March 3, 2026

STP Troubleshooting: show spanning-tree richtig interpretieren

Wenn Layer-2-Probleme auftreten, ist show spanning-tree oft der schnellste Weg zur Ursache: Warum ist ein Port blockiert? Wer ist Root? Warum gibt es viele Topology Changes? Und weshalb sind Ports „inconsistent“? Wer den Output korrekt liest, spart in Incidents viel Zeit und vermeidet gefährliche Quick-Fixes wie „STP ausschalten“. Dieser Leitfaden erklärt die wichtigsten show spanning-tree-Ausgaben auf Cisco Switches praxisnah und zeigt, wie du typische Fehlerbilder systematisch analysierst.

Startpunkt: Die 3 wichtigsten Fragen im STP-Troubleshooting

Bevor du Details liest, kläre drei Dinge: Ist die Root Bridge wie geplant? Welche Ports forwarden oder blocken? Und gibt es Hinweise auf Instabilität (TCNs/Logs)?

  • Wer ist Root (pro VLAN/Instance)?
  • Welche Ports sind Root/Designated/Alternate und in welchem State?
  • Gibt es viele Topology Changes oder inconsistent/err-disabled Ports?
show spanning-tree summary
show spanning-tree root
show spanning-tree inconsistentports
show logging | include SPANNING|TOPOLOGY|BPDU|ROOT|LOOP

show spanning-tree summary: Schneller Gesundheitscheck

Die Summary zeigt dir den STP-Modus (Rapid-PVST/MST), ob PortFast/BPDU Guard Defaults aktiv sind und liefert einen schnellen Überblick über die STP-Lage im Gerät.

show spanning-tree summary

Was du aus der Summary sofort ableiten kannst

  • STP-Modus passt zum Design (z. B. Rapid-PVST oder MST)
  • PortFast/BPDU Guard Defaults aktiv (Edge-Ports sind gehärtet)
  • Hinweise auf Probleme: viele „inconsistent“ Ports oder auffällige Meldungen

show spanning-tree root: Root Bridge pro VLAN schnell erkennen

Dieser Befehl ist ideal, um Root-Placement zu prüfen. Wenn ein Access-Switch Root ist, ist das meist ein Design- oder Konfigurationsfehler.

show spanning-tree root

Wenn die Root „falsch“ ist

Prüfe STP-Prioritäten und ob Root Primary/Secondary korrekt gesetzt sind. Oft ist schlicht die Priority nicht niedrig genug oder ein VLAN wurde vergessen.

show spanning-tree vlan 10
show spanning-tree vlan 20

show spanning-tree vlan X: Den Output richtig lesen

Der VLAN-spezifische Output ist die wichtigste Detailansicht. Er zeigt Root-Informationen, Bridge-Parameter und pro Port Rollen/States mit Kosten und Timern.

show spanning-tree vlan 10

Abschnitt „Root ID“: Ist die Root korrekt?

Hier siehst du die Root Bridge ID (Priority/MAC) und den Root Path Cost. Wenn „This bridge is the root“ erscheint, ist der lokale Switch Root für dieses VLAN.

Abschnitt „Bridge ID“: Welche Priority hat dieser Switch?

Wenn deine Root-Planung nicht greift, ist die lokale Bridge Priority häufig zu hoch – oder ein anderer Switch hat eine niedrigere Priority.

Port-Tabelle: Role, State, Cost, Port-ID

Die Port-Tabelle ist der Kern für „Warum ist der Port blockiert?“. Lies sie so: erst Role, dann State, dann Cost.

  • Root: bester Pfad zur Root Bridge
  • Desg: Designated Port (forwarding im Segment)
  • Altn: Alternate (Backup), typischerweise discarding/blocking
  • FWD: Forwarding, Traffic läuft
  • BLK/DSC: Blocking/Discarding, bewusst blockiert

Warum ein Port blockiert: 5 häufige Ursachen

Ein blockierter Port ist oft korrekt und Teil des Redundanzkonzepts. Problematisch wird es, wenn der „falsche“ Port blockiert oder wenn Blockierungen flappen.

  • Redundanter Pfad vorhanden (STP blockt einen Link, normal)
  • Falsche Root-Placement (Root sitzt ungünstig, Pfade werden „komisch“)
  • Port-Kosten/Prioritäten führen zur unerwarteten Pfadwahl
  • Inconsistent State durch Guard-Mechanismen
  • Fehlerhafte EtherChannel-Konfiguration (STP sieht parallele Links)

Port-Detailansicht: Genau sehen, warum ein Port so steht

show spanning-tree interface gigabitEthernet 1/0/48 detail

show spanning-tree vlan X detail: Topology Changes richtig bewerten

Viele Topology Changes (TCNs) sind ein Warnsignal. Sie entstehen oft durch flappende Links, fehlendes PortFast an Edge-Ports oder durch Loops/Fehlpatching.

show spanning-tree vlan 10 detail

Wichtige Felder in „detail“

  • „Number of topology changes“: wie viele Events
  • „Last change occurred“: zeitlicher Bezug
  • „from …“: welcher Port die Änderung ausgelöst hat

Wenn TCNs hoch sind: Erst Edge-Ports prüfen

In vielen Netzen sind nicht Uplinks das Problem, sondern Clients/Phones, die Ports flappen. PortFast reduziert TCNs auf Edge-Ports deutlich.

show interfaces status
show logging | include LINK|LINEPROTO|TOPOLOGY|SPANNING

Inconsistent Ports: Root Guard, Loop Guard und BPDU Guard erkennen

„Inconsistent“ ist in der Regel ein Schutzverhalten, kein „mystischer STP-Bug“. Root Guard blockiert bei unerwünschter Root-Wahl, Loop Guard blockiert bei BPDU-Ausfall auf Blocking-Pfaden.

show spanning-tree inconsistentports
show logging | include INCONSISTENT|ROOT|LOOP|SPANNING

Root Guard: root-inconsistent

Ursache: Auf einem Root-Guard-Port kommen „bessere“ BPDUs an. Oft ist dort ein Switch angeschlossen oder die Gegenstelle hat eine zu niedrige Priority.

Loop Guard: loop-inconsistent

Ursache: Erwartete BPDUs fehlen auf einem Blocking/Alternate-Port. Häufig Hinweis auf unidirektionale Links oder BPDU-Transportprobleme.

BPDU Guard: err-disabled statt inconsistent

BPDU Guard setzt Ports häufig in err-disabled. Das siehst du nicht primär in „inconsistentports“, sondern in err-disabled und Logs.

show interface status err-disabled
show logging | include BPDU|ERRDISABLE|SPANNING

PVST/RPVST vs. MST: Die richtige show spanning-tree Variante nutzen

In MST-Umgebungen arbeitest du mit Instanzen statt VLANs. Viele Troubleshooting-Schritte sind gleich, aber du musst die richtige Instance betrachten.

MST-Checks

show spanning-tree mst
show spanning-tree mst 1
show spanning-tree mst configuration

VLAN-to-Instance und Trunk-Transport zusammen prüfen

Ein VLAN kann korrekt gemappt sein, aber trotzdem nicht laufen, wenn es nicht über den Trunk erlaubt ist.

show spanning-tree mst configuration
show interfaces trunk

STP und Trunks: Wenn VLANs zwar existieren, aber nicht forwarden

STP arbeitet pro VLAN/Instance. Wenn ein VLAN nicht über den Trunk erlaubt ist oder wenn Native VLAN Mismatches vorliegen, wirkt STP-Output schnell „unlogisch“.

show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show logging | include NATIVE|VLAN|TRUNK|SPANNING

Wichtiger STP-Teil im Trunk-Output

Im Trunk-Output findest du meist VLANs, die „forwarding“ sind. Wenn ein VLAN dort nicht auftaucht, ist es entweder nicht erlaubt oder STP blockiert es.

Praxis-Playbook: STP-Probleme in 7 Schritten lösen

Dieses Vorgehen ist in Incidents schnell und zuverlässig: erst Root prüfen, dann Pfade/Ports, dann Instabilität/Guards, danach Link-Qualität und Trunks.

  • Root prüfen: show spanning-tree root
  • Betroffenes VLAN/Instance prüfen: show spanning-tree vlan X oder mst X
  • Port-Detail des kritischen Links: show spanning-tree interface ... detail
  • TCNs bewerten: show spanning-tree vlan X detail
  • Inconsistent/err-disabled prüfen
  • Link-Errors/Flaps prüfen
  • Trunk/Allowed VLANs/Native VLAN prüfen
show spanning-tree root
show spanning-tree vlan 10
show spanning-tree interface gigabitEthernet 1/0/48 detail
show spanning-tree vlan 10 detail
show spanning-tree inconsistentports
show interface status err-disabled
show interfaces counters errors
show interfaces trunk

Best Practices: Damit show spanning-tree „langweilig“ bleibt

STP-Troubleshooting wird selten, wenn Root-Placement geplant ist und Edge-Ports gehärtet sind. Dann blockiert STP nur dort, wo es soll, und TCNs bleiben überschaubar.

  • Root Primary/Secondary pro VLAN/Instance auf Distribution/Core setzen
  • PortFast + BPDU Guard auf Edge-Ports als Default
  • Root Guard auf Downlinks Richtung Access
  • Loop Guard (und ggf. UDLD) für kritische Uplinks
  • Trunks whitelisten (Allowed VLANs) und Native VLAN konsistent halten
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer