Ein Netzwerk mit Hub-and-Spoke-Architektur hat eine sternförmige Topologie. Die Kommunikationsendpunkte oder Außenstellen (Spokes) sind jeweils über eine Verbindung mit dem zentralen Netzwerkknoten, dem Hub, verbunden. Der komplette Netzwerkverkehr fließt über den Hub. Eine direkte Kommunikation der Spokes untereinander ist ohne Einbeziehung des Hubs nicht möglich.
In einem Netzwerk mit Hub-and-Spoke-Architektur kommunizieren die Außenstellen oder Kommunikationsendpunkte sternförmig über einen zentralen Hub.
(Bild: ChatGPT / KI-generiert)
Der Aufbau eines Netzwerks mit Hub-and-Spoke-Architektur, auch Speichenarchitektur oder Sterntopologie genannt, erinnert an den eines Rads mit Nabe (Hub) und Speichen (Spokes). Die einzelnen Endpunkte oder Außenstellen des Netzwerks sind sternförmig über jeweils eine Verbindung mit einem zentralen Netzwerkknoten, dem Hub, verbunden. Die Anzahl der benötigten Verbindungen in einem Hub-and-Spoke-Netz lässt sich einfach bestimmen. Sie entspricht der Anzahl der zu verbindenden Endpunkte (ohne den zentralen Hub).
Die Grundidee der Hub-and-Spoke-Architektur ist zwar seit Jahrzehnten unverändert, doch durch Konzepte wie Cloud Computing, SD-WAN, Secure Access Service Edge (SASE), Zero Trust und Multi-Cloud-Strategien hat sich das Architekturmodell von einem rein physisch orientierten Netzwerkmodell zu einem servicebasierten Netzwerk- und Sicherheitsmodell weiterentwickelt und an Bedeutung gewonnen.
Für die Kommunikation einzelner Endpunkte untereinander werden die Daten zunächst an den zentralen Knoten und dann weiter zum Endpunkt übermittelt. Zwischen den einzelnen Endpunkten oder Außenstellen existieren keine direkten Verbindungen. Der Hub ist als zentraler Knoten an jeglicher Kommunikation beteiligt. Ohne ihn ist kein Datenaustausch möglich. Typische Aufgaben, die ein Hub übernimmt, sind das Switching oder Routing des Datenverkehrs, Firewall- und Sicherheitsfunktionen, VPN- oder WAN-Konnektivität, Netzwerküberwachung oder die Bereitstellung von gemeinsamen Infrastruktur- und Plattformdiensten.
Neben der Hub-and-Spoke-Architektur existieren weitere Netzwerkarchitekturen wie teilvermaschte, vollvermaschte, ringartige und baumartige Architekturen oder Bus-Strukturen.
Unterschied zwischen physischer und logischer Hub-and-Spoke-Architektur
Bei der Hub-and-Spoke-Architektur kann zwischen einer physischen und einer logischen Hub-and-Spoke-Architektur unterschieden werden. Die physische Architektur bezieht sich auf die tatsächlich vorhandenen physischen Links zwischen den Netzknoten. Existiert beispielsweise ein zentraler Switch, an den alle Endgeräte per LAN-Kabel angeschlossen sind, handelt es sich um eine physische Stern- beziehungsweise Hub-and-Spoke-Topologie.
Logische Architekturen beziehen sich auf die Kommunikationsströme höherer Schichten. So lassen sich auf einem voll- oder teilvermaschten Netzwerk, in dem einzelne Netzknoten physisch auch untereinander verbunden sind, andere logische Topologien einrichten. Das Routing kann beispielsweise so konfiguriert sein, dass trotz einer direkten physischen Verbindung zwischen den Kommunikationspartnern A und B sämtlicher Verkehr über einen zentralen Router C fließen muss.
Logische Hub-and-Spoke-Architekturen sind beispielsweise bei VPN-Verbindungen über das öffentliche Internet vorzufinden. Filialen oder einzelne Rechner bauen dabei einen verschlüsselten Tunnel über das Internet zu einem zentralen VPN-Punkt auf. Obwohl im Internet andere Kommunikationswege zwischen den einzelnen Filialen oder Rechnern existieren, wird der komplette Datenverkehr grundsätzlich über den VPN-Tunnel zur Zentrale transportiert und erst von dort zum Ziel. Möchten Filialen oder Rechner untereinander kommunizieren, ist immer die VPN-Zentrale involviert.
Typische Einsatzbereiche von Hub-and-Spoke-Architekturen im Netzwerkumfeld
Hub-and-Spoke-Architekturen kommen sowohl in lokalen Netzwerken als auch in Weitverkehrsnetzen und in Cloud-Umgebungen zum Einsatz.
Typisch ist die Hub-and-Spoke-Architektur beispielsweise für kleinere geswitchte LAN-Umgebungen, in denen die Endgeräte alle über LAN-Kabeln mit einem zentralen Switch verbunden sind. Größere LANs mit vielen Switches verwenden für die Vernetzung der Switches untereinander in der Regel andere Architekturkonzepte wie beispielsweise die Spine-Leaf-Architektur.
Kleinere WLAN-Netzwerke basieren meist ebenfalls auf der Hub-and-Spoke-Architektur. Die Endgeräte sind per Funk mit einem zentralen WLAN-Router oder WLAN-Accesspoint verbunden, der den kompletten Verkehr vermittelt und steuert. Weitere Beispiele für Hub-and-Spoke-Architekturen im Netzwerkbereich sind Telefonanlagen mit ihren jeweils einzeln angeschlossenen Telefonen oder mobile Funkzellen mit ihren angemeldeten Mobiltelefonen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im WAN-Bereich ist die Hub-and-Spoke-Architektur typisch für Filialnetze. Einzelne Filialen oder Außenstellen eines Unternehmens sind über eine WAN-Verbindung an die Zentrale oder die Hauptstelle angebunden. Die Außenstellen können nicht direkt miteinander Daten austauschen, sondern müssen den Weg über die Zentrale nehmen. Da die für die Arbeit benötigten Anwendungen in der Regel in der Zentrale gehostet sind, ist der überwiegende Traffic zentraler Verkehr. Für Netzwerke mit viel Querverkehr und Anwendungsfälle wie Voice over IP (VoIP), bei denen die Signalisierung zentral erfolgt und der Medienstrom überwiegend zwischen den Endgeräten selbst fließt, ist eine Hub-and-Spoke-Architektur mit Nachteilen verbunden, da die Kommunikation über den zentralen Hub zusätzliche Latenzen verursacht und schnell zu Engpässen im Netzwerk führen kann.
Auch in Cloud-Umgebungen sind Hub-and-Spoke-Architekturen häufig vorzufinden. Dabei fungiert der Hub als zentrales Netzwerk mit Routing- und Gateway-Funktionen für gemeinsame Dienste. Er befindet sich auf einer Cloud-Plattform und übernimmt Funktionen wie die Bereitstellung von Identitäts- und Sicherheitsdiensten oder stellt die Verbindung zu den einzelnen Cloud-Services oder Cloud-Ressourcen her. Die Spokes beherbergen beispielsweise einzelne Anwendungen und Workloads oder stellen isolierte Arbeitsbereiche wie Produktions-, Test- oder Entwicklungsumgebungen dar. In globalen Cloud-Infrastrukturen kommen häufig Konzepte mit mehreren weltweit verteilt betriebenen Hubs zum Einsatz.
Vor- und Nachteile der Hub-and-Spoke-Architektur
Zentraler Vorteil der Hub-and-Spoke-Architektur ist, dass das Netzwerk eine einfache und übersichtliche Struktur hat. Jeder Endknoten besitzt genau eine Verbindung zum zentralen Knotenpunkt. Weitere Querverbindungen und Vermaschungen existieren nicht und neue Netzwerke oder Standorte können einfach als weitere Spokes hinzugefügt werden. Der Informationsaustausch mit der Zentrale findet über genau eine Verbindung statt. Möchten zwei Endknoten miteinander Daten austauschen, sind zwei Verbindungen involviert. Die Übertragungszeiten sind dadurch gut abschätzbar und Störungen schnell eingegrenzt. Zudem ist die Verwaltung zentralisiert und Konfigurationen, Updates oder Sicherheitseinstellungen lassen sich komfortabel über den Hub vornehmen.
In Weitverkehrsnetzen ist es von Vorteil, wenn im Vergleich zu teil- oder vollvermaschten Netzen weniger kostspielige WAN-Verbindungen verfügbar sind. Auch aus Security-Sicht ist die Hub-and-Spoke-Topologie vorteilhaft. Da der komplette Verkehr über den zentralen Hub geführt wird, kann er dort sehr gut kontrolliert, überwacht oder zum Beispiel ver- und entschlüsselt werden.
Eines der Hauptprobleme der Hub-and-Spoke-Architektur ist die fehlende Redundanz im Netzwerk. Fällt der zentrale Hub aus, ist das ganze Netzwerk gestört. Kein Endpunkt kann mehr kommunizieren. Bei einem Ausfall einer Verbindung von einem Endknoten zum Hub ist die komplette Kommunikation für diesen Endknoten gestört. Alternative Verbindungen existieren nicht. Möchte man sich gegen Ausfälle dieser Art absichern, sind die zentralen Knoten und die Verbindungen zu den Spokes mehrfach bereitzustellen.
Bei sehr hohem Datenverkehr kann schnell eine Überlastung des Hubs auftreten. Er wird dann für die komplette Netzwerkkommunikation zum Flaschenhals. Ein weiterer Nachteil ist, dass für die Daten längere Wege entstehen als bei direkten Verbindungen zwischen Spokes und sich die Latenzzeiten erhöhen.
Große, komplexe Netzwerke mit mehreren zentralen Kommunikationspunkten und viel Ost-West-Verkehr lassen sich mit einfachen Sternstrukturen kaum vernünftig abbilden. Hier müssen andere Topologien mit teil- oder vollvermaschten Strukturen wie die Spine-Leaf-Architektur zum Einsatz kommen. Gegenüber einfachen Hub-and-Spoke-Topologien bieten diese zahlreiche Vorteile. Sie sind leistungsfähiger und ausfallsicherer. Zudem sind sie im Gegensatz zur Hub-and-Spoke-Architektur nicht nur für Verkehr von und zu zentralen Anwendungen, sondern auch für Querverkehr der Endpunkte untereinander (Ost-West-Verkehr) geeignet. Dies kommt beispielsweise modernen, hochperformanten Rechenzentren und virtualisierten Umgebungen entgegen.