March 3, 2026

STP TCNs und Flapping: Ursachen finden und beheben

Viele Spanning-Tree Topology Changes (TCNs) und „Flapping“ sind ein Warnsignal für Instabilität auf Layer 2: Ports gehen ständig up/down, STP-States wechseln, MAC-Tabellen werden geleert und Endgeräte verlieren kurzzeitig Konnektivität. In der Praxis äußert sich das als „kurze Aussetzer“, „VoIP knackt“, „WLAN-Clients verlieren IP“ oder „alles ist sporadisch langsam“. Dieser Leitfaden zeigt, wie du TCNs korrekt interpretierst, die verursachenden Ports findest und die häufigsten Ursachen sauber behebst – ohne riskante Workarounds.

Was sind STP TCNs und warum sind sie problematisch?

Ein TCN (Topology Change Notification) signalisiert, dass sich die Layer-2-Topologie verändert hat. STP reagiert darauf, indem Switches MAC-Tabellen schneller altern lassen bzw. teilweise leeren, damit neue Pfade schnell gelernt werden. Bei häufigen TCNs ist das schlecht, weil es permanent zu „Neulernen“ und kurzzeitigen Paketverlusten führt.

  • TCNs werden bei Port-Statuswechseln und STP-State-Änderungen ausgelöst
  • MAC-Tabellen werden schneller aktualisiert (mehr Flooding/Unicast Flooding)
  • Folgen: kurze Unterbrechungen, erhöhte Last, instabile Sessions

Wann TCNs „normal“ sind

Einzelne TCNs bei geplanten Changes (Uplink-Failover, Wartung) sind normal. Problematisch sind viele TCNs pro Minute oder pro Stunde ohne geplante Arbeiten.

Schnellstart: In 2 Minuten den verursachenden Port finden

Der wichtigste Schritt ist, den Port zu identifizieren, der die letzten Topology Changes ausgelöst hat. Danach folgt die Ursachenanalyse (Link-Flap, Edge-Port ohne PortFast, Loop, unidirectional Link).

show spanning-tree summary
show spanning-tree vlan 10 detail
show logging | include SPANNING|TOPOLOGY|TCN|LINK|LINEPROTO

Der entscheidende Hinweis im Detail-Output

Im Output von show spanning-tree vlan X detail findest du typischerweise „Number of topology changes“, „Last change occurred“ und „from …“. Der „from“-Port ist dein primärer Verdacht.

Hauptursachen für TCNs und Flapping (Praxis-Prioritäten)

Die meisten TCN-Probleme lassen sich auf wenige Ursachen reduzieren. Die Reihenfolge unten ist bewusst praxisorientiert – beginne mit den häufigsten.

  • Link-Flapping: Kabel, SFP, Patchfeld, PoE, Endgerät rebootet
  • Edge-Ports ohne PortFast: Clients lösen bei jedem Link-Up TCNs aus
  • Loops/Fehlpatching: Broadcast-Storms, MAC-Flapping, STP-Instabilität
  • Unidirectional Links: BPDUs fehlen, STP reagiert ungewöhnlich (Loop Guard/UDLD)
  • EtherChannel/Port-Channel Probleme: Member inkonsistent, Bundle flapped

Ursache 1: Link-Flapping (Layer 1) sauber nachweisen

Wenn Ports physikalisch flappen, ist STP meist nur der „Messenger“. Prüfe zuerst Link-Status, Errors und Logs. Ein flappender Uplink ist besonders kritisch.

show interfaces status
show interfaces counters errors
show interfaces gigabitEthernet 1/0/10
show logging | include LINK|LINEPROTO|UPDOWN

Typische Indikatoren für physische Probleme

  • CRC/FCS/Input Errors steigen
  • „Link up/down“ Meldungen im Log
  • Speed/Duplex inkonsistent (selten, aber möglich)
  • Bei Fiber: SFP/Transceiver und RX/TX prüfen

Ursache 2: Edge-Ports ohne PortFast (häufigster STP-„Designfehler“)

Wenn PortFast nicht aktiv ist, erzeugt jeder Client-Link-Up STP-Transitions und damit TCNs. In Access-Netzen mit vielen Clients kann das zu dauerhaft hohen TCN-Zahlen führen.

PortFast/BPDU Guard als Standard setzen

configure terminal
spanning-tree portfast default
spanning-tree bpduguard default
end

PortFast-Status prüfen

show spanning-tree interface gigabitEthernet 1/0/10 detail
show spanning-tree summary

Warum BPDU Guard dazugehört

PortFast beschleunigt Forwarding. BPDU Guard verhindert, dass ein „Switch unter dem Tisch“ sofort eine Schleife erzeugt. Damit reduziert du TCNs und Loop-Risiken gleichzeitig.

Ursache 3: Loops und MAC-Flapping erkennen

Loops erzeugen nicht nur TCNs, sondern oft MAC-Flapping und Broadcast-Stürme. Hier ist schnelles Eingrenzen entscheidend: Wo flappen MACs? Wo steigen Broadcast/Multicast Counters? Welche Ports sehen BPDUs an Edge?

show logging | include MACFLAP|SPANNING|TOPOLOGY|BPDU
show mac address-table
show mac address-table dynamic
show interfaces counters errors

Wenn BPDU Guard auslöst: Schutzereignis richtig interpretieren

Ein err-disabled Port wegen BPDU Guard ist ein Hinweis auf einen Switch/Loop an einem Edge-Port. Behebe die Verkabelung oder entferne den unerwünschten Switch.

show interface status err-disabled
show logging | include BPDU|ERRDISABLE

Ursache 4: Unidirectional Links (Loop Guard/UDLD) als TCN-Treiber

Wenn BPDUs ausbleiben, kann STP Ports in inconsistent setzen oder Topologieänderungen erzeugen. Besonders bei Fiber-Uplinks sind unidirektionale Fehler realistisch. Loop Guard und UDLD helfen, diese Fälle zu stabilisieren.

Loop Guard und UDLD Status prüfen

show spanning-tree inconsistentports
show logging | include LOOP|INCONSISTENT|UDLD|SPANNING
show udld neighbors

Empfohlene Härtung für kritische Uplinks

configure terminal
spanning-tree loopguard default
udld enable
udld aggressive
end

Ursache 5: EtherChannel/Port-Channel Instabilität

Wenn ein Port-Channel flapped oder Member inkonsistent sind, kann das starke TCN-Spitzen erzeugen. Prüfe Bundle-Status, LACP und ob alle Member identisch konfiguriert sind (Trunk/Allowed VLANs/Speed/Duplex).

show etherchannel summary
show etherchannel port-channel
show interfaces port-channel 1
show interfaces trunk

Typische EtherChannel-Fallen

  • Ein Member im falschen Mode (Access vs. Trunk)
  • Allowed VLANs differieren zwischen Membern
  • LACP auf einer Seite, statisch auf der anderen
  • Physische Errors auf einem Member (führt zu intermittierendem Bundle)

TCN-Quelle pro VLAN korrekt bestimmen

In Rapid PVST+ können TCNs VLAN-spezifisch sein. Das heißt: Ein Problem kann nur VLAN 10 betreffen, während VLAN 20 stabil ist. Prüfe daher das betroffene VLAN gezielt.

show spanning-tree vlan 10 detail
show spanning-tree vlan 20 detail
show spanning-tree vlan 99 detail

MST-Umgebungen: Instanzen statt VLANs

Wenn du MST nutzt, untersuche die betroffene MST-Instance statt einzelner VLANs.

show spanning-tree mst 1 detail
show spanning-tree mst 2 detail

Beheben statt kaschieren: Sichere Maßnahmen gegen TCN-Flapping

Reduziere TCNs, indem du Edge-Standards setzt, physische Stabilität herstellst und Guard-Mechanismen sinnvoll nutzt. Vermeide „STP abschalten“ oder BPDU Filter als „TCN-Stopper“.

  • PortFast + BPDU Guard auf Edge-Ports als Default
  • Root Bridge geplant setzen (Primary/Secondary)
  • Root Guard auf Downlinks Richtung Access
  • Loop Guard + UDLD für kritische Uplinks (insbesondere Fiber)
  • Trunks whitelisten (Allowed VLANs) und Native VLAN konsistent

Baseline-Template (Access-Switch)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
end

Verifikation nach dem Fix: Nachweis, dass TCNs zurückgehen

Nach der Behebung solltest du prüfen, ob „Last change“ nicht mehr ständig aktualisiert wird und ob die Anzahl der Topology Changes nicht weiter schnell steigt. Zusätzlich sollten Logs ruhig werden.

show spanning-tree vlan 10 detail
show spanning-tree summary
show spanning-tree inconsistentports
show logging | include TOPOLOGY|SPANNING|LINK|UDLD

Konfiguration speichern

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer