Cisco GLBP: Wann es Sinn macht (und wann nicht)

Cisco GLBP (Gateway Load Balancing Protocol) ist ein First-Hop-Redundancy-Protokoll (FHRP), das zwei Ziele gleichzeitig verfolgt: Gateway-Redundanz wie HSRP/VRRP bereitzustellen und zusätzlich echtes Lastsharing für Default-Gateway-Traffic zu ermöglichen. Genau dieses „beides auf einmal“ macht GLBP für manche Campus- und Enterprise-Szenarien attraktiv – und für andere Umgebungen zur unnötigen Komplexität. Während HSRP/VRRP typischerweise ein aktives Gateway und ein passives Backup haben (Lastverteilung nur über mehrere VLANs oder zusätzliche Konstrukte), verteilt GLBP die Gateway-Forwarding-Funktion über mehrere Router/Switches innerhalb einer Gruppe, ohne dass Clients mehrere Default Gateways konfigurieren müssen. In der Praxis kann das Bandbreite besser ausnutzen, Failover-Verhalten vereinfachen und „Trombone“-Effekte reduzieren. Gleichzeitig bringt GLBP eigene Betriebsregeln, spezielle Rollen (AVG/AVF), zusätzliche virtuelle MAC-Adressen und Abhängigkeiten von Client-ARP-Verhalten mit. Dieser Artikel erklärt, wann Cisco GLBP sinnvoll ist (und wann nicht), welche Design- und Konfigurationsprinzipien sich bewährt haben und wie Sie typische Fehlerbilder vermeiden, damit Gateway-Loadsharing nicht zu Gateway-Flapping oder schwer debugbaren ARP/MAC-Problemen wird.

Was GLBP von HSRP und VRRP unterscheidet

GLBP ist wie HSRP und VRRP dafür gedacht, ein stabiles Default Gateway für Endgeräte bereitzustellen. Der Unterschied liegt in der Forwarding-Architektur: Statt dass genau ein Gerät den Traffic für die virtuelle IP weiterleitet, kann GLBP mehrere aktive Forwarder parallel nutzen. Das geschieht, indem GLBP nicht nur eine virtuelle IP bereitstellt, sondern mehrere virtuelle MAC-Adressen, die jeweils einem „Forwarder“ zugeordnet sind. Hosts bleiben bei einer einzigen Gateway-IP, erhalten aber (je nach Lastverteilungsmodus) unterschiedliche virtuelle MAC-Adressen als ARP-Antwort.

• HSRP/VRRP: Ein aktives Gateway (virtuelle IP + virtuelle MAC), Backup übernimmt bei Ausfall.
• GLBP: Ein virtuelles Gateway (virtuelle IP), aber mehrere virtuelle MACs für mehrere Forwarder, die parallel Traffic weiterleiten können.
• Praktischer Effekt: Mehr als ein physisches Gerät kann gleichzeitig Default-Gateway-Traffic forwarden, ohne dass Clients mehrere Gateways kennen müssen.

Cisco beschreibt GLBP als Mechanismus, der Gateway-Redundanz wie HSRP/VRRP bietet und gleichzeitig Paket-Lastverteilung über mehrere redundante Geräte ermöglicht. Eine aktuelle IOS-XE-Referenz ist das Kapitel Configuring GLBP (Cisco IOS XE 17.x).

Die GLBP-Rollen: AVG und AVF verständlich erklärt

GLBP arbeitet intern mit zwei Rollenarten, die Sie im Betrieb klar auseinanderhalten sollten. Das ist wichtig, weil viele Troubleshooting-Fehler entstehen, wenn man „Master“ oder „Active“ aus HSRP/VRRP-Gewohnheit falsch überträgt.

• AVG (Active Virtual Gateway): Der „Koordinator“ der GLBP-Gruppe. Er beantwortet ARP-Anfragen für die virtuelle IP und weist dabei virtuelle MAC-Adressen zu.
• AVF (Active Virtual Forwarder): Ein Forwarder, der Traffic für eine bestimmte virtuelle MAC tatsächlich weiterleitet. Es können mehrere AVFs gleichzeitig aktiv sein.

Wichtig ist: Der AVG ist nicht zwingend der einzige, der forwardet. Er steuert die ARP-Antworten und damit die Zuordnung der Hosts zu den Forwardern. Fällt der AVG aus, übernimmt ein anderer Router/Switch die AVG-Rolle, während Forwarder-Rollen je nach Zustand und Konfiguration ebenfalls neu verteilt werden können. Die klassischen GLBP-Konzepte (AVG/AVF, virtuelle MAC-Zuweisung, Weighting/Tracking) sind auch in der älteren Cisco Feature-Dokumentation übersichtlich dargestellt, z. B. unter GLBP – Gateway Load Balancing Protocol (Cisco Feature Guide).

Wie GLBP Last verteilt: Load-Balancing-Modi und ihre Konsequenzen

Ob GLBP in Ihrer Umgebung wirklich „Last verteilt“, hängt stark vom gewählten Modus und vom Client-Verhalten ab. In der Praxis wird Last nicht pro Paket verteilt (das würde Reordering riskieren), sondern über die Zuweisung der virtuellen MAC in ARP-Antworten: Wer welche MAC bekommt, wird vom AVG gesteuert. Das bedeutet: Die Verteilung ist host-/ARP-basiert und kann je nach ARP-Caching und Client-Verhalten sehr stabil oder unerwartet „klebrig“ sein.

• Round-Robin: Der AVG antwortet auf ARP-Anfragen reihum mit unterschiedlichen virtuellen MACs, sodass neue Hosts gleichmäßiger auf Forwarder verteilt werden.
• Weighted: Forwarder erhalten einen Anteil am Traffic entsprechend ihrer Gewichtung (Weighting). Das ist nützlich, wenn Geräte unterschiedliche Kapazitäten haben.
• Host-Dependent: Ein Host bekommt möglichst dauerhaft dieselbe virtuelle MAC, um Pfade stabil zu halten; hilfreich für deterministisches Verhalten, weniger „Umverteilung“.

In reinen Office-Netzen mit vielen Clients kann Round-Robin sehr gut funktionieren, weil viele ARP-Anfragen über die Zeit verteilt auftreten. In Umgebungen mit wenigen „schweren“ Hosts (z. B. wenige Terminalserver, wenige Druckserver) kann die Verteilung dagegen ungleich werden, weil wenige Hosts große Teile des Traffics erzeugen und „zufällig“ auf einem Forwarder landen.

Wann Cisco GLBP sinnvoll ist

GLBP macht vor allem dort Sinn, wo Sie Layer-3-Gateway-Redundanz benötigen, aber gleichzeitig die Bandbreite und Forwarding-Kapazität beider Distribution-/Gateway-Geräte aktiv nutzen möchten, ohne VLAN-Lastverteilung über viele FHRP-Gruppen zu betreiben. Typische passende Szenarien:

• Campus Distribution für viele Access-Switches: Zwei Distribution-Switches sollen beide aktiv Gateway-Traffic forwarden, ohne dass pro VLAN komplizierte Active/Standby-Zuordnungen gepflegt werden.
• VLAN-Setups mit wenigen VLANs, aber hoher Last: Wenn Sie nicht „VLAN A aktiv hier, VLAN B aktiv dort“ spielen wollen, kann GLBP die Nutzung beider Geräte vereinfachen.
• Heterogene Leistungsfähigkeit: Weighted Mode erlaubt, ein stärkeres Gerät stärker zu nutzen, ohne das schwächere komplett kalt zu stellen.
• Failover ohne STP-Tricks: In klassischen Dual-Uplink-Designs können Sie mit GLBP Forwarding besser verteilen, sofern Layer 2 stabil ist und Root/Gateway-Placement sauber geplant wurde.

Gerade im Enterprise-Kontext ist GLBP häufig dann attraktiv, wenn man Lastverteilung möchte, aber nicht die zusätzliche Komplexität von mehreren HSRP/VRRP-Gruppen pro VLAN oder per-VLAN Root/Gateway-Alignment über viele Zonen hinweg pflegen will.

Wann Cisco GLBP eher nicht sinnvoll ist

GLBP ist nicht „veraltet“, aber es ist in vielen modernen Architekturen nicht mehr das bevorzugte Mittel. Die Gründe sind selten „GLBP ist schlecht“, sondern: Andere Designmuster lösen das Grundproblem eleganter oder mit weniger Abhängigkeit vom Host-ARP-Verhalten.

• VSS/StackWise Virtual oder MLAG/vPC-Designs: Wenn die Aggregation als logisches System arbeitet oder Anycast-Gateway-Modelle existieren, sinkt der Bedarf für GLBP-Loadsharing erheblich.
• Stark L3-zentrierte Campus-Designs: Wenn Sie VLAN-Flächen klein halten und früh routen (z. B. L3 to Access), ist die „Default-Gateway-Lastverteilung“ oft weniger kritisch.
• Overlay/EVPN-VXLAN-Designs: Hier wird Gateway-Redundanz häufig als Anycast-Gateway implementiert; GLBP passt konzeptionell nicht in das übliche Modell.
• Umgebungen mit kritischem, wenigen Host-Traffic: Wenn wenige Hosts sehr viel Last erzeugen, kann GLBP-Verteilung „zufällig“ wirken und Hotspots erzeugen.
• Multi-Vendor-Interoperabilität: GLBP ist Cisco-proprietär. Wenn Standardisierung über Herstellergrenzen wichtig ist, ist VRRP (RFC-basiert) oft die bessere Wahl.

Als Faustregel: Wenn Ihre Architektur ohnehin Active/Active über ein logisches Aggregationssystem oder Anycast-Gateway abbildet, bringt GLBP meist keinen zusätzlichen Nutzen, erhöht aber die Komplexität.

Stabilität statt Flapping: Timer, Preemption und „Hysterese“ in GLBP-Designs

Gateway-Flapping entsteht bei GLBP meist durch zwei Klassen von Problemen: instabile Control-Plane-Kommunikation (Hello/Hold) oder zu aggressive Rollenrücknahmen (Preemption) ohne Stabilitätskriterium. Best Practices orientieren sich daher an „stabilen Zuständen“ statt an „schnellstmöglicher Reaktion“.

• Timer nicht blind aggressiv setzen: Zu kurze Timer reagieren auf CPU-Spikes, Microbursts oder kurzzeitige Control-Plane-Latenzen und erzeugen unnötige Rollenwechsel.
• Preemption kontrollieren: Wenn ein Gerät nach Reload zurückkommt, sollte es nicht sofort AVG/AVF-Rollen „zurückreißen“, bevor Uplinks, Routing und Nachbarschaften stabil sind.
• Stabile Abhängigkeiten definieren: Wenn Sie Tracking nutzen (siehe nächster Abschnitt), muss die Gewichtung so gewählt sein, dass kurze Events nicht zu ständigen Umschaltungen führen.

Die praktische Leitlinie lautet: Failover soll schnell genug sein, um Nutzer nicht spürbar zu stören, aber stabil genug, um nicht regelmäßig durch „Nebengeräusche“ getriggert zu werden. Genau diese Balance ist in großen Campusnetzen oft wichtiger als „maximal schnelle Millisekunden-Failover“.

Weighting und Tracking: GLBP richtig „entscheidungsfähig“ machen

Ein großer Vorteil von GLBP ist Weighting (Gewichtung) und die Kopplung an Tracking-Objekte. Damit können Sie definieren, wann ein Gerät als Forwarder weniger geeignet ist, etwa wenn ein Uplink ausfällt oder eine Routing-Erreichbarkeit wegbricht. So vermeiden Sie Blackholing, bei dem ein Gateway zwar „alive“ ist, aber den Traffic nicht sinnvoll ins restliche Netz weiterleiten kann.

Was Sie typischerweise tracken sollten

• Uplink-Interface(s): Wenn der physische Uplink down ist, sollte der betroffene Knoten keine Forwarder-Last mehr tragen.
• Routing-Erreichbarkeit: Wenn IGP/BGP-Nachbarschaften weg sind oder der Next-Hop nicht erreichbar ist, ist das Gerät als Gateway funktional eingeschränkt.
• Kritische Pfade: In manchen Designs kann auch eine Firewall-/WAN-Kopplung relevant sein, allerdings erhöht zu viel Tracking das Flapping-Risiko.

Wie Sie False Positives vermeiden

• Decrements abgestuft wählen: Nicht jedes Event sollte sofort den kompletten Rollenwechsel auslösen; besser sind abgestufte Reduktionen der Gewichtung.
• Wenige, relevante Track-Objekte: Zu viele Track-Objekte erhöhen die Wahrscheinlichkeit von „Tracking-Flaps“.
• Messung vor Härtung: Track-Trigger und Events zunächst beobachten, bevor Sie die Schwellen hart enforce.

Die Mechanik von Weighting und Tracking ist in Cisco-Dokumentation zu GLBP explizit beschrieben, z. B. in der IOS-XE-GLBP-Konfiguration. Siehe Configuring GLBP (IOS XE 17.x).

Layer-2-Alignment: GLBP funktioniert nur so gut wie Ihr VLAN- und STP-Design

GLBP löst nicht die klassischen Layer-2-Probleme, die Gateway-Instabilität verursachen. Im Gegenteil: Weil GLBP über ARP virtuelle MACs zuweist, sind MAC-Learning, STP-Stabilität und Trunk-Konsistenz besonders wichtig. Wenn Ihre L2-Topologie instabil ist, wirken GLBP-Fehlerbilder oft „mysteriös“: einzelne Hosts verlieren sporadisch Konnektivität, oder nur bestimmte Richtungen brechen weg.

• Trunk Allowed Lists: VLANs nur dort transportieren, wo sie gebraucht werden. Unkontrollierter VLAN-Sprawl erhöht Flooding und Fehlerdomänen.
• Native VLAN konsistent: Mismatches erzeugen schwer nachvollziehbare Effekte, die auch ARP/FHRP beeinflussen können.
• STP Root Placement: Root Placement und Gateway-Logik müssen zusammenpassen, sonst tromboniert Traffic und Failover-Effekte verstärken sich.
• Port-Channels konsistent: EtherChannel/LACP-Mismatches sind eine der häufigsten Ursachen für MAC-Flaps und „nur manche VLANs gehen“.

Client-Verhalten: ARP-Caching als heimlicher Faktor

GLBP-Loadsharing hängt stark davon ab, wie und wann Clients ARP-Anfragen stellen und wie lange sie ARP-Einträge cachen. In homogenen Windows- oder Enterprise-Client-Umgebungen ist das oft gut beherrschbar. In gemischten IoT/BYOD-Umgebungen können unterschiedliche ARP-Timeouts dazu führen, dass die Verteilung „unfair“ wird oder sich sehr langsam anpasst.

• „Klebrige“ Zuordnung: Wenn ein Host lange cached, bleibt er lange auf demselben Forwarder.
• Peaks nach Ereignissen: Nach Link-Flaps, Reboots oder DHCP-Lease-Erneuerungen treten ARP-Peaks auf, die die Verteilung kurzfristig beeinflussen.
• Hotspot-Risiko: Wenige, sehr aktive Hosts können Lastspitzen auf einem Forwarder konzentrieren.

Für die Praxis bedeutet das: GLBP ist am stärksten in Umgebungen mit vielen Clients und vielen „ähnlich großen“ Flows. Je weniger Hosts und je ungleichmäßiger die Trafficverteilung, desto größer das Risiko, dass GLBP nicht den gewünschten Lastsharing-Effekt liefert.

Security und Governance: Authentifizierung, Transparenz und Auditierbarkeit

Auch FHRP-Protokolle sollten als Teil der Control Plane betrachtet werden. In Enterprise-Umgebungen ist es sinnvoll, GLBP nicht „offen“ im VLAN laufen zu lassen, sondern Schutzmechanismen zu nutzen und Änderungen auditierbar zu machen.

• FHRP-Authentifizierung: Wo möglich, Authentifizierung nutzen, um Manipulationen zu erschweren.
• Management-Plane sauber trennen: Änderungen an Gateway-Parametern gehören in kontrollierte Change-Prozesse, nicht in spontane CLI-Sessions.
• Logging und Monitoring: Rollenwechsel (AVG/AVF), Weighting-Changes und Tracking-Events zentral erfassen und alarmieren.
• Dokumentation: GLBP-Gruppen pro VLAN, Gewichtungen, Tracking-Objekte und Preemption-Regeln sind Teil einer prüffähigen Baseline.

Betrieb ohne Überraschungen: Change-Regeln und Validierungschecklisten

GLBP ist robust, wenn Changes diszipliniert sind. Viele Probleme entstehen, wenn man „nur kurz“ VLAN-Listen, STP-Root-Prioritäten oder Port-Channels anfasst und dabei die indirekten Auswirkungen auf Gateway-Redundanz übersieht. Ein praxistaugliches Betriebsmodell verwendet feste Pre-/Post-Checks.

Pre-Checks vor GLBP-relevanten Änderungen

• Layer 2: Trunk Allowed Lists konsistent, keine MAC-Flaps, STP stabil (keine TCN-Stürme).
• GLBP-Zustand: AVG/AVF-Rollen wie erwartet, keine häufigen Rollenwechsel, Weighting stabil.
• Routing/Uplinks: Uplinks stabil, IGP/BGP-Neighbors stabil, Next-Hop-Erreichbarkeit im grünen Bereich.
• Security-Mechanismen: DAI/IP Source Guard/Port-Security nicht in einem Zustand, der ARP/Traffic blockiert.

Post-Checks nach Änderungen

• Keine unerwarteten Rollenwechsel: AVG/AVF bleiben stabil oder wechseln kontrolliert, ohne Flapping.
• ARP/MAC stabil: Keine MAC-Flaps, keine ungewöhnlichen Flooding-Spitzen, keine ARP-Drops.
• End-to-End-Test: DNS/DHCP/Standard-Services aus repräsentativen Segmenten testen, nicht nur Ping zum Gateway.

Troubleshooting: Wenn GLBP „komisch“ wirkt

GLBP-Probleme wirken oft indirekt, weil Datenebene (Forwarding) und Kontroll-/ARP-Ebene (Zuweisung) getrennt sind. Ein strukturierter Diagnosepfad ist daher essenziell.

• Symptom: Gateway-Flapping: Prüfen Sie Timer, Preemption, Tracking-Events und Control-Plane-Last. Häufig ist Tracking zu aggressiv oder die Control Plane instabil.
• Symptom: Nur einzelne Hosts betroffen: Prüfen Sie ARP-Caches und welche virtuelle MAC der Host erhalten hat. Hotspots oder „klebrige“ ARP-Einträge sind oft die Ursache.
• Symptom: „Nur manche VLANs“: Sehr häufig Trunk-/Allowed-List-Mismatches oder Port-Channel-Inkonsistenzen, die MAC-Learning stören.
• Symptom: Blackholing: Tracking fehlt oder ist falsch gewichtet; der aktive Forwarder hat keinen funktionalen Uplink/Routingpfad.

Für NX-OS-spezifische Hinweise zu GLBP (inklusive Guidelines/Limitations und Verify-Abschnitten) kann die NX-OS-Dokumentation hilfreich sein, z. B. NX-OS Unicast Routing Configuration Guide – GLBP (Nexus 7000), wobei Sie Release- und Plattformunterschiede stets berücksichtigen sollten.

Praxismatrix: Wann GLBP die richtige Antwort ist

• GLBP passt gut: Zwei Distribution-Gateways, viele Clients, Wunsch nach Lastsharing ohne per-VLAN-Active/Standby-Plan, stabile L2-Topologie und klare Tracking-Strategie.
• GLBP passt bedingt: Wenige VLANs, aber ungleichmäßige Hostlast; hier kann Weighted Mode helfen, trotzdem bleibt Hotspot-Risiko.
• GLBP passt meist nicht: Anycast-Gateway/EVPN-Modelle, MLAG/vPC/VSS/StackWise-Virtual-Topologien, Multi-Vendor-FHRP-Anforderungen oder stark L3-orientierte Access-Designs.

Outbound-Referenzen

• Cisco IOS XE 17.x: Configuring GLBP für aktuelle Konfigurationsoptionen, Konzepte und Verifikation.
• Cisco Feature Guide: GLBP – Gateway Load Balancing Protocol als übersichtliche Konzeptreferenz (AVG/AVF, MAC-Zuweisung, Weighting/Tracking).
• Cisco NX-OS: GLBP Configuration (Nexus 7000) für NX-OS-spezifische Hinweise, Guidelines und Verify-Abschnitte.
• RFC 5798 (VRRPv3) als Standardreferenz, falls Sie GLBP gegen VRRP in Multi-Vendor-Designs abwägen.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.