Cisco-Router-Konfiguration für Redundanz: HSRP/VRRP/GLBP (Leitfaden)

Gateway-Redundanz ist eine der wichtigsten Maßnahmen, um Ausfälle an der Netzwerkgrenze von VLANs zu vermeiden. In typischen Campus-, Enterprise- und größeren Filialnetzen hängt die Erreichbarkeit vieler Clients am Default-Gateway. Fällt das Gateway-Gerät aus, ist „alles offline“, obwohl Switches und Internetleitung noch funktionieren. Cisco-Router und Layer-3-Geräte lösen dieses Problem mit FHRP-Protokollen (First Hop Redundancy Protocol): HSRP, VRRP oder GLBP. Dieser Leitfaden zeigt, welches Protokoll wann sinnvoll ist, wie Sie es sauber konfigurieren und wie Sie Failover objektiv verifizieren.

Grundprinzip: FHRP und virtuelle Default-Gateway-IP

Alle drei Protokolle arbeiten nach dem gleichen Prinzip: Clients nutzen eine virtuelle IP als Default-Gateway. Zwei (oder mehr) Router/L3-Geräte teilen sich die Verantwortung. Ein Gerät ist aktiv (forwarding), das andere steht bereit oder teilt die Last (je nach Protokoll).

• Virtuelle IP: bleibt konstant, Clients müssen bei Ausfall nichts ändern
• Virtuelle MAC: wird vom aktiven Gerät „besessen“ und im Failover übernommen
• Failover: beim Ausfall übernimmt der Standby/Backup automatisch
• Ziel: minimale Unterbrechung, definierte Umschaltzeiten

HSRP vs. VRRP vs. GLBP: Was passt zu welchem Szenario?

Die Protokolle sind ähnlich, unterscheiden sich aber in Standardverhalten und Lastverteilung. Für viele Cisco-dominierte Netze ist HSRP der Standard, VRRP ist herstellerneutraler, GLBP bietet Gateway-Load-Balancing.

• HSRP: Cisco-Standard, sehr verbreitet, stabil, gut dokumentierbar
• VRRP: offener Standard, sinnvoll bei Multi-Vendor-Umgebungen
• GLBP: Gateway-Load-Balancing (mehrere Active Forwarder), mehr Komplexität

Praxisregel: Erst HSRP/VRRP stabil, GLBP nur bei klarem Nutzen

GLBP kann Last verteilen, erhöht aber Komplexität und Troubleshooting-Aufwand. Wenn Sie keine echte Gateway-Lastverteilung benötigen, ist HSRP/VRRP meist die robustere Wahl.

Designvoraussetzungen: Redundanz muss end-to-end sein

FHRP allein reicht nicht, wenn Uplinks, Strom oder Pfade nicht redundant sind. Für echte Verfügbarkeit brauchen Sie redundante Links zum Core, konsistente VLAN-Trunks und saubere Pfadüberwachung (Tracking).

• Redundante Uplinks: beide Router/L3-Geräte müssen gleichwertige Pfade haben
• Konsistente VLANs: gleiche VLANs/Trunks auf beiden Geräten
• Routing/Upstream: beide Geräte haben funktionierende Upstream-Routen
• Tracking: Gateway-Rolle soll bei Upstream-Ausfall wechseln (nicht nur bei Device-Ausfall)

HSRP-Konfiguration: Standardmuster pro VLAN

HSRP wird typischerweise auf dem SVI/Subinterface des VLANs konfiguriert. Sie definieren eine virtuelle IP, Prioritäten und optional Preempt, damit der „bevorzugte“ Router nach einer Rückkehr wieder aktiv wird.

Beispiel: HSRP für VLAN20 (Router A und Router B)

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.2 255.255.255.0
 standby 20 ip 10.10.20.1
 standby 20 priority 110
 standby 20 preempt

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.3 255.255.255.0
 standby 20 ip 10.10.20.1
 standby 20 priority 100
 standby 20 preempt

Erwartete Ergebnisse

• Clients nutzen 10.10.20.1 als Default-Gateway
• Router A ist Active (Priority 110), Router B Standby
• Bei Ausfall übernimmt Router B automatisch

VRRP-Konfiguration: Standardmuster für Multi-Vendor

VRRP funktioniert sehr ähnlich zu HSRP. Sie konfigurieren eine VRRP-Gruppe (ID) und eine virtuelle IP. VRRP ist oft die bessere Wahl, wenn nicht alle Geräte Cisco sind.

Beispiel: VRRP für VLAN20 (Router A und Router B)

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.2 255.255.255.0
 vrrp 20 ip 10.10.20.1
 vrrp 20 priority 110
 vrrp 20 preempt

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.3 255.255.255.0
 vrrp 20 ip 10.10.20.1
 vrrp 20 priority 100
 vrrp 20 preempt

GLBP-Konfiguration: Gateway-Load-Balancing (wenn wirklich benötigt)

GLBP stellt eine virtuelle IP bereit, verteilt aber die Forwarding-Rolle auf mehrere Active Virtual Forwarder (AVF). Das kann Last verteilen, benötigt jedoch saubere Dokumentation und Monitoring, weil Fehlersuche komplexer wird.

Beispiel: GLBP für VLAN20 (konzeptionelles Muster)

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.10.20.2 255.255.255.0
 glbp 20 ip 10.10.20.1
 glbp 20 priority 110
 glbp 20 preempt

Tracking: Gateway-Failover bei Upstream-Ausfall (Pflicht in vielen Designs)

Ohne Tracking bleibt der aktive Router oft Gateway, auch wenn sein WAN/Upstream ausgefallen ist. Tracking koppelt die Priorität an die Erreichbarkeit eines Upstream-Pfads (z. B. Interface oder IP SLA). So wechselt der aktive Gateway automatisch, wenn der Pfad nicht mehr nutzbar ist.

Beispiel: IP SLA + Tracking in HSRP einbinden

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now
track 10 ip sla 10 reachability
interface GigabitEthernet0/1.20

standby 20 track 10 decrement 30

Erwartete Ergebnisse

• Wenn der Upstream-Pfad ausfällt, sinkt die HSRP-Priorität
• Der zweite Router übernimmt die Active-Rolle als Default-Gateway
• Failover ist deterministisch und dokumentierbar

Stabilität: Timer, Preempt und Flapping vermeiden

Zu aggressive Timer können Flapping verursachen, insbesondere bei instabilen Uplinks. Nutzen Sie Preempt bewusst, und kombinieren Sie es mit Tracking und sinnvollen Schwellenwerten.

• Preempt nur aktivieren, wenn Rückübernahme gewünscht ist
• Tracking verhindert „Gateway bleibt aktiv ohne Upstream“
• Timer nicht zu aggressiv wählen ohne Tests
• Failover in Abnahmeprotokoll testen und dokumentieren

Verifikation: So prüfen Sie HSRP/VRRP/GLBP objektiv

Nach der Implementierung müssen Sie Status, Rollen und Failover nachweisen. Prüfen Sie Active/Standby, virtuelle IP/MAC und testen Sie Umschaltung kontrolliert.

HSRP-Checks

show standby brief
show standby

VRRP-Checks

show vrrp brief
show vrrp

GLBP-Checks

show glbp brief
show glbp

Allgemeine Failover-Checks

show ip interface brief
show ip route 0.0.0.0
show logging | last 50

Failover-Testplan: Sichere Abnahme im Change-Fenster

Testen Sie nicht nur „Device aus“, sondern auch „Upstream weg“. Dokumentieren Sie Umschaltzeiten und prüfen Sie, ob Clients weiterhin Internet/Server erreichen. In produktiven Netzen gehört ein Rollback-Plan dazu.

• Test 1: Active Router Interface shutdown (VLAN oder Gerät) → Standby übernimmt
• Test 2: Upstream/Path-Down (IP SLA schlägt fehl) → Tracking senkt Priorität
• Test 3: Failback (Preempt) → Rückübernahme ohne Flapping
• Dokumentation: show standby/vrrp/glbp Outputs + Ping/Traceroute

Typische Fehlerbilder und schnelle Ursachen

Die häufigsten Probleme sind inkonsistente VLAN-Trunks, fehlendes Preempt, falsche Prioritäten oder fehlendes Tracking. Mit klaren Standards lassen sich diese Fehler vermeiden.

• Clients verlieren Gateway: virtuelle IP nicht konsistent, VLAN nicht auf beiden Geräten
• Kein Failover: falsche Gruppe/ID, Prioritäten nicht gesetzt oder Preempt/Tracking fehlt
• Flapping: aggressive Timer, instabile Uplinks, Tracking zu sensibel
• Failover ok, aber kein Internet: Routing/Default nur auf einem Gerät vorhanden

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.