February 23, 2026

HSRP konfigurieren: Gateway-Redundanz mit Cisco

Ein einzelnes Default-Gateway ist in vielen Netzwerken ein unnötiges Risiko: Fällt der Router oder Layer-3-Switch aus, verlieren Clients trotz funktionierender Switching-Infrastruktur sofort die Verbindung zu anderen VLANs oder ins Internet. Genau hier setzt HSRP konfigurieren an. HSRP (Hot Standby Router Protocol) ist ein Cisco-Protokoll zur Gateway-Redundanz mit Cisco, bei dem zwei (oder mehr) Geräte gemeinsam eine virtuelle Gateway-IP und eine virtuelle MAC-Adresse bereitstellen. Endgeräte konfigurieren nur diese virtuelle IP als Standardgateway. Im Normalbetrieb übernimmt ein Gerät die aktive Rolle und beantwortet ARP-Anfragen sowie den Weiterleitungsverkehr; das zweite Gerät bleibt im Standby und kann bei Ausfall automatisch übernehmen. Der Vorteil: Für Clients bleibt das Gateway identisch, selbst wenn eine physische Komponente ausfällt oder gewartet wird. Damit HSRP im Alltag stabil läuft, müssen Sie jedoch einige Designentscheidungen bewusst treffen: IP-Planung, Gruppen- und Versionswahl, Preemption-Verhalten, Tracking von Interfaces oder Upstream-Routen, sinnvolle Timer sowie die richtige Kopplung mit STP und Uplink-Design. Dieser Leitfaden zeigt praxisnah, wie Sie HSRP sauber einrichten, welche Befehle Sie wirklich brauchen, wie Sie typische Fehler vermeiden und wie Sie Failover kontrolliert testen und verifizieren.

Was ist HSRP und wie funktioniert Gateway-Redundanz?

HSRP ist ein First Hop Redundancy Protocol (FHRP). „First Hop“ meint das erste Routing-Gerät im Netzwerkpfad der Endgeräte – also meist das Default-Gateway im VLAN. Statt dass ein einzelner Router/Layer-3-Switch als Gateway dient, stellen zwei Geräte gemeinsam eine virtuelle Identität bereit:

  • Virtuelle IP: Die IP, die Clients als Default-Gateway nutzen.
  • Virtuelle MAC: Eine MAC-Adresse, die zur virtuellen IP gehört, damit ARP stabil bleibt.
  • Rollen: Ein Gerät ist Active (leitet weiter), das andere Standby (wartet und übernimmt bei Bedarf).

Bei einem Ausfall (z. B. Interface down, Gerät rebootet, Tracking schlägt an) übernimmt der Standby die virtuelle IP/MAC und damit das Gateway. Für Clients ist das in der Regel transparent – sie senden weiter an dieselbe Gateway-IP.

Für Cisco-spezifische Hintergründe und Konfigurationsdetails ist der Anchor-Text Cisco HSRP Überblick und Konzepte eine hilfreiche Referenz.

HSRP vs. VRRP vs. GLBP: Wann ist HSRP die richtige Wahl?

Für Gateway-Redundanz gibt es mehrere Protokolle:

  • HSRP: Cisco-proprietär (in vielen Cisco-Netzen der Standard), solide und weit verbreitet.
  • VRRP: Standardisiert und herstellerübergreifend, oft in Mixed-Vendor-Umgebungen genutzt.
  • GLBP: Cisco-spezifisch, kann Lastverteilung über mehrere Gateways ermöglichen (je nach Design), aber wird heute weniger häufig eingesetzt als reine Active/Standby-Modelle.

Wenn Ihr Campus oder Ihre Distribution-Schicht überwiegend Cisco ist, ist HSRP meist die pragmatischste Wahl. In heterogenen Umgebungen kann VRRP die bessere Interoperabilität bieten. Für einen Standardblick auf VRRP eignet sich der Anchor-Text RFC 5798 (VRRPv3).

Voraussetzungen und typisches Design im Campus

HSRP wird typischerweise auf SVIs (Layer-3-Switching) oder Router-Subinterfaces (Router-on-a-Stick) verwendet. In Campus-Designs ist HSRP besonders häufig in der Distribution-Schicht, wenn Access-Switches Layer 2 bleiben und Default-Gateways zentral in Distribution/Core liegen.

  • Zwei L3-Geräte pro VLAN: Beide müssen im VLAN präsent sein (SVI aktiv, VLAN auf Trunks erlaubt).
  • Gleiche virtuelle Gateway-IP: Beide Geräte konfigurieren dieselbe virtuelle IP für die HSRP-Gruppe.
  • Upstream-Redundanz: Beide Geräte brauchen eine funktionierende Route nach oben (Core/Internet), sonst wird Gateway-Redundanz schnell zur Scheinsicherheit.

Best Practice: Planen Sie HSRP nicht isoliert, sondern im Zusammenspiel mit STP, Uplink-Redundanz und Routing. Ein Gateway kann hochverfügbar sein, aber wenn der Uplink oder die Default-Route fehlt, ist der Effekt für Clients trotzdem ein Ausfall.

IP-Planung: Virtuelle IP, Geräte-IPs und saubere Namenskonventionen

Ein bewährtes Schema ist:

  • Virtuelle IP: z. B. .1 im VLAN (10.10.10.1)
  • Device A: z. B. .2 (10.10.10.2)
  • Device B: z. B. .3 (10.10.10.3)

Das ist kein Muss, aber erleichtert Betrieb und Dokumentation. Wichtig ist, dass die virtuelle IP im Subnetz liegt und nicht mit anderen Geräten kollidiert. Außerdem sollten Sie HSRP-Gruppen konsistent nummerieren (z. B. Gruppe = VLAN-ID), damit Troubleshooting einfacher ist.

HSRP Basis-Konfiguration auf einem Layer-3-Switch (SVI)

Das folgende Beispiel zeigt ein typisches VLAN 10 mit virtueller Gateway-IP 10.10.10.1/24. Device A soll aktiv sein, Device B Standby. Sie konfigurieren HSRP auf beiden Geräten auf dem SVI.

Device A: Active bevorzugt

configure terminal
interface Vlan10
description USERS
ip address 10.10.10.2 255.255.255.0
standby 10 ip 10.10.10.1
standby 10 priority 110
standby 10 preempt
end

Device B: Standby

configure terminal
interface Vlan10
description USERS
ip address 10.10.10.3 255.255.255.0
standby 10 ip 10.10.10.1
standby 10 priority 100
standby 10 preempt
end

Damit ist HSRP funktionsfähig: Device A wird mit höherer Priority Active, Device B Standby. Bei Ausfall von Device A übernimmt Device B die virtuelle IP/MAC.

Preempt richtig einsetzen: Stabilität statt „Ping-Pong-Failover“

Preempt sorgt dafür, dass ein Router/Switch mit höherer Priorität die Active-Rolle zurückholen darf, wenn er wieder verfügbar ist. Ohne Preempt bleibt häufig derjenige Active, der gerade aktiv ist, selbst wenn das ursprünglich bevorzugte Gerät zurückkommt.

  • Vorteil: Sie kontrollieren, welches Gerät im Normalbetrieb Active ist (z. B. bessere Hardware, näher am Core, bessere Uplinks).
  • Risiko: Wenn ein Gerät instabil ist oder Uplinks flappen, kann es zu häufigem Rollenwechsel kommen.

Best Practice: Preempt ist sinnvoll, aber kombinieren Sie es mit Tracking (siehe unten) und achten Sie auf saubere Stabilität der Infrastruktur. In sensiblen Umgebungen nutzen manche Teams zusätzlich Preempt-Delays (plattformabhängig), damit ein Gerät nach Reboot erst „warm“ wird (Routing stabil, Interfaces up), bevor es Active wird.

Tracking: Das wichtigste Feature für echte Gateway-Redundanz

Ein klassischer Fehler ist: HSRP ist aktiv, aber der Active-Router verliert seinen Uplink zum Core/Internet. Dann bleibt er Active und Clients senden weiter an ihn – obwohl er keinen sinnvollen Upstream hat. Genau das löst HSRP Tracking: Sie überwachen ein Interface oder eine Route. Wenn das Tracking ausfällt, wird die HSRP-Priorität abgesenkt und der Standby kann übernehmen.

Beispiel: Uplink-Interface tracken

configure terminal
interface Vlan10
standby 10 track GigabitEthernet1/1/1 20
end

Interpretation: Wenn Gi1/1/1 down ist, reduziert sich die HSRP-Priorität um 20. Dadurch kann das zweite Gerät Active werden, sofern es weiterhin erreichbar ist.

Beispiel: Route tracking (wenn unterstützt)

In manchen Designs ist das Tracken einer Default-Route oder einer IP-SLA-Überwachung sinnvoll, z. B. um „Internet wirklich erreichbar“ zu testen, nicht nur „Uplink ist up“. Die konkrete Syntax hängt stark von Plattform und IOS/IOS XE-Version ab. Für tiefergehende Cisco-Details eignet sich der Anchor-Text Cisco HSRP Überblick und Konzepte sowie die Kommandoreferenz Ihrer Plattform.

HSRP Timer: Standard vs. Schnellere Failover-Zeiten

HSRP arbeitet mit Hello- und Hold-Timern. Standardwerte sind oft ausreichend, aber in bestimmten Umgebungen (Voice/Video, kritische Anwendungen) möchte man schneller umschalten. Dabei gilt: Schnellere Timer erhöhen die Control-Plane-Last und machen das System sensibler gegenüber kurzen Paketverlusten.

  • Standard: stabil, bewährt, ausreichend für viele Campus-Szenarien.
  • Fast Timers: schnelleres Failover, aber sorgfältig testen.

Beispiel: Timer anpassen (konzeptionell)

configure terminal
interface Vlan10
standby 10 timers 1 3
end

Hinweis: Nutzen Sie Timer-Anpassungen nur, wenn Sie den Mehrwert wirklich benötigen und wenn Ihre Plattform sowie Ihr Netz stabil genug sind. Häufig ist der größere Gewinn nicht ein „ultraschnelles“ HSRP, sondern sauberes Tracking und ein robustes Uplink-Design.

HSRP Versionen und IPv6

In Cisco-Umgebungen begegnen Ihnen häufig HSRP v1 und v2 (abhängig von Plattform und Konfiguration). Für IPv6 gibt es eigene HSRP-Mechanismen. Wenn Sie IPv6-Gateways redundant gestalten möchten, sollten Sie die IPv6-spezifischen HSRP-Befehle verwenden und das Zusammenspiel mit IPv6 Neighbor Discovery berücksichtigen.

Da die Details je Plattform variieren, ist es sinnvoll, die Cisco-Dokumentation für Ihr Modell zu konsultieren, z. B. über den Anchor-Text Cisco HSRP Überblick und Konzepte.

HSRP in Multi-VLAN-Umgebungen: Lastverteilung ohne GLBP

Viele Netzwerke nutzen zwei Distribution-Switches. Wenn Sie HSRP pro VLAN einsetzen, können Sie die Active-Rolle pro VLAN bewusst verteilen, um beide Geräte im Normalbetrieb zu nutzen. Das ist eine gängige Praxis, ohne auf GLBP zurückzugreifen:

  • VLAN 10: Device A Active, Device B Standby
  • VLAN 20: Device B Active, Device A Standby

Damit erreichen Sie eine Art Lastverteilung auf Gateway-Ebene, ohne dass Clients mehrere Gateways kennen müssen. Wichtig ist, dass STP und Uplink-Design dazu passen, damit der Datenpfad nicht unnötig „um die Ecke“ läuft.

Zusammenspiel mit STP: Gateway-Redundanz ohne suboptimale Pfade

Wenn Access-Switches Layer 2 bleiben, beeinflusst Spanning Tree, über welchen Uplink ein VLAN bevorzugt läuft. Wenn HSRP-Active und STP-Root „auseinanderlaufen“, können unnötige Umwege entstehen: Clients senden zum HSRP-Active, aber der Layer-2-Pfad geht erst zum anderen Distribution-Switch und dann zurück (Hairpinning).

  • Best Practice: HSRP-Active pro VLAN sollte idealerweise auf dem Switch liegen, der auch STP-Root für dieses VLAN ist.
  • Praxisnutzen: Kürzere Pfade, weniger Latenz, weniger unnötige Trunk-Last.

In vielen Campus-Designs wird daher STP Root pro VLAN verteilt (z. B. Root für VLAN 10 auf Device A, Root für VLAN 20 auf Device B) – passend zur HSRP-Active-Verteilung.

Security und Betrieb: HSRP robust und auditierbar betreiben

HSRP ist ein Control-Plane-Protokoll. In sicherheitsbewussten Netzen sollten Sie vermeiden, dass untrusted Geräte HSRP beeinflussen können. Praktische Maßnahmen:

  • Layer-2-Hardening: Unbenutzte Ports shutdown, PortFast/BPDU Guard, DHCP Snooping/DAI, ggf. 802.1X.
  • Trunk-Hardening: Allowed VLANs restriktiv, Native VLAN bewusst, DTP minimieren.
  • Monitoring: Syslog/SNMP für HSRP-Events (Rollenwechsel) aktiv auswerten.
  • Change-Disziplin: Änderungen an Prioritäten, Tracking und Timern nur kontrolliert durchführen.

Als organisatorischer Rahmen für Betriebs- und Sicherheitsdisziplin kann der Anchor-Text CIS Controls hilfreich sein, weil dort Logging, Change-Management und Least Privilege betont werden.

Verifikation: So prüfen Sie, ob HSRP wirklich korrekt arbeitet

Nach der Konfiguration müssen Sie prüfen, ob der Active/Standby-Zustand wie geplant ist, ob Preempt greift und ob Tracking funktioniert. Typische Befehle auf Cisco:

show standby brief
show standby
show ip interface brief

Worauf Sie achten sollten:

  • Ist die virtuelle IP korrekt gesetzt und im richtigen VLAN?
  • Wer ist Active, wer Standby, und passt das zur Priorität?
  • Ist Preempt aktiv und verhält sich stabil (kein ständiges Umschalten)?
  • Ist Tracking aktiv und reduziert die Priorität bei Fehlern?

Failover testen: Kontrollierte Tests ohne böse Überraschungen

Ein guter HSRP-Test ist kontrolliert, reproduzierbar und beobachtbar. Typische Testmethoden:

  • Interface shutdown: Uplink oder SVI gezielt herunterfahren (im Wartungsfenster) und prüfen, ob Standby übernimmt.
  • Tracking-Szenario: Uplink unterbrechen und prüfen, ob die Priority sinkt und Active wechselt.
  • Ping/Traceroute vom Client: Prüfen, ob Sessions stabil bleiben (bei manchen Anwendungen sind kurze Unterbrechungen normal).
  • Log-Check: Syslog-Einträge für Rollenwechsel sollten sauber erscheinen, Zeitbasis via NTP sollte stimmen.

Best Practice: Testen Sie nicht nur „HSRP wechselt“, sondern „Traffic funktioniert danach“. Ein Wechsel ohne funktionierende Upstream-Routen ist kein Erfolg, sondern ein Hinweis auf fehlendes Design.

Typische Fehler und wie Sie sie vermeiden

  • Kein Tracking: Active bleibt aktiv, obwohl Upstream weg ist. Lösung: Interface/Route tracking einsetzen.
  • Preempt ohne Stabilität: Rollenwechsel bei Flaps. Lösung: Ursachen beheben, ggf. Preempt-Delay nutzen (wenn verfügbar).
  • HSRP und STP nicht abgestimmt: Umwege/Hairpinning. Lösung: STP Root pro VLAN passend zum HSRP-Active planen.
  • VLAN nicht auf Trunk erlaubt: SVI down oder HSRP instabil. Lösung: Allowed VLANs prüfen, SVI-Status checken.
  • Falsche IP-Planung: Virtuelle IP kollidiert oder Subnetz falsch. Lösung: sauberen IP-Plan und Dokumentation.
  • Unzureichendes Monitoring: Rollenwechsel bleiben unbemerkt. Lösung: Syslog/SNMP und Alarme etablieren.

Praxis-Checkliste: HSRP konfigurieren für saubere Gateway-Redundanz

  • Ist die virtuelle Gateway-IP pro VLAN eindeutig geplant und dokumentiert?
  • Sind beide L3-Geräte im VLAN präsent und ist das VLAN auf den Trunks korrekt erlaubt?
  • Sind Prioritäten so gesetzt, dass das gewünschte Gerät Active wird?
  • Ist Preempt bewusst aktiviert und stabil (kein unnötiges Umschalten)?
  • Ist Tracking aktiv (Uplink/Route/IP SLA), damit „Upstream weg“ einen Failover auslöst?
  • Sind STP Root und HSRP Active pro VLAN abgestimmt, um Umwege zu vermeiden?
  • Wurde HSRP verifiziert (show standby brief) und ein Failover kontrolliert getestet?
  • Werden Rollenwechsel und Fehler zentral geloggt (Syslog) und überwacht (SNMP/Monitoring)?

copy running-config startup-config

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host