March 3, 2026

Internet Failover: Dual-WAN mit Tracking auf Cisco Router

Dual-WAN-Failover auf Cisco Routern sorgt dafür, dass dein Internetzugang auch bei Provider- oder Leitungsproblemen verfügbar bleibt. Entscheidend ist dabei „Tracking“: Nicht nur der Interface-Link kann ausfallen, sondern auch das Upstream-Routing oder DNS/Transit. Mit IP SLA und Object Tracking kannst du die Erreichbarkeit eines externen Ziels überwachen und automatisch zwischen zwei Default Routes umschalten (Floating Static Routes). Dieses Tutorial zeigt eine praxistaugliche Standardkonfiguration.

Zielbild: Was Dual-WAN mit Tracking leisten soll

Ohne Tracking fällt der Router oft nur dann um, wenn das Interface physisch down ist. Bei vielen Internetstörungen bleibt der Link jedoch up, während das Internet „dahinter“ kaputt ist. Tracking löst genau dieses Problem.

  • Primärer Uplink (ISP1) wird bevorzugt
  • Backup-Uplink (ISP2) übernimmt automatisch bei Störung
  • Failover auch bei „Link up, Internet down“ möglich
  • Automatisches Failback, wenn ISP1 wieder stabil ist

Praxis-Topologie (Beispiel)

Ein Router hat ein Inside-LAN und zwei WAN-Uplinks. Jede WAN-Seite hat ihr eigenes Provider-Gateway. Der Router überwacht ein externes Ziel (z. B. Anycast-DNS), um echte Internet-Erreichbarkeit zu prüfen.

  • LAN: 192.168.10.0/24, Router Inside: 192.168.10.1
  • WAN1 (ISP1): Router 203.0.113.2/30, GW 203.0.113.1
  • WAN2 (ISP2): Router 198.51.100.2/30, GW 198.51.100.1
  • Tracking-Ziel: 1.1.1.1 oder 8.8.8.8

Voraussetzung: Interfaces sauber konfigurieren

Bevor du Tracking baust, müssen beide WAN-Interfaces stabil up sein und das LAN korrekt geroutet werden. Prüfe den Interface-Status und erreichbare Next-Hops.

Interfaces konfigurieren (Beispiel)

Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# description INSIDE-LAN
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit

Router(config)# interface gigabitEthernet0/1

Router(config-if)# description WAN1-ISP1

Router(config-if)# ip address 203.0.113.2 255.255.255.252

Router(config-if)# no shutdown

Router(config-if)# exit


Router(config)# interface gigabitEthernet0/2

Router(config-if)# description WAN2-ISP2

Router(config-if)# ip address 198.51.100.2 255.255.255.252

Router(config-if)# no shutdown

Router(config-if)# end

Status prüfen

Router# show ip interface brief
Router# ping 203.0.113.1
Router# ping 198.51.100.1

Floating Static Routes: Basis-Failover ohne Tracking

Das Grundmuster für Dual-WAN ist: zwei Default Routes, wobei die Backup-Route eine höhere Administrative Distance (AD) bekommt. Dann wird sie nur genutzt, wenn die primäre Route verschwindet.

Default Route primär (AD 1) und Backup (AD 10)

Router# configure terminal
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 10
Router(config)# end

Warum das allein oft nicht reicht

Wenn ISP1 zwar link-up ist, aber Upstream-Routing kaputt ist, bleibt die primäre Default Route im RIB. Ohne Tracking wird dann nicht automatisch auf ISP2 umgeschaltet.

IP SLA: Erreichbarkeit messen statt Link-Status raten

Mit IP SLA lässt du den Router aktiv ein Ziel im Internet prüfen (z. B. ICMP Echo). Fällt die Messung aus, kann ein Tracking-Objekt „down“ gehen und eine Route automatisch entfernt werden.

IP SLA ICMP Echo über WAN1 definieren

Für saubere Ergebnisse bindest du die Probe an das WAN1-Interface (oder eine Source-IP), damit die Messung wirklich über ISP1 läuft.

Router# configure terminal
Router(config)# ip sla 1
Router(config-ip-sla)# icmp-echo 1.1.1.1 source-interface gigabitEthernet0/1
Router(config-ip-sla)# frequency 5
Router(config-ip-sla)# timeout 1000
Router(config-ip-sla)# end

IP SLA starten und planen

Router# configure terminal
Router(config)# ip sla schedule 1 life forever start-time now
Router(config)# end

Object Tracking: SLA-Ergebnis an eine Route koppeln

Object Tracking verbindet das SLA-Ergebnis mit Routing. Wenn Track 1 down ist, wird die an Track 1 gebundene Route aus der Routing-Tabelle entfernt, und die Floating Backup Route übernimmt.

Track-Objekt erstellen

Router# configure terminal
Router(config)# track 1 ip sla 1 reachability
Router(config)# end

Primäre Default Route an Track binden

Router# configure terminal
Router(config)# no ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1 track 1
Router(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 10
Router(config)# end

Stabilität verbessern: Delay/Threshold gegen Flapping

Internet kann kurz „wackeln“. Ohne Dämpfung flappt dein Default Gateway. Nutze Tracking-Delays, um nur bei echten Ausfällen umzuschalten und beim Wiederkommen kurz zu warten.

Track Delay setzen

Router# configure terminal
Router(config)# track 1 delay down 10 up 20
Router(config)# end

Verifikation: Funktioniert Failover und Failback?

Du prüfst zuerst SLA/Track-Status, dann die aktive Default Route und schließlich den realen Pfad ins Internet. Danach simulierst du einen Ausfall (z. B. ISP1-Gateway blocken) und beobachtest die Umschaltung.

SLA- und Track-Status prüfen

Router# show ip sla statistics 1
Router# show track 1

Aktive Default Route prüfen

Router# show ip route | include Gateway|0.0.0.0
Router# show ip route 0.0.0.0

Pfad ins Internet prüfen

Router# traceroute 8.8.8.8
Router# ping 8.8.8.8 source gigabitEthernet0/1
Router# ping 8.8.8.8 source gigabitEthernet0/2

NAT/PAT und Dual-WAN: wichtige Praxis-Falle

Wenn du NAT Overload nutzt, musst du sicherstellen, dass PAT über das jeweils aktive Outside-Interface korrekt arbeitet. In einfachen Designs nutzt man häufig Interface-PAT pro WAN und steuert die NAT-Regeln so, dass sie zur aktiven Route passen.

  • Bei Failover kann die NAT-Source-IP wechseln (Sessions brechen)
  • Stateful Firewalls/VPNs reagieren empfindlich auf Asymmetrie
  • Verifikation: show ip nat translations nach Umschaltung

NAT-Checks (falls NAT genutzt wird)

Router# show ip nat statistics
Router# show ip nat translations

Typische Fehler und schnelle Fixes

Wenn Failover nicht passiert oder zu oft flappt, liegt es meist an falscher Source-Bindung der SLA, falscher Track-Bindung an die Route oder zu aggressiven Timern.

  • SLA pingt über den falschen Uplink (Source-Interface fehlt)
  • Route ist nicht mit track verknüpft
  • Backup-Route hat zu niedrige AD (ECMP statt Failover)
  • Tracking zu aggressiv (kein Delay) → Flapping
  • ACL/Firewall blockiert ICMP zum Tracking-Ziel

Quick-Checks (Copy & Paste)

show ip interface brief
show ip route | include Gateway|0.0.0.0
show ip sla configuration 1
show ip sla statistics 1
show track 1
show running-config | include ^ip route|^track|^ip sla
traceroute 8.8.8.8
ping 8.8.8.8 source gigabitEthernet0/1
ping 8.8.8.8 source gigabitEthernet0/2

Konfiguration speichern

Wenn Failover zuverlässig funktioniert, die Default Route korrekt umschaltet und der Internetzugang stabil bleibt, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)