UDLD auf Cisco: Einweg-Verbindungen erkennen und absichern

UDLD (Unidirectional Link Detection) ist ein Cisco-Mechanismus, der einseitige Verbindungen (unidirectional links) erkennt – ein Fehlerbild, das besonders bei Glasfaserstrecken, defekten Transceivern oder Patchfeldern vorkommt. Das Problem: Ein Link kann physikalisch „up“ wirken, obwohl Traffic nur in eine Richtung läuft. In redundanten Layer-2-Topologien kann das STP aus dem Tritt bringen und im schlimmsten Fall Loops oder Broadcast-Stürme auslösen. UDLD erkennt solche Zustände früh und kann den Port kontrolliert deaktivieren, bevor das Netzwerk instabil wird.

Was ist ein unidirectional Link und warum ist er gefährlich?

Ein unidirectional Link bedeutet: Ein Switch sendet Frames, aber die Gegenstelle empfängt sie nicht (oder umgekehrt). Weil Ethernet-Link-Status nicht jede Richtung separat garantiert, kann der Port trotzdem als „up“ erscheinen.

• Einseitige Glasfaser (TX/RX vertauscht oder unterbrochen)
• Defekter SFP/Transceiver oder Port
• Patchfeld-/Kabelproblem (nur eine Faser beschädigt)
• Gefahr in L2-Redundanz: STP-BPDUs gehen verloren, falsches Forwarding möglich

Typische Symptome im Betrieb

• Link ist up, aber Ping/Traffic ist instabil oder einseitig
• Viele STP Topology Changes oder Ports werden inconsistent
• MAC-Table-Flapping oder Broadcast-Stürme bei Redundanz
• Fehler treten sporadisch auf (Temperatur, SFP, Patchfeld)

Wie UDLD arbeitet: Nachbarschaft prüfen statt nur Link-Status

UDLD tauscht spezielle UDLD-Pakete mit der Gegenstelle aus. Bleiben Antworten aus, obwohl der Link „up“ ist, geht UDLD von einem unidirectional Link aus. Je nach Mode reagiert der Switch dann passiv (Warnung) oder aggressiv (Port shutdown/err-disable).

• UDLD erkennt fehlende Rückmeldung der Gegenstelle
• Schützt besonders bei Fiber-Uplinks und Trunks
• Ergänzt STP/Loop Guard (UDLD erkennt Link-Fehler, Loop Guard schützt STP-Logik)

UDLD Modi: Normal vs. Aggressive

Die Wahl des Modus bestimmt, wie „hart“ UDLD reagiert. Für kritische Uplinks ist aggressive Mode häufig sinnvoll, weil er Ports bei Einweg-Fehlern schnell aus dem Verkehr zieht.

• UDLD normal: erkennt und meldet, Port bleibt in der Regel aktiv
• UDLD aggressive: versucht mehrfach zu verifizieren und setzt den Port bei Fehler in err-disabled

Wann welcher Modus sinnvoll ist

• Uplinks/Backbone/Fiber-Trunks: häufig aggressive
• Edge/unkritische Links: normal oder gezielt pro Port
• Endgeräte-Ports: meist nicht erforderlich

UDLD aktivieren: Global und pro Interface

In vielen Enterprise-Designs wird UDLD global aktiviert und zusätzlich für kritische Ports auf aggressive gesetzt. So erreichst du Standardisierung und gezielte Härtung.

UDLD global aktivieren (Normal Mode)

enable
configure terminal
udld enable
end

UDLD global auf Aggressive setzen

Das ist für Umgebungen mit vielen Fiber-Uplinks und hoher Redundanz sinnvoll, sollte aber vor Rollout getestet und dokumentiert werden.

configure terminal
udld aggressive
end

UDLD pro Interface aktivieren oder aggressiv setzen

Wenn du nur ausgewählte Uplinks schützen willst, ist die Interface-Konfiguration der saubere Weg.

configure terminal
interface gigabitEthernet 1/0/48
 description UPLINK-FIBER
 udld port aggressive
end

UDLD auf mehreren Ports per Range

configure terminal
interface range gigabitEthernet 1/0/47 - 48
 description UPLINKS
 udld port aggressive
end

Verifikation: UDLD-Status und Nachbarn prüfen

Nach der Aktivierung solltest du prüfen, ob UDLD aktiv ist, ob Nachbarn erkannt werden und ob es Events/Fehler gibt. Das hilft auch bei sporadischen Problemen.

show udld
show udld neighbors
show udld interface gigabitEthernet 1/0/48

Logs bei UDLD-Events

show logging | include UDLD|err-disable|LINK|LINEPROTO

Wenn UDLD zuschlägt: err-disabled verstehen und sauber recovern

Im aggressive Mode kann UDLD Ports in err-disabled setzen. Das ist beabsichtigt: Der Link ist aus Sicht der Netzstabilität unsicher. Behebe zuerst die physische Ursache (Fiber/SFP/Patchfeld), dann reaktiviere den Port.

Err-Disable prüfen

show interface status err-disabled
show logging | include UDLD|ERRDISABLE

Port manuell wieder aktivieren (nach Fix)

configure terminal
interface gigabitEthernet 1/0/48
 shutdown
 no shutdown
end

Optional: Automatisches Recovery (kontrolliert)

Automatisches Recovery kann sinnvoll sein, wenn die Ursachen selten sind und du kontrollierte Wiederanläufe willst. Setze das bewusst, um Flap-Schleifen zu vermeiden.

configure terminal
errdisable recovery cause udld
errdisable recovery interval 300
end
show errdisable recovery

Praxis-Blueprint: Uplinks absichern mit UDLD + Loop Guard

UDLD schützt gegen Einweg-Verbindungen auf Layer 1/2. Loop Guard schützt STP bei BPDU-Ausfällen auf Blocking-Pfaden. Zusammen erhöhen sie die Robustheit redundanter Topologien deutlich.

configure terminal
spanning-tree mode rapid-pvst
spanning-tree loopguard default

udld enable
udld aggressive
end

Uplink-Checks nach dem Rollout

show udld neighbors
show interfaces trunk
show spanning-tree inconsistentports
show logging | include UDLD|LOOP|INCONSISTENT|SPANNING

Typische Fehlerquellen und Troubleshooting

Wenn UDLD häufig auslöst, ist das meist ein Hinweis auf echte physische Probleme oder auf inkonsistente Konfiguration. Nutze die Ereignisse als Diagnosehilfe, nicht als „nervige Störung“.

• Defekte/verschmutzte Faser oder falsch gesteckte RX/TX
• Schlechter/inkompatibler Transceiver
• Patchfeld-/Spleißproblem (eine Richtung instabil)
• Port-Channel: einzelner Member hat Einweg-Problem

show interfaces counters errors
show interfaces gigabitEthernet 1/0/48
show udld interface gigabitEthernet 1/0/48
show logging | include UDLD|LINK|CRC|ERROR

Best Practices: UDLD sinnvoll und sicher betreiben

UDLD ist besonders wertvoll auf kritischen, redundanten Links. Mit klaren Standards und kontrolliertem Recovery verhinderst du, dass Einweg-Fehler zu großen Ausfällen eskalieren.

• UDLD auf Fiber-Uplinks/Trunks priorisieren
• Aggressive Mode für kritische Links, Normal für weniger kritische
• In Kombination mit Loop Guard (STP-Schutz bei BPDU-Ausfall)
• Err-disable Recovery nur kontrolliert und mit Monitoring
• Events als Indikator für physische Qualitätsprobleme nutzen

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.