High Availability (HA) im Campus-Netz bedeutet: Das Netzwerk bleibt trotz einzelner Ausfälle nutzbar – ohne „großen Knall“ und ohne lange Konvergenzzeiten. In der Praxis geht es um redundante Switches, redundante Uplinks, sauberes STP- und LACP-Design, stabile Gateways (FHRP) und klar definierte Failure-Domains. Dieses Blueprint zeigt ein praxistaugliches HA-Design mit Cisco Switches für typische Mittelstands- und Enterprise-Campus-Topologien.
HA-Ziele im Campus: Was du wirklich absichern musst
Campus-HA ist nicht „100% ohne Unterbrechung“, sondern kontrolliertes, schnelles Failover. Priorisiere die Ausfälle, die realistisch sind: ein Uplink fällt aus, ein Access-Switch stirbt, ein Distribution-Switch rebootet, ein SFP ist defekt.
- Uplink-Redundanz (Link- und Device-Failures)
- Gateway-Redundanz (Default-Gateway darf nicht Single Point of Failure sein)
- Kontrollierte Konvergenz (STP, LACP, FHRP)
- Failure-Domains klein halten (Ausfall soll nicht den ganzen Campus treffen)
Campus-Referenzdesign: Access–Distribution–Core (hierarchisch)
Ein klassisches Campus-Design trennt Rollen: Access für Endgeräte, Distribution für Aggregation und Policy, Core für schnellen Transport. HA wird erreicht, indem Access dual-homed wird und Distribution/Core redundant aufgebaut sind.
- Access: Layer 2 (VLANs, Port-Profile, PoE, Edge-Security)
- Distribution: Layer 3 (SVIs, Routing, ACLs, Gateway/FHRP)
- Core: Layer 3 (schnelles Routing, minimale Policy)
Typisches VLAN-/Subnetz-Muster (Beispiel)
Redundante Uplinks: Warum LACP-Port-Channels der Standard sind
Parallele Uplinks ohne EtherChannel führen zu STP-Blocking und TCNs. Port-Channels (LACP) bündeln Links, STP sieht nur einen logischen Pfad, und Member-Ausfälle sind „ruhiger“.
- Access ↔ Distribution: LACP-Port-Channels statt Einzeltrunks
- Allowed VLANs whitelisten, Native VLAN ungenutzt setzen
- Member-Ports identisch konfigurieren (Range)
Beispiel: Access-Uplink als LACP-Port-Channel
configure terminal
vlan 999
name NATIVE-UNUSED
exit
interface range gigabitEthernet 1/0/47 - 48
description UPLINK-LACP-TO-DIST
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,80,99
switchport trunk native vlan 999
channel-group 1 mode active
exit
interface port-channel 1
description UPLINK-LACP-TO-DIST
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,80,99
switchport trunk native vlan 999
end
Verifikation
show etherchannel summary
show interfaces port-channel 1
show interfaces trunk
Dual-Homing: Access an zwei Distribution-Switches anbinden
Damit ein Distribution-Ausfall nicht den Access isoliert, wird der Access dual-homed. Das geht aktiv/aktiv nur mit Multi-Chassis EtherChannel (MEC/MC-LAG) oder mit einer gemeinsamen Control-Plane in der Distribution (z. B. Stack). Ohne MEC bleibt STP der Mechanismus zur Pfadwahl.
- Mit MEC/Stack: ein Port-Channel über beide Distribution-Chassis (active/active)
- Ohne MEC: zwei getrennte Uplinks/Port-Channels, STP blockt oder du verteilst Root pro VLAN/Instance
Verifikation Dual-Homing ohne MEC (STP entscheidet)
show spanning-tree root
show spanning-tree vlan 10
show interfaces trunk
STP-Design für HA: Root geplant, Edge gehärtet, Uplinks geschützt
STP ist nicht der „Feind“, sondern der Loop-Schutz. HA entsteht, wenn Root Bridge bewusst gesetzt wird, Edge-Ports PortFast nutzen und Guards Fehlpatching sowie unidirektionale Fehler abfangen.
- Rapid PVST+ oder MST konsistent nutzen
- Root Primary/Secondary auf Distribution/Core definieren
- PortFast + BPDU Guard auf Edge-Ports als Default
- Root Guard auf Downlinks Richtung Access
- Loop Guard + UDLD für kritische Uplinks (v. a. Fiber)
STP-Baseline (Access)
configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
end
Root-Planung (Distribution/Core, Beispiel)
configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,40,80,99 root primary
end
Gateway-High-Availability: Default Gateway redundant machen (FHRP)
Wenn das Default-Gateway auf einem einzelnen Switch liegt, ist das ein Single Point of Failure. In Campus-Designs wird daher ein First Hop Redundancy Protocol (FHRP) genutzt, damit Clients immer ein erreichbares Gateway haben.
- Gateway-Redundanz pro VLAN (virtuelle Gateway-IP)
- Aktiv/Standby oder Lastverteilung je VLAN
- Saubere Kombination mit STP-Root-Placement
FHRP-Prinzip (konzeptionell)
Clients nutzen eine virtuelle IP (z. B. 10.1.10.1). Zwei Distribution-Switches stellen diese IP redundant bereit. Fällt der aktive Gateway-Switch aus, übernimmt der andere.
Routing-HA: Layer-3 zwischen Distribution und Core robust halten
Für schnelle und stabile Konvergenz ist ein reines L3-Core-Design verbreitet. Dann sind STP-Themen im Core minimiert, und Routing übernimmt Failover-Entscheidungen.
- Distribution ↔ Core als Layer-3 Links (keine großen L2-Domänen)
- Redundante L3-Uplinks, sauberes Routing-Design
- Policy in Distribution, Core bleibt „fast and simple“
Routing-Verifikation (generisch)
show ip interface brief
show ip route
Failure-Domains: Ausfälle klein halten statt „alles im L2-Meer“
Je größer die Layer-2-Domäne, desto größer der Impact von Loops, TCNs und Fehlpatching. Ein HA-Design begrenzt L2 auf Access/Edge und nutzt L3 nach oben.
- L2 möglichst im Access, L3 in Distribution/Core
- VLANs nicht unnötig campusweit „strecken“
- Allowed VLANs auf Trunks rollenbasiert reduzieren
Operational HA: Monitoring, Logs und Change-Standards
HA ist nicht nur Topologie, sondern Betrieb. Viele „HA-Ausfälle“ passieren durch ungetestete Changes, fehlende Verifikation oder unerkannte physische Probleme.
- NTP und Syslog zentral (Zeitstempel, Ereigniskette)
- Konfig-Backups und Templates für Uplinks/Ports
- Regelmäßige Health Checks: EtherChannel, STP, Errors, UDLD
Health-Check Spickzettel
show etherchannel summary
show interfaces trunk
show spanning-tree root
show spanning-tree inconsistentports
show interfaces counters errors
show udld neighbors
show logging | include SPANNING|TOPOLOGY|UDLD|ERROR|LINK
Praxis-Blueprint: „Guter Standard“ für Mittelstand-Campus
Dieses Set an Standards liefert in vielen deutschen Mittelstandsnetzen ein sehr gutes Verhältnis aus Stabilität, Komplexität und Betriebskosten.
- Access dual-homed (mit MEC/Stack, wenn möglich), sonst STP-geführt
- Uplinks als LACP-Port-Channels, VLANs whitelisted
- Rapid PVST+ oder MST konsistent, Root auf Distribution/Core
- PortFast + BPDU Guard auf Edge-Ports, Root Guard auf Downlinks
- Loop Guard + UDLD auf kritischen Uplinks (Fiber)
- Gateway-Redundanz per FHRP, L3-Core bevorzugt
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
