High Availability im Campus: Praktisches Design mit Cisco Switches

High Availability (HA) im Campus-Netz bedeutet: Das Netzwerk bleibt trotz einzelner Ausfälle nutzbar – ohne „großen Knall“ und ohne lange Konvergenzzeiten. In der Praxis geht es um redundante Switches, redundante Uplinks, sauberes STP- und LACP-Design, stabile Gateways (FHRP) und klar definierte Failure-Domains. Dieses Blueprint zeigt ein praxistaugliches HA-Design mit Cisco Switches für typische Mittelstands- und Enterprise-Campus-Topologien.

HA-Ziele im Campus: Was du wirklich absichern musst

Campus-HA ist nicht „100% ohne Unterbrechung“, sondern kontrolliertes, schnelles Failover. Priorisiere die Ausfälle, die realistisch sind: ein Uplink fällt aus, ein Access-Switch stirbt, ein Distribution-Switch rebootet, ein SFP ist defekt.

• Uplink-Redundanz (Link- und Device-Failures)
• Gateway-Redundanz (Default-Gateway darf nicht Single Point of Failure sein)
• Kontrollierte Konvergenz (STP, LACP, FHRP)
• Failure-Domains klein halten (Ausfall soll nicht den ganzen Campus treffen)

Campus-Referenzdesign: Access–Distribution–Core (hierarchisch)

Ein klassisches Campus-Design trennt Rollen: Access für Endgeräte, Distribution für Aggregation und Policy, Core für schnellen Transport. HA wird erreicht, indem Access dual-homed wird und Distribution/Core redundant aufgebaut sind.

• Access: Layer 2 (VLANs, Port-Profile, PoE, Edge-Security)
• Distribution: Layer 3 (SVIs, Routing, ACLs, Gateway/FHRP)
• Core: Layer 3 (schnelles Routing, minimale Policy)

Typisches VLAN-/Subnetz-Muster (Beispiel)

Clients: 10.1.10.0/24 Gateway: 10.1.10.1

Redundante Uplinks: Warum LACP-Port-Channels der Standard sind

Parallele Uplinks ohne EtherChannel führen zu STP-Blocking und TCNs. Port-Channels (LACP) bündeln Links, STP sieht nur einen logischen Pfad, und Member-Ausfälle sind „ruhiger“.

• Access ↔ Distribution: LACP-Port-Channels statt Einzeltrunks
• Allowed VLANs whitelisten, Native VLAN ungenutzt setzen
• Member-Ports identisch konfigurieren (Range)

Beispiel: Access-Uplink als LACP-Port-Channel

configure terminal
vlan 999
 name NATIVE-UNUSED
exit
interface range gigabitEthernet 1/0/47 - 48

description UPLINK-LACP-TO-DIST

switchport mode trunk

switchport trunk allowed vlan 10,20,30,40,80,99

switchport trunk native vlan 999

channel-group 1 mode active

exit
interface port-channel 1

description UPLINK-LACP-TO-DIST

switchport mode trunk

switchport trunk allowed vlan 10,20,30,40,80,99

switchport trunk native vlan 999

end

Verifikation

show etherchannel summary
show interfaces port-channel 1
show interfaces trunk

Dual-Homing: Access an zwei Distribution-Switches anbinden

Damit ein Distribution-Ausfall nicht den Access isoliert, wird der Access dual-homed. Das geht aktiv/aktiv nur mit Multi-Chassis EtherChannel (MEC/MC-LAG) oder mit einer gemeinsamen Control-Plane in der Distribution (z. B. Stack). Ohne MEC bleibt STP der Mechanismus zur Pfadwahl.

• Mit MEC/Stack: ein Port-Channel über beide Distribution-Chassis (active/active)
• Ohne MEC: zwei getrennte Uplinks/Port-Channels, STP blockt oder du verteilst Root pro VLAN/Instance

Verifikation Dual-Homing ohne MEC (STP entscheidet)

show spanning-tree root
show spanning-tree vlan 10
show interfaces trunk

STP-Design für HA: Root geplant, Edge gehärtet, Uplinks geschützt

STP ist nicht der „Feind“, sondern der Loop-Schutz. HA entsteht, wenn Root Bridge bewusst gesetzt wird, Edge-Ports PortFast nutzen und Guards Fehlpatching sowie unidirektionale Fehler abfangen.

• Rapid PVST+ oder MST konsistent nutzen
• Root Primary/Secondary auf Distribution/Core definieren
• PortFast + BPDU Guard auf Edge-Ports als Default
• Root Guard auf Downlinks Richtung Access
• Loop Guard + UDLD für kritische Uplinks (v. a. Fiber)

STP-Baseline (Access)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
end

Root-Planung (Distribution/Core, Beispiel)

configure terminal
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,40,80,99 root primary
end

Gateway-High-Availability: Default Gateway redundant machen (FHRP)

Wenn das Default-Gateway auf einem einzelnen Switch liegt, ist das ein Single Point of Failure. In Campus-Designs wird daher ein First Hop Redundancy Protocol (FHRP) genutzt, damit Clients immer ein erreichbares Gateway haben.

• Gateway-Redundanz pro VLAN (virtuelle Gateway-IP)
• Aktiv/Standby oder Lastverteilung je VLAN
• Saubere Kombination mit STP-Root-Placement

FHRP-Prinzip (konzeptionell)

Clients nutzen eine virtuelle IP (z. B. 10.1.10.1). Zwei Distribution-Switches stellen diese IP redundant bereit. Fällt der aktive Gateway-Switch aus, übernimmt der andere.

Routing-HA: Layer-3 zwischen Distribution und Core robust halten

Für schnelle und stabile Konvergenz ist ein reines L3-Core-Design verbreitet. Dann sind STP-Themen im Core minimiert, und Routing übernimmt Failover-Entscheidungen.

• Distribution ↔ Core als Layer-3 Links (keine großen L2-Domänen)
• Redundante L3-Uplinks, sauberes Routing-Design
• Policy in Distribution, Core bleibt „fast and simple“

Routing-Verifikation (generisch)

show ip interface brief
show ip route

Failure-Domains: Ausfälle klein halten statt „alles im L2-Meer“

Je größer die Layer-2-Domäne, desto größer der Impact von Loops, TCNs und Fehlpatching. Ein HA-Design begrenzt L2 auf Access/Edge und nutzt L3 nach oben.

• L2 möglichst im Access, L3 in Distribution/Core
• VLANs nicht unnötig campusweit „strecken“
• Allowed VLANs auf Trunks rollenbasiert reduzieren

Operational HA: Monitoring, Logs und Change-Standards

HA ist nicht nur Topologie, sondern Betrieb. Viele „HA-Ausfälle“ passieren durch ungetestete Changes, fehlende Verifikation oder unerkannte physische Probleme.

• NTP und Syslog zentral (Zeitstempel, Ereigniskette)
• Konfig-Backups und Templates für Uplinks/Ports
• Regelmäßige Health Checks: EtherChannel, STP, Errors, UDLD

Health-Check Spickzettel

show etherchannel summary
show interfaces trunk
show spanning-tree root
show spanning-tree inconsistentports
show interfaces counters errors
show udld neighbors
show logging | include SPANNING|TOPOLOGY|UDLD|ERROR|LINK

Praxis-Blueprint: „Guter Standard“ für Mittelstand-Campus

Dieses Set an Standards liefert in vielen deutschen Mittelstandsnetzen ein sehr gutes Verhältnis aus Stabilität, Komplexität und Betriebskosten.

• Access dual-homed (mit MEC/Stack, wenn möglich), sonst STP-geführt
• Uplinks als LACP-Port-Channels, VLANs whitelisted
• Rapid PVST+ oder MST konsistent, Root auf Distribution/Core
• PortFast + BPDU Guard auf Edge-Ports, Root Guard auf Downlinks
• Loop Guard + UDLD auf kritischen Uplinks (Fiber)
• Gateway-Redundanz per FHRP, L3-Core bevorzugt

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.