Mobile-Menu

Definition Was ist eine Hub-and-Spoke-Architektur?

Aktualisiert am 01.07.2026 Von Dipl.-Ing. (FH) Stefan Luber 5 min Lesedauer

Anbieter zum Thema

Ein Netzwerk mit Hub-and-Spoke-Architektur hat eine sternförmige Topologie. Die Kommunikationsendpunkte oder Außenstellen (Spokes) sind jeweils über eine Verbindung mit dem zentralen Netzwerkknoten, dem Hub, verbunden. Der komplette Netzwerkverkehr fließt über den Hub. Eine direkte Kommunikation der Spokes untereinander ist ohne Einbeziehung des Hubs nicht möglich.

In einem Netzwerk mit Hub-and-Spoke-Architektur kommunizieren die Außenstellen oder Kommunikationsendpunkte sternförmig über einen zentralen Hub.(Bild:  ChatGPT / KI-generiert)
In einem Netzwerk mit Hub-and-Spoke-Architektur kommunizieren die Außenstellen oder Kommunikationsendpunkte sternförmig über einen zentralen Hub.
(Bild: ChatGPT / KI-generiert)

Der Aufbau eines Netzwerks mit Hub-and-Spoke-Architektur, auch Speichenarchitektur oder Sterntopologie genannt, erinnert an den eines Rads mit Nabe (Hub) und Speichen (Spokes). Die einzelnen Endpunkte oder Außenstellen des Netzwerks sind sternförmig über jeweils eine Verbindung mit einem zentralen Netzwerkknoten, dem Hub, verbunden. Die Anzahl der benötigten Verbindungen in einem Hub-and-Spoke-Netz lässt sich einfach bestimmen. Sie entspricht der Anzahl der zu verbindenden Endpunkte (ohne den zentralen Hub).

Die Grundidee der Hub-and-Spoke-Architektur ist zwar seit Jahrzehnten unverändert, doch durch Konzepte wie Cloud Computing, SD-WAN, Secure Access Service Edge (SASE), Zero Trust und Multi-Cloud-Strategien hat sich das Architekturmodell von einem rein physisch orientierten Netzwerkmodell zu einem servicebasierten Netzwerk- und Sicherheitsmodell weiterentwickelt und an Bedeutung gewonnen.

Für die Kommunikation einzelner Endpunkte untereinander werden die Daten zunächst an den zentralen Knoten und dann weiter zum Endpunkt übermittelt. Zwischen den einzelnen Endpunkten oder Außenstellen existieren keine direkten Verbindungen. Der Hub ist als zentraler Knoten an jeglicher Kommunikation beteiligt. Ohne ihn ist kein Datenaustausch möglich. Typische Aufgaben, die ein Hub übernimmt, sind das Switching oder Routing des Datenverkehrs, Firewall- und Sicherheitsfunktionen, VPN- oder WAN-Konnektivität, Netzwerküberwachung oder die Bereitstellung von gemeinsamen Infrastruktur- und Plattformdiensten.

Neben der Hub-and-Spoke-Architektur existieren weitere Netzwerkarchitekturen wie teilvermaschte, vollvermaschte, ringartige und baumartige Architekturen oder Bus-Strukturen.

Unterschied zwischen physischer und logischer Hub-and-Spoke-Architektur

Bei der Hub-and-Spoke-Architektur kann zwischen einer physischen und einer logischen Hub-and-Spoke-Architektur unterschieden werden. Die physische Architektur bezieht sich auf die tatsächlich vorhandenen physischen Links zwischen den Netzknoten. Existiert beispielsweise ein zentraler Switch, an den alle Endgeräte per LAN-Kabel angeschlossen sind, handelt es sich um eine physische Stern- beziehungsweise Hub-and-Spoke-Topologie.

Logische Architekturen beziehen sich auf die Kommunikationsströme höherer Schichten. So lassen sich auf einem voll- oder teilvermaschten Netzwerk, in dem einzelne Netzknoten physisch auch untereinander verbunden sind, andere logische Topologien einrichten. Das Routing kann beispielsweise so konfiguriert sein, dass trotz einer direkten physischen Verbindung zwischen den Kommunikationspartnern A und B sämtlicher Verkehr über einen zentralen Router C fließen muss.

Logische Hub-and-Spoke-Architekturen sind beispielsweise bei VPN-Verbindungen über das öffentliche Internet vorzufinden. Filialen oder einzelne Rechner bauen dabei einen verschlüsselten Tunnel über das Internet zu einem zentralen VPN-Punkt auf. Obwohl im Internet andere Kommunikationswege zwischen den einzelnen Filialen oder Rechnern existieren, wird der komplette Datenverkehr grundsätzlich über den VPN-Tunnel zur Zentrale transportiert und erst von dort zum Ziel. Möchten Filialen oder Rechner untereinander kommunizieren, ist immer die VPN-Zentrale involviert.

Typische Einsatzbereiche von Hub-and-Spoke-Architekturen im Netzwerkumfeld

Hub-and-Spoke-Architekturen kommen sowohl in lokalen Netzwerken als auch in Weitverkehrsnetzen und in Cloud-Umgebungen zum Einsatz.

Typisch ist die Hub-and-Spoke-Architektur beispielsweise für kleinere geswitchte LAN-Umgebungen, in denen die Endgeräte alle über LAN-Kabeln mit einem zentralen Switch verbunden sind. Größere LANs mit vielen Switches verwenden für die Vernetzung der Switches untereinander in der Regel andere Architekturkonzepte wie beispielsweise die Spine-Leaf-Architektur.

Kleinere WLAN-Netzwerke basieren meist ebenfalls auf der Hub-and-Spoke-Architektur. Die Endgeräte sind per Funk mit einem zentralen WLAN-Router oder WLAN-Accesspoint verbunden, der den kompletten Verkehr vermittelt und steuert. Weitere Beispiele für Hub-and-Spoke-Architekturen im Netzwerkbereich sind Telefonanlagen mit ihren jeweils einzeln angeschlossenen Telefonen oder mobile Funkzellen mit ihren angemeldeten Mobiltelefonen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Im WAN-Bereich ist die Hub-and-Spoke-Architektur typisch für Filialnetze. Einzelne Filialen oder Außenstellen eines Unternehmens sind über eine WAN-Verbindung an die Zentrale oder die Hauptstelle angebunden. Die Außenstellen können nicht direkt miteinander Daten austauschen, sondern müssen den Weg über die Zentrale nehmen. Da die für die Arbeit benötigten Anwendungen in der Regel in der Zentrale gehostet sind, ist der überwiegende Traffic zentraler Verkehr. Für Netzwerke mit viel Querverkehr und Anwendungsfälle wie Voice over IP (VoIP), bei denen die Signalisierung zentral erfolgt und der Medienstrom überwiegend zwischen den Endgeräten selbst fließt, ist eine Hub-and-Spoke-Architektur mit Nachteilen verbunden, da die Kommunikation über den zentralen Hub zusätzliche Latenzen verursacht und schnell zu Engpässen im Netzwerk führen kann.

Auch in Cloud-Umgebungen sind Hub-and-Spoke-Architekturen häufig vorzufinden. Dabei fungiert der Hub als zentrales Netzwerk mit Routing- und Gateway-Funktionen für gemeinsame Dienste. Er befindet sich auf einer Cloud-Plattform und übernimmt Funktionen wie die Bereitstellung von Identitäts- und Sicherheitsdiensten oder stellt die Verbindung zu den einzelnen Cloud-Services oder Cloud-Ressourcen her. Die Spokes beherbergen beispielsweise einzelne Anwendungen und Workloads oder stellen isolierte Arbeitsbereiche wie Produktions-, Test- oder Entwicklungsumgebungen dar. In globalen Cloud-Infrastrukturen kommen häufig Konzepte mit mehreren weltweit verteilt betriebenen Hubs zum Einsatz.

Vor- und Nachteile der Hub-and-Spoke-Architektur

Zentraler Vorteil der Hub-and-Spoke-Architektur ist, dass das Netzwerk eine einfache und übersichtliche Struktur hat. Jeder Endknoten besitzt genau eine Verbindung zum zentralen Knotenpunkt. Weitere Querverbindungen und Vermaschungen existieren nicht und neue Netzwerke oder Standorte können einfach als weitere Spokes hinzugefügt werden. Der Informationsaustausch mit der Zentrale findet über genau eine Verbindung statt. Möchten zwei Endknoten miteinander Daten austauschen, sind zwei Verbindungen involviert. Die Übertragungszeiten sind dadurch gut abschätzbar und Störungen schnell eingegrenzt. Zudem ist die Verwaltung zentralisiert und Konfigurationen, Updates oder Sicherheitseinstellungen lassen sich komfortabel über den Hub vornehmen.

In Weitverkehrsnetzen ist es von Vorteil, wenn im Vergleich zu teil- oder vollvermaschten Netzen weniger kostspielige WAN-Verbindungen verfügbar sind. Auch aus Security-Sicht ist die Hub-and-Spoke-Topologie vorteilhaft. Da der komplette Verkehr über den zentralen Hub geführt wird, kann er dort sehr gut kontrolliert, überwacht oder zum Beispiel ver- und entschlüsselt werden.

Eines der Hauptprobleme der Hub-and-Spoke-Architektur ist die fehlende Redundanz im Netzwerk. Fällt der zentrale Hub aus, ist das ganze Netzwerk gestört. Kein Endpunkt kann mehr kommunizieren. Bei einem Ausfall einer Verbindung von einem Endknoten zum Hub ist die komplette Kommunikation für diesen Endknoten gestört. Alternative Verbindungen existieren nicht. Möchte man sich gegen Ausfälle dieser Art absichern, sind die zentralen Knoten und die Verbindungen zu den Spokes mehrfach bereitzustellen.

Bei sehr hohem Datenverkehr kann schnell eine Überlastung des Hubs auftreten. Er wird dann für die komplette Netzwerkkommunikation zum Flaschenhals. Ein weiterer Nachteil ist, dass für die Daten längere Wege entstehen als bei direkten Verbindungen zwischen Spokes und sich die Latenzzeiten erhöhen.

Große, komplexe Netzwerke mit mehreren zentralen Kommunikationspunkten und viel Ost-West-Verkehr lassen sich mit einfachen Sternstrukturen kaum vernünftig abbilden. Hier müssen andere Topologien mit teil- oder vollvermaschten Strukturen wie die Spine-Leaf-Architektur zum Einsatz kommen. Gegenüber einfachen Hub-and-Spoke-Topologien bieten diese zahlreiche Vorteile. Sie sind leistungsfähiger und ausfallsicherer. Zudem sind sie im Gegensatz zur Hub-and-Spoke-Architektur nicht nur für Verkehr von und zu zentralen Anwendungen, sondern auch für Querverkehr der Endpunkte untereinander (Ost-West-Verkehr) geeignet. Dies kommt beispielsweise modernen, hochperformanten Rechenzentren und virtualisierten Umgebungen entgegen.

(ID:45280551)