March 4, 2026

STP Root Bridge setzen: So stabilisierst du die Topologie

Eine stabile Layer-2-Topologie beginnt mit einer bewusst geplanten STP Root Bridge. Wenn Sie die Root Bridge „zufällig“ entstehen lassen, entscheidet oft die niedrigste MAC-Adresse – und der Root kann an einer ungünstigen Stelle stehen. Das führt zu suboptimalen Pfaden, unerwartet blockierten Links und im Fehlerfall zu längeren Rekonvergenzen. In Packet Tracer (und in der Praxis) setzen Sie die Root Bridge gezielt, um Forwarding-Pfade zu steuern und Redundanz kontrolliert zu nutzen.

Warum die Root Bridge so wichtig ist

STP baut einen schleifenfreien Baum. Die Root Bridge ist der zentrale Referenzpunkt: Alle Switches berechnen ihren besten Pfad zur Root und bestimmen daraus Root Ports, Designated Ports und blockierte Ports. Wenn die Root an der falschen Stelle steht, blockt STP „falsch herum“ und der Verkehr nimmt unnötige Umwege.

  • Root Bridge bestimmt die Topologie-Logik von STP
  • Forwarding-/Blocking-Entscheidungen hängen vom Pfad zur Root ab
  • Gezielte Root-Wahl = planbare, stabile Layer-2-Pfade

Wie STP die Root Bridge wählt

STP wählt die Root Bridge über die niedrigste Bridge ID. Diese setzt sich aus Priorität und MAC-Adresse zusammen. In Übungen ist die Priorität Ihr Hebel: Senken Sie sie auf dem gewünschten Root-Switch, damit er unabhängig von MAC-Adressen gewinnt.

  • Bridge ID = STP-Priorität + MAC-Adresse
  • Niedrigste Bridge ID wird Root Bridge
  • Priorität ist in festen Stufen konfigurierbar (typisch Vielfache von 4096)

Best Practice für Lern- und Praxisdesigns

  • Root Bridge im Core/Distribution platzieren (nicht am Access-Rand)
  • Für Redundanz einen Secondary Root definieren
  • Root pro VLAN planen, wenn PVST/RPVST genutzt wird

Lab-Setup in Packet Tracer: Drei Switches mit Redundanz

Ein klassisches Übungslab ist ein Dreieck aus drei Switches (SW1, SW2, SW3). STP muss mindestens einen Port blocken. Ziel: SW1 wird Root, und SW2 oder SW3 wird Secondary Root.

  • Topologie: SW1 ↔ SW2 ↔ SW3 ↔ SW1
  • VLAN: VLAN 1 reicht für den Einstieg
  • Ziel: Root = SW1, Secondary = SW2

Vorher prüfen: Wer ist aktuell Root?

Bevor Sie etwas ändern, prüfen Sie auf jedem Switch den STP-Status. So sehen Sie sofort, ob die Root-Wahl bereits „zufällig“ ist und welche Ports blocken.

enable
show spanning-tree root
show spanning-tree vlan 1

Root Bridge setzen: Schnellmethode mit „root primary“

Die einfachste Methode ist der Root-Primary-Befehl. Er setzt die Priorität so, dass der Switch Root wird (bzw. sicher Root bleibt), ohne dass Sie manuell rechnen müssen.

SW1 als Root für VLAN 1 setzen

enable
configure terminal
spanning-tree vlan 1 root primary
end
write memory

SW2 als Secondary Root setzen

enable
configure terminal
spanning-tree vlan 1 root secondary
end
write memory

Root Bridge setzen: Kontrollmethode mit expliziter Priorität

Wenn Sie exakt steuern möchten, setzen Sie die Priorität direkt. Dadurch wird Ihr Lab reproduzierbar, und Sie verstehen die Mechanik hinter Root-Wahl und Failover besser.

SW1 Priorität senken (Root erzwingen)

enable
configure terminal
spanning-tree vlan 1 priority 4096
end
write memory

SW2 Priorität als Backup setzen

enable
configure terminal
spanning-tree vlan 1 priority 8192
end
write memory

Wichtig: Reihenfolge und Abstand

  • Root hat die niedrigste Priorität
  • Secondary hat die nächstniedrigere Priorität
  • Andere Switches bleiben höher (Standard oft 32768)

Nachher verifizieren: Root, Portrollen und blockierte Pfade

Nach dem Setzen der Root Bridge prüfen Sie, ob SW1 wirklich Root ist und ob die erwarteten Ports blocken. Damit stellen Sie sicher, dass die Topologie wie geplant stabilisiert ist.

Root-Check

enable
show spanning-tree root

Portrollen prüfen

enable
show spanning-tree vlan 1

Was Sie sehen sollten

  • SW1: Root Bridge (Root ID = Bridge ID lokal)
  • SW2/SW3: jeweils ein Root Port Richtung SW1
  • Ein redundanter Pfad: Alternate/Blocking (Schleifenvermeidung)

Failover testen: Secondary Root in Aktion

Um die Stabilität nachzuweisen, simulieren Sie einen Ausfall: Trennen Sie den Root-Switch oder deaktivieren Sie einen zentralen Link. Danach sollte SW2 als Secondary Root die Root-Rolle übernehmen (je nach Failure-Szenario) und STP den Baum neu berechnen.

  • Aktiven Link trennen (nicht den bereits blockierten)
  • STP-Status neu prüfen
  • Portrollen/Blocking verändern sich nachvollziehbar

Vorher/Nachher vergleichen

enable
show spanning-tree root
show spanning-tree vlan 1
show interfaces status

Häufige Fehler beim Root-Setzen in Übungen

Viele „komische“ STP-Ergebnisse entstehen durch Missverständnisse: Root wird nur auf einem VLAN gesetzt, falscher Switch bekommt die niedrigere Priorität oder die Übung nutzt mehrere VLANs, aber Sie prüfen nur VLAN 1.

Root nur auf VLAN 1 gesetzt, aber Übung nutzt VLAN 10/20

  • Symptom: Root wirkt „falsch“ in bestimmten VLANs
  • Lösung: Root pro VLAN setzen oder VLAN-Range konfigurieren

Secondary Root vergessen

  • Symptom: Nach Root-Ausfall wird Root „zufällig“ ein anderer Switch
  • Lösung: Secondary Root definieren (Priorität knapp über Root)

Falsche Erwartung: Blocking ist normal

  • Symptom: „Ein Link ist tot“
  • Erklärung: STP blockt bewusst, um Schleifen zu verhindern
  • Check: show spanning-tree vlan X

Best Practices: Root Bridge stabil in Lernprojekten planen

Wenn Sie diese Regeln konsequent anwenden, werden Ihre Packet-Tracer-Topologien stabiler und Ihre STP-Übungen reproduzierbar.

  • Root im „Zentrum“ (Core/Distribution), nicht am Rand
  • Secondary Root auf einem zweiten zentralen Switch
  • Uplink-Ports klar beschriften und blockierte Ports dokumentieren
  • Nach jeder Änderung verifizieren: Root, Portrollen, Interface-Status

Spickzettel: wichtigste Kommandos

show spanning-tree root
show spanning-tree vlan 1
show interfaces status
show running-config | include spanning-tree

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind