VRRP vs. HSRP: Unterschiede und Einsatzszenarien

Wer Default-Gateways hochverfügbar machen will, landet schnell bei sogenannten First Hop Redundancy Protocols (FHRP). Zwei der bekanntesten Vertreter sind VRRP (Virtual Router Redundancy Protocol) und HSRP (Hot Standby Router Protocol). Beide lösen dasselbe Kernproblem: Endgeräte sollen ein einziges, stabiles Standardgateway verwenden, auch wenn der physische Router oder Layer-3-Switch ausfällt oder gewartet wird. In der Praxis wird dafür eine virtuelle IP-Adresse (und eine virtuelle MAC-Adresse) bereitgestellt, die von einem aktiven Gerät „geführt“ und im Fehlerfall von einem zweiten Gerät übernommen wird. Trotzdem sind VRRP vs. HSRP nicht identisch. Unterschiede gibt es bei Standardisierung, Interoperabilität, Terminologie, Standardverhalten (z. B. Preemption), Funktionsumfang je Plattform sowie bei typischen Einsatzszenarien in Campus-, Enterprise- und Mixed-Vendor-Netzen. Dieser Artikel erklärt die wichtigsten Unterschiede, zeigt praxistaugliche Designentscheidungen und hilft Ihnen zu beurteilen, ob VRRP oder HSRP in Ihrer Umgebung die bessere Wahl ist. Dabei liegt der Fokus auf stabilen Betriebsprinzipien: klare Rollen, sauberes Tracking (damit nicht nur „Gateway lebt“, sondern auch „Upstream erreichbar“), sinnvolle Timer und eine Abstimmung mit STP und Uplink-Design.

Worum geht es bei Gateway-Redundanz überhaupt?

In klassischen Layer-2-Access-Netzen ist das Default-Gateway die zentrale Abhängigkeit: Fällt es aus, kommen Clients oft weder ins Internet noch in andere VLANs. Auch interne Dienste wie DNS, DHCP-Relay, AD oder VoIP-Callmanager sind dann nicht mehr erreichbar. FHRP-Protokolle sorgen dafür, dass Endgeräte weiterhin ein Gateway haben, ohne dass Sie auf jedem Client mehrere Gateways konfigurieren oder im Fehlerfall manuell umstellen müssen.

  • Virtuelle IP: Die IP, die Clients als Default-Gateway eintragen.
  • Virtuelle MAC: Die MAC, die per ARP zu dieser IP aufgelöst wird, damit das Layer-2-Forwarding stabil bleibt.
  • Aktiv/Standby: Ein Gerät leitet aktiv weiter, ein zweites Gerät übernimmt bei Ausfall.

Wichtig ist: Gateway-Redundanz ist nur dann sinnvoll, wenn auch der Upstream redundant ist oder per Tracking berücksichtigt wird. Ein aktives Gateway ohne funktionierenden Weg zum Core oder Internet ist für Clients praktisch wertlos.

VRRP und HSRP: Kurze Definitionen

HSRP ist ein von Cisco entwickeltes Protokoll für Gateway-Redundanz. Es ist in Cisco-Netzen weit verbreitet und gut dokumentiert. Eine Cisco-Einführung finden Sie über den Anchor-Text Cisco HSRP Konzepte und Konfiguration.

VRRP ist ein standardisiertes Protokoll, das herstellerübergreifend eingesetzt werden kann. Für VRRPv3 (IPv4 und IPv6) ist der Standard über den Anchor-Text RFC 5798 (VRRPv3) abrufbar. Der Vorteil: VRRP ist prädestiniert für Mixed-Vendor-Umgebungen oder für Designs, in denen Standardkonformität und Interoperabilität im Vordergrund stehen.

Standardisierung und Interoperabilität: Der wichtigste strategische Unterschied

Der erste große Unterschied ist organisatorisch, nicht technisch: VRRP ist ein offener Standard, HSRP ist Cisco-spezifisch. Daraus ergeben sich typische Konsequenzen:

  • Mixed-Vendor: Wenn Sie Gateways von unterschiedlichen Herstellern redundant betreiben wollen, ist VRRP meist die naheliegende Wahl.
  • Reines Cisco-Netz: In vielen Cisco-only Campus-Netzen ist HSRP oft „einfach da“ und als Standard etabliert.
  • Compliance/Standardstrategie: Manche Organisationen bevorzugen Standardprotokolle (VRRP) aus Governance-Gründen.

In der Praxis bedeutet das: Wenn Ihre Distribution/Core-Schicht vollständig Cisco ist, ist HSRP oft der schnellste Weg. Wenn Sie herstellerübergreifend arbeiten (oder perspektivisch migrieren), ist VRRP häufig nachhaltiger.

Rollen und Terminologie: Active/Standby vs. Master/Backup

Beide Protokolle nutzen unterschiedliche Begriffe, die aber inhaltlich ähnlich sind:

  • HSRP: Active (führt das virtuelle Gateway) und Standby (übernimmt bei Ausfall).
  • VRRP: Master (führt das virtuelle Gateway) und Backup (übernimmt bei Ausfall).

In beiden Fällen gibt es eine „virtuelle Identität“, die im Fehlerfall wechselt. Für den Betrieb ist weniger wichtig, wie die Rolle heißt, sondern wie zuverlässig sie wechselt und unter welchen Bedingungen ein Wechsel ausgelöst wird (Timer, Tracking, Preemption).

Preemption: Standardverhalten und betriebliche Auswirkungen

Ein häufiger Stolperstein ist das Verhalten nach einer Störung. Beispiel: Das bevorzugte Gateway fällt kurz aus und kommt wieder hoch. Soll es automatisch wieder die aktive Rolle übernehmen? Das ist eine Preemption-Frage.

  • VRRP: Preemption ist in vielen Implementierungen standardmäßig aktiv (der „stärkere“ Router kann Master werden, wenn er wieder da ist), Ausnahmen sind möglich.
  • HSRP: Preempt wird häufig explizit konfiguriert (abhängig von Plattform/Default). Ohne Preempt kann der aktuelle Active bleiben, auch wenn der „eigentlich bevorzugte“ Router zurückkehrt.

Aus Betriebssicht ist Preemption nicht automatisch „gut“ oder „schlecht“. Sie ist gut, wenn Sie klare Normalpfade definieren (z. B. Gateway A ist im Normalbetrieb aktiv, weil es näher am Core hängt). Sie ist riskant, wenn Instabilitäten oder Link-Flaps zu häufigen Rollenwechseln führen („Ping-Pong-Failover“). In solchen Fällen helfen Tracking, sinnvolle Timer und (je nach Plattform) Preempt-Delays.

Priorität und Entscheidungslogik: Wer wird aktiv?

Sowohl VRRP als auch HSRP verwenden Prioritätswerte, um festzulegen, wer Master/Active wird. Höhere Priorität bedeutet: „Ich möchte führen.“

  • HSRP: Priority wird pro Gruppe gesetzt. Das Gerät mit höherer Priority wird Active, sofern Preempt/State es zulassen.
  • VRRP: Priority wird pro VRRP-Gruppe gesetzt. Das Gerät mit höherer Priority wird Master.

Best Practice ist unabhängig vom Protokoll gleich: Definieren Sie bewusst, welches Gerät führen soll, und setzen Sie Prioritäten konsistent. Häufig wird pro VLAN (oder pro SVI) eine Gruppe eingerichtet und die Gruppennummer an die VLAN-ID angelehnt, damit Betrieb und Dokumentation einfacher sind.

Failover-Logik ohne Tracking ist unvollständig

In realen Netzen ist das häufigste Problem nicht der komplette Geräteausfall, sondern ein „Teil-Ausfall“: Ein Gerät ist noch da und bleibt aktiv, aber der Upstream ist weg (Uplink down, Routingproblem, Providerproblem). Dann bleiben Clients am falschen Gateway hängen. Diese Situation trifft beide Protokolle gleichermaßen. Die Lösung ist nicht „VRRP oder HSRP“, sondern Tracking bzw. ein Mechanismus, der die Priorität senkt, wenn kritische Pfade nicht mehr verfügbar sind.

  • Interface Tracking: Priorität sinkt, wenn ein Uplink-Interface down ist.
  • Route/Reachability Tracking: Priorität sinkt, wenn eine Default-Route fehlt oder ein IP-SLA-Test fehlschlägt.

Best Practice: Wenn Gateway-Redundanz in Ihrem Netz wirklich „hochverfügbar“ sein soll, ist Tracking Pflicht. Ohne Tracking kann Ihr Netz „formal redundant“ sein, aber praktisch trotzdem ausfallen.

Timer: Schneller Failover vs. Robustheit

Beide Protokolle arbeiten mit periodischen Nachrichten (Hello/Advertisement) und einem Timeout (Hold). Je kürzer die Timer, desto schneller ist der Failover – aber desto empfindlicher ist das System gegenüber kurzzeitigen Paketverlusten oder Control-Plane-Spitzen.

  • Standardtimer: Für viele Campus-Netze ausreichend und oft am robustesten.
  • Fast Timer: Sinnvoll, wenn Anwendungen sehr empfindlich sind (z. B. Echtzeit), aber sorgfältig testen.
  • Netzqualität: In instabilen Segmenten können aggressive Timer zu unnötigen Rollenwechseln führen.

Ein gutes Design setzt eher auf saubere Uplink-Redundanz, Tracking und STP-Abstimmung als auf extrem kurze Timer. Timer-Tuning ist Feintuning, nicht die Basis.

HSRP: Stärken und typische Einsatzszenarien

HSRP ist in Cisco Campus-Designs besonders verbreitet, weil es sich nahtlos in Cisco-Ökosysteme integriert und in vielen Betriebsstandards verankert ist. Typische Szenarien, in denen HSRP besonders gut passt:

  • Reines Cisco-Netz: Distribution/Core und Access sind Cisco, klare Standardisierung auf HSRP.
  • Mehrere VLANs mit aktiver Verteilung: HSRP lässt sich pro VLAN verteilen (VLAN 10 Active auf DSW1, VLAN 20 Active auf DSW2) für Lastverteilung.
  • Integration in Cisco-Design-Patterns: Viele Cisco-Referenzdesigns und Best Practices sind auf HSRP ausgerichtet.

In der Praxis ist HSRP häufig dann ideal, wenn Sie schnell und zuverlässig Redundanz schaffen möchten und Cisco als Plattform gesetzt ist.

VRRP: Stärken und typische Einsatzszenarien

VRRP spielt seine Vorteile überall dort aus, wo Interoperabilität zählt oder eine Standardstrategie verfolgt wird. Typische Szenarien:

  • Mixed-Vendor: Zwei unterschiedliche Hersteller sollen ein gemeinsames virtuelles Gateway bereitstellen.
  • Migrationsszenarien: Wenn Sie Hardware schrittweise austauschen und Übergangsphasen ohne Vendor-Lock-in brauchen.
  • Standardorientierte IT-Governance: Protokolle sollen RFC-basiert und auditierbar standardkonform sein.

VRRP ist außerdem in vielen Umgebungen der „Default“ auf Nicht-Cisco Gateways. Wenn Sie also Cisco nur partiell einsetzen, ist VRRP häufig die Brücke zwischen den Welten.

IPv6: VRRPv3 als Standard, HSRP mit IPv6-Mechanismen

In IPv6-Designs ist VRRPv3 besonders relevant, weil es explizit IPv4 und IPv6 unterstützt (siehe RFC 5798). HSRP unterstützt IPv6 ebenfalls, aber die Implementierung ist hersteller- und plattformgebunden. Für die Praxis gilt:

  • Wenn Sie IPv6 herstellerübergreifend redundant gestalten möchten, ist VRRPv3 oft der natürlichere Weg.
  • Wenn Sie ein reines Cisco IPv6-Gateway-Design haben, kann HSRP weiterhin gut funktionieren – die genaue Syntax hängt jedoch stark von IOS/IOS XE und Plattform ab.

Für die Standardperspektive auf VRRPv3 ist der Anchor-Text RFC 5798 besonders nützlich.

Konfigurationsvergleich: Typische Grundkonfigurationen

Die konkrete Syntax variiert je Plattform, aber die Grundidee ist gleich: reale IP pro Gerät, virtuelle IP für das Gateway, Priorität und optional Preempt/Tracking. Die folgenden Beispiele zeigen typische Muster (vereinfachte Darstellung).

HSRP Beispiel auf einem SVI

interface Vlan10
ip address 10.10.10.2 255.255.255.0
standby 10 ip 10.10.10.1
standby 10 priority 110
standby 10 preempt

VRRP Beispiel auf einem SVI

interface Vlan10
ip address 10.10.10.2 255.255.255.0
vrrp 10 ip 10.10.10.1
vrrp 10 priority 110
vrrp 10 preempt

Wichtig für beide: Ohne abgestimmte Trunks (Allowed VLANs) und ohne aktives SVI auf beiden Geräten läuft keine Redundanz. Außerdem sollten Sie Tracking einplanen, damit die virtuelle Rolle nicht „falsch aktiv“ bleibt.

Zusammenspiel mit STP: Pfade optimieren und Hairpinning vermeiden

In Layer-2-Access-Designs bestimmt Spanning Tree, welcher Uplink pro VLAN aktiv ist. Wenn das aktive Gateway (HSRP Active / VRRP Master) nicht zum STP-Root-Pfad passt, entstehen Umwege: Traffic geht erst zur „falschen“ Distribution und dann zurück zum eigentlichen Gateway. Das erhöht Latenz und belastet Trunks unnötig.

  • Best Practice: Pro VLAN sollte der STP-Root möglichst auf dem Gerät liegen, das auch das aktive Gateway ist.
  • Lastverteilung: VLAN 10 Root/Active auf DSW1, VLAN 20 Root/Active auf DSW2.
  • Dokumentation: VLAN-to-Root/Gateway-Mapping festhalten, damit Betrieb und Changes konsistent bleiben.

Dieses Prinzip gilt unabhängig davon, ob Sie HSRP oder VRRP einsetzen.

Security-Aspekte: Control-Plane-Protokolle bewusst behandeln

VRRP und HSRP sind Control-Plane-Protokolle. In einem gehärteten Campus sollten Sie verhindern, dass untrusted Bereiche solche Protokolle beeinflussen können. Praktische Maßnahmen:

  • Layer-2-Hardening: BPDU Guard, PortFast nur an Endgeräteports, unbenutzte Ports shutdown.
  • Zugriffskontrolle: 802.1X/MAB, Port Security, DHCP Snooping/DAI, je nach Risiko.
  • Segmentierung: Gateway-Protokolle gehören in VLANs, die kontrolliert sind; Gäste/Untrusted sollten strikt getrennt sein.
  • Monitoring: Rollenwechsel (Active/Master) sollten per Syslog/SNMP sichtbar und alarmierbar sein.

Als allgemeiner Sicherheitsrahmen ist der Anchor-Text CIS Controls hilfreich, weil dort Logging, Monitoring und Angriffsflächenreduktion als Kernprinzipien beschrieben sind.

Praktische Entscheidungshilfe: VRRP oder HSRP?

In der Praxis lässt sich die Auswahl oft über wenige Leitfragen treffen:

  • Ist das Gateway-Cluster Mixed-Vendor? Dann ist VRRP meist der Favorit.
  • Ist es ein Cisco-only Campus? Dann ist HSRP oft der pragmatische Standard.
  • Gibt es bereits Betriebsstandards? Konsistenz ist wichtiger als theoretische Eleganz; ein einheitliches FHRP senkt Fehlerquoten.
  • Wie reif ist das Change- und Monitoring-Modell? Unabhängig vom Protokoll brauchen Sie Tracking und Verifikation.
  • IPv6-Strategie? VRRPv3 ist standardisiert für IPv6; HSRP ist ebenfalls möglich, aber stärker plattformgebunden.

Wenn Sie vor allem Interoperabilität brauchen, ist VRRP die sichere Wahl. Wenn Sie Cisco-Standardisierung und bekannte Designpatterns priorisieren, ist HSRP häufig schneller und betrieblich „einfacher“, weil es in Cisco-Umgebungen sehr etabliert ist.

Verifikation und Betrieb: Was Sie regelmäßig prüfen sollten

Eine Gateway-Redundanz ist nur so gut wie ihre Verifikation. In beiden Protokollen sollten Sie regelmäßig prüfen, ob Rollen wie geplant stehen und ob Tracking greift:

  • Status prüfen: Wer ist aktiv/Master, wer standby/Backup?
  • Failover testen: Kontrolliert im Wartungsfenster, inklusive Traffic-Test (nicht nur „Rolle gewechselt“).
  • Tracking prüfen: Uplink aus, Route weg, IP-SLA down – sinkt die Priorität und wechselt die Rolle?
  • Logs und Alarmierung: Rollenwechsel im Syslog, Events im Monitoring sichtbar.

Auf Cisco sind für HSRP häufig show standby brief und show standby relevant. Für VRRP sind typischerweise Befehle wie show vrrp brief oder show vrrp verfügbar (plattformabhängig). Entscheidend ist: Sie müssen im Betrieb eine klare Routine haben, um Rollenwechsel nicht erst zu bemerken, wenn Nutzer Tickets schreiben.

Typische Fehlerbilder und ihre Ursachen

  • Gateway „redundant“, aber Internet tot: Kein Tracking, Active/Master hat Upstream verloren. Lösung: Interface-/Route-Tracking oder IP SLA einführen.
  • Rollenwechsel in Schleife: Timer zu aggressiv, Links flappen, Preempt ohne Stabilität. Lösung: Ursachen beheben, Timer konservativer, Preempt-Delay/Tracking nutzen.
  • Hairpinning: STP-Root passt nicht zum aktiven Gateway. Lösung: STP-Root und Active/Master pro VLAN abstimmen.
  • VLAN/Trunk-Fehler: SVI ist down oder VLAN nicht erlaubt. Lösung: Allowed VLANs, SVI-Status, L2-Pfade prüfen.
  • Uneinheitliche Gruppenplanung: Gruppe/VLAN-Zuordnung inkonsistent, schwer zu warten. Lösung: klare Konvention (z. B. Gruppe = VLAN-ID).

Outbound-Links für Vertiefung

Praxis-Checkliste: Unterschiede und Einsatzszenarien richtig bewerten

  • Ist Interoperabilität erforderlich (Mixed-Vendor)? Wenn ja, VRRP priorisieren.
  • Ist die Umgebung Cisco-only und auf Cisco-Standards ausgerichtet? Dann ist HSRP meist die pragmatische Wahl.
  • Ist Tracking eingeplant (Uplink/Route/IP SLA), damit nicht nur „Gateway lebt“, sondern „Upstream erreichbar“?
  • Sind STP-Root und aktives Gateway pro VLAN abgestimmt, um Umwege zu vermeiden?
  • Sind Timer und Preemption so gewählt, dass Stabilität vor „maximaler Geschwindigkeit“ steht?
  • Gibt es Monitoring/Logging für Rollenwechsel und regelmäßige Failover-Tests im Wartungsfenster?
  • Ist die Gruppen- und IP-Planung konsistent (virtuelle IP, Geräte-IPs, Gruppe = VLAN-ID)?

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles