GLBP konfigurieren: Load Balancing für Default Gateways

Wenn Sie Default-Gateways redundant auslegen, landen Sie in Cisco-Umgebungen oft bei HSRP oder VRRP. Beide Protokolle lösen das Kernproblem zuverlässig: Ein Gateway fällt aus, ein anderes übernimmt. Im Normalbetrieb bleibt jedoch meist nur ein Gerät aktiv – das zweite steht bereit, wird aber nicht für die Weiterleitung genutzt. Genau hier setzt GLBP an. Wer GLBP konfigurieren möchte, verfolgt in der Regel zwei Ziele gleichzeitig: Load Balancing für Default Gateways und Redundanz. GLBP (Gateway Load Balancing Protocol) erlaubt es, dass mehrere Router oder Layer-3-Switches im gleichen VLAN nicht nur als Standby warten, sondern aktiv Traffic für Endgeräte übernehmen. Endgeräte verwenden weiterhin genau eine virtuelle Gateway-IP. Der Trick liegt in der ARP-Beantwortung: GLBP kann unterschiedlichen Clients unterschiedliche virtuelle MAC-Adressen geben, sodass die Last auf mehrere Forwarder verteilt wird. Das reduziert ungenutzte Kapazität und kann Pfade im Campus effizienter machen – vorausgesetzt, das STP- und Uplink-Design passt dazu. Gleichzeitig ist GLBP kein „immer und überall“-Werkzeug: Es ist Cisco-spezifisch, erfordert saubere Planung, und in vielen modernen Designs wird Lastverteilung auch anders erreicht (z. B. pro VLAN unterschiedliche Active-Gateways mit HSRP/VRRP). Dieser Leitfaden erklärt, wie GLBP funktioniert, welche Rollen es gibt, wie Sie die wichtigsten Parameter richtig wählen und wie Sie GLBP in der Praxis stabil und nachvollziehbar konfigurieren.

Was ist GLBP und wie unterscheidet es sich von HSRP/VRRP?

GLBP ist ein Cisco-proprietäres First Hop Redundancy Protocol (FHRP). Der wesentliche Unterschied zu klassischen Active/Standby-Ansätzen: GLBP kann mehrere Geräte gleichzeitig aktiv für die Weiterleitung nutzen, ohne dass Clients mehrere Default-Gateways kennen müssen. Für die Endgeräte bleibt alles einfach: Sie konfigurieren eine einzige Gateway-IP. Im Hintergrund verteilt GLBP die Weiterleitung, indem es ARP-Anfragen zur virtuellen IP mit unterschiedlichen virtuellen MAC-Adressen beantwortet.

• HSRP/VRRP: Ein aktives Gateway pro Gruppe, das zweite Gerät ist Standby (Load Balancing nur indirekt möglich, z. B. durch VLAN-Aufteilung).
• GLBP: Mehrere aktive Forwarder in derselben Gruppe, Clients werden per virtueller MAC verteilt.

Für einen Cisco-Überblick zu FHRP-Mechanismen und GLBP-Konzepten ist der Anchor-Text Cisco GLBP Konfigurations- und Konzeptübersicht hilfreich.

GLBP Rollen verstehen: AVG und AVF

Damit GLBP Last verteilen kann, gibt es zwei zentrale Rollen:

• Active Virtual Gateway (AVG): Verwaltet die GLBP-Gruppe, entscheidet über die Zuteilung virtueller MAC-Adressen und beantwortet ARP-Anfragen zur virtuellen IP (indirekt über die Zuweisung).
• Active Virtual Forwarder (AVF): Forwarder, der tatsächlich Traffic weiterleitet, der an seine virtuelle MAC adressiert ist.

Wichtig: In einer GLBP-Gruppe gibt es immer genau einen AVG, aber mehrere AVFs. Ein Gerät kann gleichzeitig AVG und AVF sein. Fällt ein AVF aus, kann ein anderer Router dessen Forwarding-Aufgaben übernehmen (Forwarder-Failover), ohne dass Clients ihr Gateway ändern müssen.

Wie GLBP Load Balancing technisch funktioniert

GLBP nutzt eine virtuelle Gateway-IP (z. B. 10.10.10.1). Wenn ein Client das Gateway per ARP auflösen möchte, fragt er „Wer hat 10.10.10.1?“. Bei HSRP/VRRP bekäme jeder Client dieselbe virtuelle MAC als Antwort. Bei GLBP kann der AVG je nach Load-Balancing-Methode unterschiedliche virtuelle MACs zurückgeben. Dadurch senden verschiedene Clients ihre Frames an unterschiedliche Forwarder.

Das bedeutet praktisch:

• Alle Clients haben dieselbe Default-Gateway-IP.
• Nicht alle Clients nutzen dieselbe Gateway-MAC.
• Dadurch wird die Weiterleitung im VLAN verteilt, ohne dass Sie auf Client-Seite etwas ändern.

Wenn Sie mit Packet Captures arbeiten, sehen Sie das im ARP-Verhalten: Ein Host bekommt eine andere MAC als ein anderer, obwohl die IP gleich bleibt. Das ist bei GLBP beabsichtigt.

GLBP Load-Balancing-Methoden: Welche Strategie passt zu Ihrem Netz?

GLBP bietet verschiedene Methoden, wie die Zuordnung von Clients zu Forwardern erfolgen soll. Je nach Plattform und IOS/IOS XE können die verfügbaren Optionen leicht variieren, das Grundprinzip ist jedoch stabil.

• Round-Robin: ARP-Antworten werden reihum auf AVFs verteilt. Gut als Standard, wenn Clients „ähnlich“ sind.
• Weighted: Forwarder bekommen Gewichte (z. B. 70/30). Sinnvoll, wenn ein Gerät leistungsfähiger ist oder mehr Bandbreite hat.
• Host-Dependent: Ein Host erhält konsistent dieselbe virtuelle MAC (solange der Forwarder verfügbar ist). Das kann hilfreich sein, wenn Stabilität pro Host wichtiger ist als maximale Durchmischung.

Praxis-Tipp: Starten Sie in Campus-Umgebungen häufig mit Round-Robin. Weighted lohnt sich, wenn Sie klare Kapazitätsunterschiede haben oder wenn ein Gerät „primär“ sein soll, das zweite aber dennoch Last übernehmen soll.

Voraussetzungen: Wann GLBP sinnvoll ist (und wann nicht)

GLBP ist besonders interessant, wenn Sie in einem VLAN wirklich mehrere Gateways gleichzeitig auslasten wollen und die Umgebung Cisco-only ist. Typische sinnvolle Einsatzfälle:

• Distribution-Paare in klassischen Layer-2-Access-Designs, bei denen beide Distribution-Switches aktiv genutzt werden sollen.
• Standorte mit begrenzten Uplink-Ressourcen, in denen Sie beide Router im Normalbetrieb verwenden möchten.
• Umgebungen mit vielen Clients, in denen Round-Robin-Verteilung die Last gut glätten kann.

Weniger sinnvoll ist GLBP oft, wenn:

• Mixed-Vendor im Gateway-Cluster nötig ist (VRRP wäre dann typischer).
• Ihre Lastverteilung ohnehin über VLAN-Aufteilung erfolgt (HSRP/VRRP Active pro VLAN verteilt ist oft einfacher).
• Ihre Pfade stark durch STP beeinflusst werden und Sie keine saubere Abstimmung zwischen Gateway-Forwarding und Layer-2-Pfaden haben (sonst drohen Umwege).

Schritt-für-Schritt: GLBP auf einem SVI konfigurieren

Das folgende Beispiel zeigt eine typische Distribution-Konfiguration in VLAN 10. Zwei Geräte (DSW1 und DSW2) haben jeweils eine eigene SVI-IP. Das virtuelle Gateway für Clients ist 10.10.10.1. Die GLBP-Gruppe ist 10 (häufig wird „Gruppe = VLAN-ID“ gewählt).

Device 1 (DSW1): höhere Priorität, AVG bevorzugt

configure terminal
interface Vlan10
description USERS
ip address 10.10.10.2 255.255.255.0
glbp 10 ip 10.10.10.1
glbp 10 priority 120
glbp 10 preempt
end

Device 2 (DSW2): niedrigere Priorität

configure terminal
interface Vlan10
description USERS
ip address 10.10.10.3 255.255.255.0
glbp 10 ip 10.10.10.1
glbp 10 priority 110
glbp 10 preempt
end

Ergebnis: DSW1 wird mit höherer Priorität typischerweise AVG. Beide Geräte können als AVF aktiv sein und Traffic weiterleiten, abhängig von Load-Balancing und AVF-Zuteilung.

Preempt in GLBP: Rückkehr zur bevorzugten Rolle kontrollieren

Preempt entscheidet, ob ein Gerät nach einem Ausfall die führende Rolle (insbesondere AVG) automatisch zurückholen darf, wenn es wieder verfügbar ist. Wie bei HSRP/VRRP gilt: Preempt ist nützlich für definierte Normalzustände, kann aber bei instabilen Links zu Rollenwechseln führen.

• Sinnvoll: Wenn DSW1 immer AVG sein soll (bessere Hardware, kürzerer Pfad, definierter Normalbetrieb).
• Vorsicht: Wenn häufige Reboots oder Uplink-Flaps auftreten, kann häufiges Preempt zu „Unruhe“ führen.

Praxisempfehlung: Preempt ja, aber nur mit sauberem Tracking und stabiler Infrastruktur.

Load Balancing explizit setzen: Round-Robin, Weighted, Host-Dependent

Wenn Ihre Plattform es unterstützt, können Sie die Load-Balancing-Methode pro Gruppe setzen. Konzeptionell sieht das etwa so aus:

configure terminal
interface Vlan10
glbp 10 load-balancing round-robin
end

Für Weighted-Load-Balancing ergänzen Sie Gewichte (die genaue Syntax ist plattformabhängig). In der Praxis lohnt Weighted, wenn ein Gerät deutlich stärker ist oder wenn ein Gerät bevorzugt werden soll, ohne das zweite komplett ungenutzt zu lassen.

Wichtig: Unabhängig von der Methode bleibt die virtuelle IP für Clients gleich. Der Unterschied ist ausschließlich, welche virtuelle MAC ein Client erhält.

Tracking: Damit GLBP nicht nur redundant ist, sondern „Upstream-intelligent“

Wie bei allen FHRPs ist die häufigste reale Störung nicht „Gerät tot“, sondern „Pfad weg“. Ein Forwarder kann aktiv sein und ARP beantworten, aber ohne funktionierenden Uplink ist er als Gateway nutzlos. Deshalb sollten Sie auch bei GLBP Tracking nutzen: Wenn ein Uplink oder eine Reachability-Bedingung ausfällt, wird die Priorität abgesenkt oder die Forwarder-Rolle beeinflusst.

Beispiel: Uplink-Interface tracken

configure terminal
interface Vlan10
glbp 10 weighting 110 lower 90 upper 105
glbp 10 weighting track GigabitEthernet1/1/1 decrement 20
end

Interpretation (prinzipiell): Das Gewicht sinkt bei Uplink-Ausfall. Abhängig von Lower/Upper-Thresholds kann der Router dadurch seine AVF-Rolle verlieren oder wiedererlangen. Die konkrete Wirkung hängt von Plattform und Implementierung ab, aber das Designziel ist klar: Ein Gerät ohne Upstream soll nicht weiterhin aktiv Clients bedienen.

Für die Cisco-spezifische GLBP-Tracking-Logik und die exakten Optionen ist die offizielle Dokumentation über den Anchor-Text Cisco GLBP Dokumentation die zuverlässigste Quelle.

Authentifizierung: GLBP vor unerwünschter Teilnahme schützen

In produktiven Netzen sollten Sie verhindern, dass unautorisierte Geräte FHRP-Protokolle beeinflussen. GLBP unterstützt (je nach Plattform) Authentifizierung. Das ist keine „Firewall“, aber eine sinnvolle Schutzschicht, damit nicht jedes Gerät im VLAN an einer GLBP-Gruppe teilnehmen kann.

configure terminal
interface Vlan10
glbp 10 authentication text <GEHEIMES_PASSWORT>
end

Best Practice:

• Secrets sicher verwalten (Passwortmanager), nicht in Klartext dokumentieren.
• Zusätzlich Layer-2-Hardening umsetzen (802.1X, Port Security, DHCP Snooping/DAI), damit untrusted Geräte gar nicht erst in kritische VLANs kommen.

GLBP und STP: Pfade sauber halten, Umwege vermeiden

GLBP verteilt Gateways über mehrere Forwarder. In klassischen Layer-2-Access-Netzen bestimmt jedoch STP, welcher Uplink pro VLAN aktiv ist. Wenn Forwarder und Layer-2-Pfad nicht zusammenpassen, kann unnötiger Transitverkehr entstehen: Ein Client sendet an Forwarder A, aber der Layer-2-Pfad bevorzugt Uplink B, wodurch Frames erst über den anderen Distribution-Switch laufen müssen (Hairpinning).

• Best Practice: Planen Sie die Campus-Topologie so, dass Uplinks redundant sind und Pfade symmetrisch bleiben.
• Pragmatischer Ansatz: In manchen Umgebungen ist HSRP/VRRP mit Active-Verteilung pro VLAN einfacher, weil STP-Root und Gateway-Active pro VLAN klar gekoppelt werden können.
• GLBP sinnvoll: Wenn Ihr Design ohnehin starke Crosslinks und saubere Uplink-Redundanz hat und Sie Last im VLAN wirklich verteilen möchten.

Praxis-Tipp: Wenn Sie GLBP einführen, prüfen Sie im Monitoring, ob Trunk-Links unerwartet stark belastet werden. Das kann ein Indiz für suboptimale Pfade sein.

GLBP in Multi-VLAN-Umgebungen: Struktur und Konventionen

In der Praxis konfigurieren Sie GLBP meist pro VLAN/SVI. Damit das wartbar bleibt, helfen klare Konventionen:

• Gruppe = VLAN-ID: z. B. VLAN 10 → GLBP Gruppe 10.
• Virtuelle IP = .1: z. B. VLAN 10 → 10.10.10.1.
• Geräte-IPs = .2/.3: z. B. DSW1 .2, DSW2 .3.
• Prioritäten konsistent: z. B. DSW1 hat in „primären“ VLANs höhere Priority, DSW2 in anderen VLANs (wenn Sie Rollen bewusst verteilen).

Auch wenn GLBP innerhalb eines VLANs Last verteilen kann, ist es sinnvoll, die Gesamtarchitektur im Blick zu behalten: VLAN-Skalierung, SVI-Anzahl, Routing-Design und Monitoring.

Verifikation: So prüfen Sie, ob GLBP wirklich Last verteilt

Nach der Konfiguration sollten Sie prüfen, ob ein AVG existiert, welche AVFs aktiv sind und ob Clients tatsächlich unterschiedliche virtuelle MACs bekommen. Typische Cisco-Befehle:

show glbp brief
show glbp
show glbp interface Vlan10

Worauf Sie achten sollten:

• Wer ist AVG und wer sind die AVFs?
• Wie viele Forwarder sind „Active“?
• Welche virtuelle IP ist konfiguriert?
• Welche Load-Balancing-Methode ist aktiv?

Zusätzlicher Praxischeck auf Client-Seite: ARP-Cache ansehen. Wenn unterschiedliche Clients unterschiedliche MACs für dasselbe Gateway-IP sehen, ist das ein Hinweis auf funktionierende GLBP-Verteilung.

Failover testen: Was Sie realistisch erwarten sollten

Ein sauberer GLBP-Test prüft zwei Ebenen: Gateway-Failover und Forwarder-Failover. Typische Testmethoden im Wartungsfenster:

• Forwarder-Ausfall simulieren: Ein Gerät/Interface herunterfahren und prüfen, ob dessen Forwarder-Rolle übernommen wird.
• AVG-Wechsel simulieren: Priorität/Preempt/Reload testen und prüfen, ob ARP-Antworten weiterhin stabil sind.
• Tracking testen: Uplink unterbrechen und prüfen, ob Gewicht/Priorität so sinkt, dass das „falsche“ Gateway nicht aktiv bleibt.
• Traffic-Test: Nicht nur „Role changed“, sondern echte Kommunikation (DNS, HTTPs, VoIP) überprüfen.

Wichtig: Auch bei GLBP kann es zu kurzen Unterbrechungen kommen, wenn ARP neu gelernt oder Forwarder-Rollen wechseln. Das ist normal, sollte aber im Rahmen bleiben.

Typische Fehler und häufige Ursachen in der Praxis

• Keine Lastverteilung sichtbar: Load-Balancing nicht gesetzt oder nur ein AVF aktiv. Lösung: GLBP-Status prüfen, Methode konfigurieren, beide Geräte im VLAN aktiv.
• Instabile Rollenwechsel: Preempt ohne Stabilität, Timer zu aggressiv, Uplink-Flaps. Lösung: Ursachen beheben, Tracking sauber, Timer konservativ.
• Uplink weg, aber Gateway bleibt aktiv: Kein Tracking/Weighting. Lösung: Interface-/Route-/SLA-Tracking einsetzen.
• VLAN nicht überall vorhanden: SVI down oder Trunk erlaubt VLAN nicht. Lösung: Allowed VLANs und SVI-Status prüfen.
• Unerwartete Trunk-Last: Pfade nicht optimal, Hairpinning. Lösung: STP/Uplink-Design prüfen, ggf. VLAN-basierte Gateway-Verteilung statt GLBP erwägen.

Best Practices: GLBP produktiv sauber betreiben

• Nur dort einsetzen, wo Load Balancing echten Nutzen bringt: GLBP ist sinnvoll, wenn Sie beide Gateways wirklich auslasten möchten.
• Tracking als Pflicht: Uplink-/Reachability-Tracking, damit „Active“ nicht „aktiv ohne Upstream“ bedeutet.
• Klare Konventionen: Gruppe = VLAN-ID, virtuelle IP = .1, Prioritäten konsistent.
• STP/Uplink-Design prüfen: Vermeiden Sie unnötige Umwege und achten Sie auf Trunk-Auslastung.
• Monitoring: Rollenwechsel, Forwarder-Status und Interface-Health per Syslog/SNMP überwachen.
• Security: Authentifizierung nutzen, VLANs segmentieren, Access-Ports härten (802.1X/Port Security).

Als ergänzende Sicherheits- und Betriebsorientierung eignet sich der Anchor-Text CIS Controls, weil dort Monitoring, Change-Disziplin und Angriffsflächenreduktion als zentrale Maßnahmen beschrieben sind.

Outbound-Links für Vertiefung

• Cisco: GLBP Konzepte und Konfiguration
• Cisco: HSRP Konzepte (zum Vergleich)

Praxis-Checkliste: GLBP konfigurieren für Load Balancing und Redundanz

• Ist die Umgebung Cisco-only oder benötigen Sie herstellerübergreifende Gateways (VRRP)?
• Sind virtuelle IP, Gruppen-ID und IP-Plan konsistent (z. B. Gruppe = VLAN-ID)?
• Ist klar definiert, welches Gerät AVG sein soll (Priorität, Preempt)?
• Sind mehrere AVFs aktiv und ist eine passende Load-Balancing-Methode gesetzt?
• Ist Tracking/Weighting eingerichtet, damit Upstream-Ausfälle zu einem Rollenwechsel führen?
• Passt das STP- und Uplink-Design, sodass keine unnötigen Umwege entstehen?
• Wurde verifiziert (show glbp brief) und ein Failover kontrolliert getestet?
• Sind Rollenwechsel und Forwarder-Status im Monitoring sichtbar (Syslog/SNMP)?

copy running-config startup-config

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.