March 4, 2026

Cisco-Router-Konfiguration für Redundanz: HSRP/VRRP/GLBP (Leitfaden)

Gateway-Redundanz ist eine der wichtigsten Maßnahmen, um Ausfälle an der Netzwerkgrenze von VLANs zu vermeiden. In typischen Campus-, Enterprise- und größeren Filialnetzen hängt die Erreichbarkeit vieler Clients am Default-Gateway. Fällt das Gateway-Gerät aus, ist „alles offline“, obwohl Switches und Internetleitung noch funktionieren. Cisco-Router und Layer-3-Geräte lösen dieses Problem mit FHRP-Protokollen (First Hop Redundancy Protocol): HSRP, VRRP oder GLBP. Dieser Leitfaden zeigt, welches Protokoll wann sinnvoll ist, wie Sie es sauber konfigurieren und wie Sie Failover objektiv verifizieren.

Grundprinzip: FHRP und virtuelle Default-Gateway-IP

Alle drei Protokolle arbeiten nach dem gleichen Prinzip: Clients nutzen eine virtuelle IP als Default-Gateway. Zwei (oder mehr) Router/L3-Geräte teilen sich die Verantwortung. Ein Gerät ist aktiv (forwarding), das andere steht bereit oder teilt die Last (je nach Protokoll).

  • Virtuelle IP: bleibt konstant, Clients müssen bei Ausfall nichts ändern
  • Virtuelle MAC: wird vom aktiven Gerät „besessen“ und im Failover übernommen
  • Failover: beim Ausfall übernimmt der Standby/Backup automatisch
  • Ziel: minimale Unterbrechung, definierte Umschaltzeiten

HSRP vs. VRRP vs. GLBP: Was passt zu welchem Szenario?

Die Protokolle sind ähnlich, unterscheiden sich aber in Standardverhalten und Lastverteilung. Für viele Cisco-dominierte Netze ist HSRP der Standard, VRRP ist herstellerneutraler, GLBP bietet Gateway-Load-Balancing.

  • HSRP: Cisco-Standard, sehr verbreitet, stabil, gut dokumentierbar
  • VRRP: offener Standard, sinnvoll bei Multi-Vendor-Umgebungen
  • GLBP: Gateway-Load-Balancing (mehrere Active Forwarder), mehr Komplexität

Praxisregel: Erst HSRP/VRRP stabil, GLBP nur bei klarem Nutzen

GLBP kann Last verteilen, erhöht aber Komplexität und Troubleshooting-Aufwand. Wenn Sie keine echte Gateway-Lastverteilung benötigen, ist HSRP/VRRP meist die robustere Wahl.

Designvoraussetzungen: Redundanz muss end-to-end sein

FHRP allein reicht nicht, wenn Uplinks, Strom oder Pfade nicht redundant sind. Für echte Verfügbarkeit brauchen Sie redundante Links zum Core, konsistente VLAN-Trunks und saubere Pfadüberwachung (Tracking).

  • Redundante Uplinks: beide Router/L3-Geräte müssen gleichwertige Pfade haben
  • Konsistente VLANs: gleiche VLANs/Trunks auf beiden Geräten
  • Routing/Upstream: beide Geräte haben funktionierende Upstream-Routen
  • Tracking: Gateway-Rolle soll bei Upstream-Ausfall wechseln (nicht nur bei Device-Ausfall)

HSRP-Konfiguration: Standardmuster pro VLAN

HSRP wird typischerweise auf dem SVI/Subinterface des VLANs konfiguriert. Sie definieren eine virtuelle IP, Prioritäten und optional Preempt, damit der „bevorzugte“ Router nach einer Rückkehr wieder aktiv wird.

Beispiel: HSRP für VLAN20 (Router A und Router B)

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.2 255.255.255.0
 standby 20 ip 10.10.20.1
 standby 20 priority 110
 standby 20 preempt
interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.3 255.255.255.0
 standby 20 ip 10.10.20.1
 standby 20 priority 100
 standby 20 preempt

Erwartete Ergebnisse

  • Clients nutzen 10.10.20.1 als Default-Gateway
  • Router A ist Active (Priority 110), Router B Standby
  • Bei Ausfall übernimmt Router B automatisch

VRRP-Konfiguration: Standardmuster für Multi-Vendor

VRRP funktioniert sehr ähnlich zu HSRP. Sie konfigurieren eine VRRP-Gruppe (ID) und eine virtuelle IP. VRRP ist oft die bessere Wahl, wenn nicht alle Geräte Cisco sind.

Beispiel: VRRP für VLAN20 (Router A und Router B)

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.2 255.255.255.0
 vrrp 20 ip 10.10.20.1
 vrrp 20 priority 110
 vrrp 20 preempt
interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.3 255.255.255.0
 vrrp 20 ip 10.10.20.1
 vrrp 20 priority 100
 vrrp 20 preempt

GLBP-Konfiguration: Gateway-Load-Balancing (wenn wirklich benötigt)

GLBP stellt eine virtuelle IP bereit, verteilt aber die Forwarding-Rolle auf mehrere Active Virtual Forwarder (AVF). Das kann Last verteilen, benötigt jedoch saubere Dokumentation und Monitoring, weil Fehlersuche komplexer wird.

Beispiel: GLBP für VLAN20 (konzeptionelles Muster)

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.2 255.255.255.0
 glbp 20 ip 10.10.20.1
 glbp 20 priority 110
 glbp 20 preempt

Tracking: Gateway-Failover bei Upstream-Ausfall (Pflicht in vielen Designs)

Ohne Tracking bleibt der aktive Router oft Gateway, auch wenn sein WAN/Upstream ausgefallen ist. Tracking koppelt die Priorität an die Erreichbarkeit eines Upstream-Pfads (z. B. Interface oder IP SLA). So wechselt der aktive Gateway automatisch, wenn der Pfad nicht mehr nutzbar ist.

Beispiel: IP SLA + Tracking in HSRP einbinden

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now

track 10 ip sla 10 reachability


interface GigabitEthernet0/1.20

standby 20 track 10 decrement 30

Erwartete Ergebnisse

  • Wenn der Upstream-Pfad ausfällt, sinkt die HSRP-Priorität
  • Der zweite Router übernimmt die Active-Rolle als Default-Gateway
  • Failover ist deterministisch und dokumentierbar

Stabilität: Timer, Preempt und Flapping vermeiden

Zu aggressive Timer können Flapping verursachen, insbesondere bei instabilen Uplinks. Nutzen Sie Preempt bewusst, und kombinieren Sie es mit Tracking und sinnvollen Schwellenwerten.

  • Preempt nur aktivieren, wenn Rückübernahme gewünscht ist
  • Tracking verhindert „Gateway bleibt aktiv ohne Upstream“
  • Timer nicht zu aggressiv wählen ohne Tests
  • Failover in Abnahmeprotokoll testen und dokumentieren

Verifikation: So prüfen Sie HSRP/VRRP/GLBP objektiv

Nach der Implementierung müssen Sie Status, Rollen und Failover nachweisen. Prüfen Sie Active/Standby, virtuelle IP/MAC und testen Sie Umschaltung kontrolliert.

HSRP-Checks

show standby brief
show standby

VRRP-Checks

show vrrp brief
show vrrp

GLBP-Checks

show glbp brief
show glbp

Allgemeine Failover-Checks

show ip interface brief
show ip route 0.0.0.0
show logging | last 50

Failover-Testplan: Sichere Abnahme im Change-Fenster

Testen Sie nicht nur „Device aus“, sondern auch „Upstream weg“. Dokumentieren Sie Umschaltzeiten und prüfen Sie, ob Clients weiterhin Internet/Server erreichen. In produktiven Netzen gehört ein Rollback-Plan dazu.

  • Test 1: Active Router Interface shutdown (VLAN oder Gerät) → Standby übernimmt
  • Test 2: Upstream/Path-Down (IP SLA schlägt fehl) → Tracking senkt Priorität
  • Test 3: Failback (Preempt) → Rückübernahme ohne Flapping
  • Dokumentation: show standby/vrrp/glbp Outputs + Ping/Traceroute

Typische Fehlerbilder und schnelle Ursachen

Die häufigsten Probleme sind inkonsistente VLAN-Trunks, fehlendes Preempt, falsche Prioritäten oder fehlendes Tracking. Mit klaren Standards lassen sich diese Fehler vermeiden.

  • Clients verlieren Gateway: virtuelle IP nicht konsistent, VLAN nicht auf beiden Geräten
  • Kein Failover: falsche Gruppe/ID, Prioritäten nicht gesetzt oder Preempt/Tracking fehlt
  • Flapping: aggressive Timer, instabile Uplinks, Tracking zu sensibel
  • Failover ok, aber kein Internet: Routing/Default nur auf einem Gerät vorhanden

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)