Mehrere Default Routes: Failover mit Floating Static Routes

Mehrere Default Routes sind ein bewährtes Mittel, um WAN-Failover auf Cisco Routern einfach und deterministisch umzusetzen. Mit sogenannten „Floating Static Routes“ definierst du eine primäre Standardroute und eine (oder mehrere) Backup-Routen, die nur aktiv werden, wenn die bevorzugte Route verschwindet. Das erreicht man über eine höhere Administrative Distance (AD) der Backup-Route.

Grundprinzip: Warum „Floating“ funktioniert

Wenn mehrere Routen dasselbe Präfix abdecken (hier 0.0.0.0/0), entscheidet IOS zunächst nach Administrative Distance. Die Route mit der niedrigeren AD wird in die Routing-Tabelle installiert. Backup-Routen bekommen eine höhere AD und „floaten“ im Hintergrund.

• Primäre Default Route: niedrige AD (typisch 1 bei Static)
• Backup Default Route: höhere AD (z. B. 10, 50 oder 200)
• Nur die beste Route erscheint aktiv in show ip route

Merker zur Administrative Distance

$\text{niedrigere AD} \text{gewinnt} > \text{höhere AD}$

Voraussetzungen: Was Failover wirklich auslöst

Ein Floating-Setup schaltet nur dann um, wenn die primäre Route aus der Tabelle verschwindet oder unbrauchbar wird. Das passiert nicht immer automatisch, wenn „das Internet“ kaputt ist. Entscheidend ist, ob IOS den Next-Hop/Link als down bewertet.

• Interface down → Route kann verschwinden (klassischer Fall)
• Next-Hop nicht erreichbar → je nach Design nicht automatisch erkannt
• Für „echtes Internet-Failover“ braucht man oft Tracking (IP SLA)

Basis-Konfiguration: Zwei Default Routes mit unterschiedlicher AD

Im einfachsten Fall hast du zwei Upstreams (z. B. ISP1 und ISP2). ISP1 ist primär, ISP2 ist Backup. Die Backup-Route bekommt eine höhere AD und wird nur aktiv, wenn ISP1 weg ist.

Beispiel: Primär (AD 1) und Backup (AD 10)

Router# configure terminal
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 10
Router(config)# end

Aktive Default Route prüfen

Router# show ip route | include Gateway|0.0.0.0
Router# show ip route static

Praxisbeispiel: Dual-WAN mit klarer Priorität

In vielen Unternehmen ist ein Anschluss deutlich „besser“ (Bandbreite/Latenz/Vertrag). Floating Static Routes bilden diese Priorität einfach ab: Normalbetrieb über ISP1, Failover über ISP2.

• ISP1: Primary Uplink (Default Route AD 1)
• ISP2: Secondary Uplink (Default Route AD 10 oder höher)
• Optional: NAT/Policies pro Uplink konsistent halten

Typische Verifikation im Normalbetrieb

Router# show ip route 0.0.0.0
Router# ping 203.0.113.1
Router# traceroute 8.8.8.8

Mehr als zwei Default Routes: Stufen-Failover

Du kannst auch mehrere Backup-Routen definieren, z. B. Glasfaser → DSL → LTE. Entscheidend ist, dass jede Stufe eine höhere AD als die vorherige erhält.

Beispiel: Drei Stufen (AD 1 / 10 / 50)

Router# configure terminal
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 10
Router(config)# ip route 0.0.0.0 0.0.0.0 192.0.2.1 50
Router(config)# end

Warum große AD-Abstände sinnvoll sind

Mit größeren Abständen vermeidest du Konflikte mit dynamischen Protokollen oder späteren Erweiterungen. Gleichzeitig bleibt die Priorität klar.

Mit Tracking „Internet wirklich prüfen“: IP SLA + Track

Wenn nur das Provider-Gateway erreichbar ist, heißt das nicht, dass das Internet funktioniert. Mit IP SLA kannst du ein Ziel (z. B. DNS/Anycast) pingen und die Default Route an diesen Status koppeln. So schaltest du auch bei „Upstream kaputt, Interface aber up“ um.

IP SLA definieren und Track anlegen

Router# configure terminal
Router(config)# ip sla 1
Router(config-ip-sla)# icmp-echo 1.1.1.1 source-interface gigabitEthernet0/1
Router(config-ip-sla)# frequency 5
Router(config-ip-sla)# exit
Router(config)# ip sla schedule 1 life forever start-time now
Router(config)# track 1 ip sla 1 reachability

Router(config)# end

Default Route an Track binden (Primärroute)

Die primäre Default Route wird nur installiert, wenn Track 1 „up“ ist. Fällt die Prüfung aus, verschwindet die Route und die Floating Route wird aktiv.

Router# configure terminal
Router(config)# no ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1 track 1
Router(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 10
Router(config)# end

Tracking-Status prüfen

Router# show ip sla statistics
Router# show track 1
Router# show ip route | include 0.0.0.0

NAT und Failover: häufige Stolperfallen

Failover funktioniert nicht nur auf Routing-Ebene. Wenn du NAT/PAT nutzt, muss die Übersetzung zur aktiven WAN-Schnittstelle passen. Sonst routet der Router zwar über den Backup-Link, aber NAT zeigt weiterhin auf das alte Interface.

• NAT Overload pro WAN-Interface korrekt definieren
• Inside/Outside-Markierungen pro Link prüfen
• Nach Failover: NAT-Translations prüfen

Beispiel: PAT auf aktives WAN-Interface (typisch)

Router# show ip nat statistics
Router# show ip nat translations

Verifikation: Failover sauber testen

Teste Failover kontrolliert: erst Routing-Tabelle beobachten, dann Pfad per Traceroute prüfen, anschließend NAT/Session-Verhalten bewerten. Plane Tests in Wartungsfenstern.

Wichtige Show-Befehle für den Test

Router# show ip route | include Gateway|0.0.0.0
Router# show track 1
Router# traceroute 8.8.8.8
Router# show ip nat translations
Router# show logging

Typische Fehler und schnelle Lösungen

Wenn Failover nicht wie erwartet greift, liegt es häufig an fehlendem Tracking, falschen Next-Hops oder daran, dass beide Default Routes gleichzeitig aktiv sind (z. B. gleiche AD oder ECMP).

• Beide Default Routes haben gleiche AD → möglicher Load Sharing/ECMP
• Primärroute bleibt aktiv trotz „Internet down“ → IP SLA/Track fehlt
• Backup-Next-Hop nicht erreichbar → Backup-Link falsch adressiert/geroutet
• NAT zeigt auf falsches WAN-Interface → Übersetzungskonzept anpassen

ECMP vermeiden (wenn du nur Failover willst)

Stelle sicher, dass die AD-Werte unterschiedlich sind, damit nicht beide Routen parallel genutzt werden.

Router# show ip route 0.0.0.0
Router# show running-config | include ^ip route 0.0.0.0

Konfiguration speichern

Nach erfolgreichem Test speicherst du die Konfiguration, damit das Failover-Setup nach einem Neustart erhalten bleibt.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.