High Availability im Campus: Redundanz-Patterns mit Cisco Catalyst Switches

High Availability (HA) im Campus bedeutet: Ausfälle einzelner Links, Switches oder Netzteile dürfen den Betrieb nicht spürbar unterbrechen. In der Praxis erreichst du das nicht durch „mehr Geräte“, sondern durch saubere Redundanz-Patterns: klare Layer-2/Layer-3 Grenzen, deterministisches Failover (statt STP-Zufall), sinnvolle First-Hop-Redundanz und stabile Aggregation (LACP). Cisco Catalyst bietet dafür mehrere Bausteine – von StackWise/Stacking über EtherChannel bis hin zu Dual-Distribution-Designs mit HSRP und routed Core. Dieser Guide zeigt typische HA-Patterns, ihre Vor- und Nachteile und worauf du bei der Umsetzung achten musst.

HA-Ziele im Campus: Was „hochverfügbar“ konkret heißt

Bevor du Technologien wählst, definiere Ziele: Welche Ausfälle müssen transparent sein? Wie schnell darf Failover sein? Welche Teile sind kritisch (Distribution/Core vs. Access)?

• Link-Ausfall: kein Nutzerimpact, sofortige Umschaltung
• Switch-Ausfall (Access): begrenzte Fehlerdomäne, schnelle Wiederherstellung
• Distribution-Ausfall: Gateways bleiben erreichbar (FHRP), Routing konvergiert schnell
• Wartung: Upgrades ohne Campus-Blackout (planbare Maintenance)

Grundprinzip: Redundanz ohne unkontrollierte Layer-2-Domänen

Die häufigste HA-Falle ist „L2 überall“, kombiniert mit STP-Blocking. Das ist zwar redundant, aber Failover und Troubleshooting sind oft unvorhersehbar. Expert-Level HA im Campus setzt daher auf frühe L3-Grenzen und reduziert STP-Komplexität.

• Layer 2 möglichst im Access-Block begrenzen
• Distribution als L3 Boundary (SVIs/Gateways)
• Core als reines L3 Backbone (ECMP möglich)

Pattern 1: Single Access Switch, Dual Uplinks mit STP (Baseline, aber nicht optimal)

Der einfachste Redundanz-Ansatz ist zwei Uplinks zu einer Distribution (oder zu zwei Dists), wobei STP einen Pfad blockiert. Das funktioniert, ist aber ineffizient (50% ungenutzt) und Failover kann je nach STP-Modus/TCNs spürbar sein.

• Vorteil: einfach, kaum Feature-Abhängigkeiten
• Nachteil: STP blockiert, Failover abhängig von STP
• Typisch: kleine Umgebungen, Legacy

STP-Baseline im Access

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
end

Pattern 2: LACP EtherChannel (Access → Distribution) für Link-Redundanz ohne STP-Blocking

EtherChannel (LACP) fasst mehrere physische Links zu einem logischen Link zusammen. Das erhöht Bandbreite und liefert sauberes Failover bei Link-Ausfall. Für echte Dual-Homing (zu zwei Distribution-Switches) brauchst du ein Multi-Chassis Pattern (Stack/Virtual/MLAG), sonst kannst du nicht in einen einzigen Port-Channel über zwei Chassis bündeln.

• Vorteil: aktive/aktive Links, schnelles Failover
• Nachteil: Dual-Homing erfordert Multi-Chassis Fähigkeit
• Best Practice: Uplinks grundsätzlich als LACP

LACP Port-Channel (Single-Chassis Uplink-Beispiel)

configure terminal
interface range gigabitEthernet 1/0/47 - 48
 description UPLINK-LACP
 switchport mode trunk
 channel-group 1 mode active
exit
interface port-channel 1

description UPLINK-LACP

switchport mode trunk

end

Pattern 3: StackWise/Stacking im Access – mehrere Switches als eine logische Einheit

Stacking reduziert Betriebsaufwand und verbessert HA im Access: mehrere Switches teilen sich Control-Plane und Konfiguration. Uplinks können als ein EtherChannel aus dem Stack heraus gebaut werden, wodurch Link- und Member-Redundanz entsteht.

• Vorteil: ein Managementpunkt, Port-Channel über mehrere Member möglich
• Nachteil: Stack-Backplane/Stack-Links werden kritisch, Versionsmismatch möglich
• Typisch: Campus-Access mit hoher Portdichte

Stack-Status prüfen

show switch
show switch stack-ports
show version

Pattern 4: Dual Distribution mit FHRP (HSRP/VRRP) – Gateway-Redundanz

Wenn die Distribution die SVIs/Gateways hostet, brauchst du First-Hop Redundancy. HSRP/VRRP stellt sicher, dass ein VLAN-Gateway auch bei Ausfall eines Distribution-Switches erreichbar bleibt. Für effizientes Design wird häufig per-VLAN Load-Sharing genutzt.

• Vorteil: Gateway bleibt bei Dist-Ausfall verfügbar
• Nachteil: Abstimmung mit Uplink-Design und Routing nötig
• Best Practice: Tracking der Uplinks, kontrolliertes Preempt

HSRP pro VLAN (Beispiel)

configure terminal
interface vlan 10
 ip address 10.10.10.2 255.255.255.0
 standby 10 ip 10.10.10.1
 standby 10 priority 110
 standby 10 preempt
end

Uplink-Tracking (Beispiel)

configure terminal
track 1 interface port-channel 10 line-protocol
interface vlan 10
 standby 10 track 1 decrement 20
end

Pattern 5: Routed Access / Layer-3 Access (fortgeschritten, sehr stabil)

Ein sehr stabiles HA-Pattern ist Layer-3 bis zum Access: Access-Switches routen, und Uplinks sind routed Links. Dadurch fällt STP als Campus-„Risikofaktor“ weitgehend weg. VLANs werden lokal gehalten, und Routing übernimmt Redundanz (ECMP, schnelle Konvergenz).

• Vorteil: kleine Failure Domains, wenig STP-Komplexität
• Nachteil: mehr Routing-Design, IP-Planung pro Access-Block
• Typisch: größere Campus/High Security/High Stability Designs

Pattern 6: Core als L3-Backbone mit ECMP – schnelle Konvergenz

Im Core willst du deterministische, schnelle Failover. L3-Links und ECMP ermöglichen aktive/aktive Pfade. Der Core bleibt policy-arm, damit Konvergenz schnell und stabil bleibt.

• Distribution-Core Links als routed Interfaces
• IGP mit schnellen Timern (bewusst, getestet)
• Keine VLANs „durch den Core“

STP und HA: Root Placement und Guard-Strategie

Auch im HA-Design bleibt STP relevant, solange du L2 im Access-Block hast. Die Root Bridge muss geplant sein (Distribution), und Guards verhindern Rogue-Switches und unidirectional Probleme.

• Root Primary/Secondary in Distribution
• BPDU Guard auf Edge-Ports
• Root Guard auf Downlinks (Distribution → Access)
• Loop Guard default, UDLD (aggressive) auf kritischen Fiber-Uplinks

Guard-Checks

show spanning-tree root
show spanning-tree inconsistentports
show interface status err-disabled
show udld neighbors

Operative HA: Wartung, Reloads und Change-Prozesse

Hochverfügbarkeit ist nicht nur Architektur, sondern Betrieb: Wenn du ein Distribution-Paar patchst, müssen Gateways sauber failovern, Monitoring muss stabil bleiben und Backups müssen aktuell sein.

• Pre-Change Backup und Post-Change Verifikation
• Wartung in Wellen: erst Dist-A, dann Dist-B
• Failover-Tests: Link down, Switch reload, HSRP Wechsel
• Monitoring: Drops, Flaps, HSRP-Events, CPU/Memory

HA-Verifikationsblock (Copy/Paste)

show interfaces trunk
show etherchannel summary
show spanning-tree root
show spanning-tree inconsistentports
show standby brief
show ip route
show logging | include LINK|LINEPROTO|HSRP|STANDBY|SPANNING

Typische HA-Fallen im Campus (und wie du sie vermeidest)

Viele „HA-Designs“ scheitern an inkonsistenten Defaults: Trunks erlauben zu viel, Native VLAN bleibt 1, Port-Channels sind halb gebündelt oder STP-Root ist nicht festgelegt. Diese Punkte sind echte Ausfallverstärker.

• Trunks „allow all“ statt Whitelist
• Native VLAN mismatch, DTP an, VLAN 1 produktiv
• EtherChannel inkonsistent (Member nicht identisch)
• Root Bridge ungeplant (Access wird Root)
• HSRP ohne Tracking/Preempt-Strategie
• Stack-Fehlerdomäne unterschätzt (Stack-Links, Versionsdrift)

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.