root, Rollen, STP-Events, Trunks, EtherChannel)?

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.