Blog
WLAN & Netzwerk 21.05.2025 · 4 Min. Lesezeit

Port Flapping und STP-Schleifen: Wenn das Netzwerk sich selbst lahmlegt

Port Flapping und STP-Schleifen verursachen unerklärliche Netzwerkausfälle – wie man sie erkennt, diagnostiziert und dauerhaft behebt.

Das Symptom: Alles langsam, nichts funktioniert richtig

Es beginnt meistens so: Das Netzwerk ist morgens unerklärlich langsam. PXE-Boots schlagen fehl, Netzlaufwerke reagieren träge, und einzelne Segmente fallen sporadisch komplett aus. Ein Neustart des Routers bringt kurz Besserung, aber nach ein paar Stunden ist das Problem wieder da. Der IT-Verantwortliche findet keine logische Erklärung – bis man sich die Switchlogs ansieht.

Was sich in solchen Situationen oft verbirgt: Port Flapping in Kombination mit einer Spanning Tree Protocol (STP)-Schleife. Ein klassisches Netzwerkproblem, das im schulischen Umfeld erstaunlich häufig vorkommt.

Was ist Port Flapping?

Port Flapping bezeichnet das schnelle, wiederholte Wechseln eines Switch-Ports zwischen dem Status „up“ und „down“. Ursachen können sein: ein defektes Kabel, ein fehlerhafter Transceiver, ein fehlendes oder falsch konfiguriertes SFP-Modul, oder – besonders tückisch – ein angeschlossenes Gerät, das sich selbst immer wieder neu initialisiert.

Ein einzelner flapping Port ist meist harmlos und erzeugt nur Logeinträge. Problematisch wird es, wenn dieser Port Teil einer redundanten Netzwerktopologie ist und das Spanning Tree Protocol darauf reagiert.

STP-Schleifen: Wenn Redundanz zum Problem wird

Das Spanning Tree Protocol ist dazu da, Schleifen in Netzwerken mit redundanten Verbindungen zu verhindern. Es blockiert aktiv bestimmte Ports, um einen schleifenfreien Baum (den „Spanning Tree“) zu bilden. Wenn sich nun ein Port schnell auf- und abbaut, berechnet STP seinen Baum ständig neu – mit jeder Neuberechnung fließt zunächst kein Daten-Traffic, während der neue Tree konvergiert.

In einer Schule mit 20 Switches kann eine einzige STP-Topologieänderung (Topology Change Notification, TCN) dazu führen, dass alle Switches ihre MAC-Adress-Tabellen leeren und für mehrere Sekunden komplett fluten. Bei schnell aufeinanderfolgenden TCNs entsteht dauerhafter Flood-Verkehr, der die Bandbreite übersättigt – das Netzwerk lahmt, obwohl physisch nichts kaputt ist.

Praxisfall: PXE-Boot-Schleife in einer Schule

In einer Schule im Raum Würzburg berichtete der Schulträger von einem mysteriösen Problem: Alle Rechner eines Computerraums starteten morgens endlos neu, kamen nie vollständig ins Windows und blockierten das Netzwerk des gesamten Gebäudeteils. Nach Analyse der Switchlogs stellte sich heraus: Ein Switch im Serverraum hatte eine redundante Verbindung zu einem anderen Switch, die nicht konfiguriert war. Sobald der Server-Switch hochgefahren war und die Netzwerkkarten der PXE-Clients aktiv wurden, entstand eine STP-Schleife, die das gesamte Netz in regelmäßigen Abständen destabilisierte – genau in dem Zeitfenster, in dem die Clients zu booten versuchten.

Diagnose: So findet man das Problem

  • Switch-Logs auslesen: Auf Managed Switches lassen sich Syslog-Einträge zu Port Up/Down-Events und STP Topology Changes auswerten. Suche nach Einträgen wie %SPANTREE-2-TOPOLOGY_CHANGE oder %LINK-3-UPDOWN.
  • STP-Topologie prüfen: Mit show spanning-tree auf Cisco/Catalyst-Switches oder dem jeweiligen Herstellerbefehl lässt sich der aktuelle Baum und die Root Bridge identifizieren.
  • Port-Statistiken ansehen: Ein Port mit hohen Fehlerzählern (CRC-Fehler, Input Errors) deutet auf ein Kabel- oder Hardware-Problem hin.
  • MAC-Flooding-Verhalten beobachten: Wenn im Switch unnötig viele MAC-Adressen auf allen Ports auftauchen, ist ein Flood-Storm wahrscheinlich.

Behebung: PortFast und BPDU Guard

Für Ports, an denen ausschließlich Endgeräte (keine weiteren Switches) angeschlossen sind, sollte PortFast aktiviert werden. PortFast lässt den Port sofort in den Forwarding-Status übergehen, ohne STP-Konvergenz abzuwarten. Das beschleunigt den Boot-Vorgang von Clients erheblich.

In Kombination mit PortFast sollte BPDU Guard aktiviert werden. BPDU Guard schaltet einen Port automatisch ab (err-disabled), wenn ein STP-BPDU-Paket empfangen wird – also wenn versehentlich ein Switch an einem Endgeräte-Port angeschlossen wird. Das verhindert zuverlässig unbeabsichtigte STP-Schleifen durch falsch angesteckte Switches oder Hubs.

Zusätzlich empfiehlt sich die Konfiguration einer festen Root Bridge auf dem Kern-Switch, damit die STP-Topologie vorhersehbar und stabil bleibt – unabhängig davon, welcher Switch zuerst bootet.

Gmail für Schüler: Warum das ein DSGVO-Problem ist
WLAN-Planung für Schulen: Die 5 häufigsten Fehler

Fragen zu diesem Thema?

Wir beraten Sie gerne – kostenlos und ohne Verkaufsdruck.

Jetzt Kontakt aufnehmen