High-Availability auf Cisco Routern: Strategien von HSRP bis Dual-ISP

High Availability (HA) auf Cisco Routern bedeutet: Ausfälle dürfen nicht zu einem kompletten Standortstillstand führen. In der Praxis geht es um zwei Ebenen: Gateway-Redundanz im LAN (z. B. HSRP/VRRP) und Internet-/WAN-Redundanz (Dual-ISP mit Tracking). Ein gutes HA-Design ist deterministisch, schnell konvergent, gut testbar und vermeidet typische Fallen wie Asymmetrie, „Blackholing“ oder unkontrolliertes Flapping.

HA-Grundprinzip: Was genau soll redundant sein?

Bevor du konfigurierst, definierst du das Schutzziel. Redundanz kann sich auf Hardware, Links, Provider, Pfade oder Services beziehen. Je klarer das Ziel, desto einfacher wird die Umsetzung.

• Gerät: Router-Failover (Hardware-Redundanz)
• Link: Uplink-Ausfall (Kabel/Port/Provider-Hand-off)
• Provider: Dual-ISP (kompletter ISP-Ausfall)
• Pfad: Internet- oder VPN-Path-Failover (Tracking)

Gateway-Redundanz im LAN: HSRP/VRRP (First Hop Redundancy)

Für Clients ist das Default Gateway kritisch. FHRP löst das Problem, indem zwei Router eine virtuelle IP/MAC bereitstellen. Ein Gerät ist aktiv (Forwarding), das andere Standby. Bei Ausfall übernimmt der Standby die virtuelle Adresse.

• Virtuelle IP als Default Gateway für Clients
• Active/Standby Logik mit Priorität und Preemption
• Tracking koppelt Gateway-Rolle an Uplink-Gesundheit

Merker

$\text{FHRP} => \text{ein Gateway, zwei Router}$

HSRP-Pattern: Basic Setup mit Preempt

HSRP ist in vielen Cisco-Umgebungen Standard. Du konfigurierst pro VLAN/Subnetz eine HSRP-Gruppe. Der aktive Router hat die höhere Priorität und kann per Preempt nach Recovery wieder aktiv werden.

Beispiel: VLAN 10 / 192.168.10.0/24

• R1 (physisch): 192.168.10.2
• R2 (physisch): 192.168.10.3
• HSRP VIP: 192.168.10.1

R1 (Active bevorzugt)

R1# configure terminal
R1(config)# interface gigabitEthernet0/0.10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ip address 192.168.10.2 255.255.255.0
R1(config-subif)# standby 10 ip 192.168.10.1
R1(config-subif)# standby 10 priority 110
R1(config-subif)# standby 10 preempt
R1(config-subif)# end

R2 (Standby)

R2# configure terminal
R2(config)# interface gigabitEthernet0/0.10
R2(config-subif)# encapsulation dot1Q 10
R2(config-subif)# ip address 192.168.10.3 255.255.255.0
R2(config-subif)# standby 10 ip 192.168.10.1
R2(config-subif)# standby 10 priority 100
R2(config-subif)# standby 10 preempt
R2(config-subif)# end

HSRP Tracking: Failover nicht nur bei „Link down“

Ein Uplink kann „up“ sein, aber ohne Internet (Provider-Problem). Tracking koppelt die HSRP-Priorität an den Status eines Interfaces oder an ein IP-SLA-Ergebnis. Damit wird der aktive Router nur dann aktiv bleiben, wenn der relevante Pfad wirklich funktioniert.

Tracking eines Interfaces (einfach)

R1# configure terminal
R1(config)# track 10 interface gigabitEthernet0/1 line-protocol
R1(config)# interface gigabitEthernet0/0.10
R1(config-subif)# standby 10 track 10 decrement 30
R1(config-subif)# end

Tracking per IP SLA (robuster)

R1# configure terminal
R1(config)# ip sla 10
R1(config-ip-sla)# icmp-echo 1.1.1.1 source-interface gigabitEthernet0/1
R1(config-ip-sla)# frequency 5
R1(config-ip-sla)# exit
R1(config)# ip sla schedule 10 life forever start-time now
R1(config)# track 10 ip sla 10 reachability
R1(config)# interface gigabitEthernet0/0.10
R1(config-subif)# standby 10 track 10 decrement 30
R1(config-subif)# end

Dual-ISP: Default Route Failover mit Floating Static Routes

Für Dual-ISP in Branches ist ein häufiges Pattern: Primäre Default Route mit Tracking, sekundäre Default Route mit höherer Administrative Distance („floating“). So wird bei Pfadverlust automatisch auf ISP2 gewechselt.

Beispiel: ISP1 primär, ISP2 Backup

ip sla 1
 icmp-echo 8.8.8.8 source-interface gigabitEthernet0/1
 frequency 5
ip sla schedule 1 life forever start-time now
track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 203.0.113.1 track 1

ip route 0.0.0.0 0.0.0.0 198.51.100.1 10

Dual-ISP mit BGP: „richtiges“ Multi-Homing

Wenn du eigene Public Prefixes/AS hast oder echtes Traffic-Engineering brauchst, ist eBGP zu beiden Providern das übliche Pattern. Damit steuerst du Inbound/Outbound Pfade über Attribute (LocalPref, AS-Path, Communities) und hast sauberere Failover-Semantik.

• Outbound: Local Preference steuert Exit
• Inbound: AS-Path Prepends/Communities steuern Entry (abhängig vom ISP)
• Failover: BGP Session down → Route withdrawn

Minimalprinzip (nicht vollständig)

router bgp 65001
 neighbor 203.0.113.1 remote-as 64500
 neighbor 198.51.100.1 remote-as 64501

HA-Pitfalls: Die häufigsten Designfehler

Viele Ausfälle entstehen nicht durch fehlende Redundanz, sondern durch falsche Failover-Logik. Diese Fallen solltest du aktiv vermeiden.

• Nur Link-Tracking: Link up, aber Internet down → Blackhole
• Asymmetrisches Routing durch Failover → State/Firewall/NAT bricht
• Keine Preempt-Strategie: unerwartete Gateway-Rollen nach Recovery
• Zu aggressive Timers: Flapping, instabiles Failover
• Kein Testplan: Redundanz „existiert nur auf Papier“

Prüfen und Testen: So verifizierst du HA im Betrieb

HA muss regelmäßig getestet werden: Interface shutdown, SLA-Target blocken, ISP-Fail simulieren. Währenddessen beobachtest du HSRP-State, Routing-Tabelle und ggf. NAT/VPN-Status.

HSRP Status

show standby brief
show standby

Routing/Default Route

show ip route | include Gateway|0.0.0.0
show track
show ip sla statistics

VPN/NAT Auswirkungen (falls relevant)

show ip nat translations
show crypto isakmp sa
show crypto ipsec sa

Best Practices: Templates und Betriebssicherheit

In Enterprise-Umgebungen lohnt es sich, HA als Template zu standardisieren: gleiche Gruppen-IDs, klare Prioritäten, dokumentierte Tracking-Ziele und definierte AD-Werte. So wird Betrieb planbar und Troubleshooting schneller.

• HSRP/VRRP pro VLAN standardisieren (IDs, VIP, Prioritäten)
• Tracking immer auf echte Reachability (IP SLA) ausrichten
• Floating Default Route als einfache Backup-Strategie
• Bei State/NAT: Asymmetrie vermeiden oder stateful Plattform nutzen

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.