March 5, 2026

Administrative Distance (AD): Routenpräferenzen sicher steuern

Die Administrative Distance (AD) ist ein zentrales Konzept in IP-Routing-Umgebungen, das definiert, welche Route bevorzugt wird, wenn mehrere Routing-Protokolle dieselbe Zieladresse anbieten. Ein korrektes Verständnis und die gezielte Steuerung der AD verhindern unerwünschte Pfadwahl, Routing-Flaps oder Blackholing und sind insbesondere in Multi-Protokoll- oder Multi-ISP-Umgebungen entscheidend.

Grundlagen der Administrative Distance

Die Administrative Distance ist ein Wert, der von Routern verwendet wird, um die Vertrauenswürdigkeit einer Routing-Information zu bewerten. Je niedriger der AD-Wert, desto bevorzugter ist die Route.

Typische AD-Werte

  • Connected: 0
  • Static: 1
  • eBGP: 20
  • OSPF: 110
  • iBGP: 200
  • RIP: 120

Diese Werte bestimmen, welche Route in die Routing-Tabelle übernommen wird, wenn mehrere Protokolle dasselbe Präfix anbieten.

Praktische Einsatzszenarien

AD kann in unterschiedlichen Szenarien gezielt angepasst werden, um Routing-Prioritäten festzulegen und die Netzstabilität zu erhöhen.

Static über Dynamic bevorzugen

Wenn für kritische Verbindungen Backup-Routen definiert werden, ist es sinnvoll, statische Routen durch niedrige AD-Werte über dynamische Protokolle zu priorisieren.

ip route 10.0.0.0 255.255.255.0 192.168.1.1 5

Hier überschreibt die statische Route mit AD=5 dynamische OSPF-Routen (AD=110).

Multi-ISP-Routing steuern

Bei Verbindungen zu mehreren ISPs kann AD genutzt werden, um Primär- und Backup-Paths zu definieren:

router bgp 65001
 neighbor 203.0.113.1 remote-as 65010
 neighbor 203.0.113.1 route-map PREFER_INBOUND in
 neighbor 198.51.100.1 remote-as 65020
 neighbor 198.51.100.1 route-map BACKUP_INBOUND in

Zusätzlich kann für die Backup-Routen eine höhere AD über eine statische Route gesetzt werden, um die Pfadwahl zu steuern.

AD und Route Redistribution

Beim Redistribuieren von Routen zwischen Routing-Protokollen spielt die AD eine zentrale Rolle. Falsche AD-Werte können zu Routing-Loops oder unerwünschten Pfadänderungen führen.

Redistribution-Beispiel

router ospf 10
 redistribute bgp 65001 metric 10 subnets
 default-information originate

Beim Redistribuieren wird die OSPF-AD (110) gegenüber anderen Protokollen herangezogen, es kann jedoch via distance angepasst werden.

distance ospf 100 150 200

Hiermit werden interne, externe und Type-7-Routen jeweils mit spezifischer AD versehen.

Fehlervermeidung und Best Practices

Fehlerhafte AD-Konfiguration kann zu Blackholing, unerwarteten Failovers oder Traffic-Instabilität führen. Daher sollten folgende Praktiken eingehalten werden:

Empfohlene Vorgehensweisen

  • AD nur gezielt ändern, wenn der Default-Wert nicht ausreicht
  • Dokumentation aller Änderungen für Audits und Troubleshooting
  • Testen von Pfadpräferenzen in Laborumgebungen vor Produktiv-Rollout
  • Backup-Routen mit höherer AD versehen, um Failover kontrolliert auszulösen
  • AD-Anpassungen zusammen mit Route-Maps und Policy-Checks koordinieren

Monitoring und Verifikation

Nach Anpassung der AD sollten Routenpräferenzen regelmäßig überwacht werden, um ungewollte Änderungen zu erkennen.

CLI-Beispiele zur Kontrolle

! Anzeige aller Routen und deren AD
show ip route

! Detaillierte AD-Informationen für ein Präfix

show ip route 10.0.0.0

So kann überprüft werden, ob statische oder dynamische Routen wie geplant priorisiert werden.

Fazit für den praktischen Betrieb

Administrative Distance ist ein mächtiges Werkzeug, um Routing-Prioritäten zu steuern. Insbesondere in Multi-Protokoll- und Multi-ISP-Umgebungen ist die bewusste Einstellung von AD ein essenzieller Bestandteil stabiler, ausfallsicherer Netzwerke. Eine strukturierte Dokumentation, Testing und Monitoring minimiert Risiken und ermöglicht kontrolliertes Traffic-Engineering.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind