13.4 Netzwerkkonfigurationen automatisch validieren

Die automatische Validierung von Netzwerkkonfigurationen ist ein zentraler Baustein moderner Netzwerkautomatisierung, weil sie sicherstellt, dass Geräte nicht nur irgendeine Konfiguration besitzen, sondern genau die Konfiguration, die fachlich, betrieblich und sicherheitstechnisch erwartet wird. In klassischen Umgebungen erfolgt diese Prüfung häufig manuell: Ein Engineer öffnet die Running-Config, sucht nach bestimmten Zeilen und vergleicht sie mit internen Standards oder Change-Vorgaben. Das funktioniert für einzelne Geräte, skaliert aber in größeren Umgebungen nur schlecht. Genau hier setzt die automatisierte Validierung an. Sie ermöglicht, Konfigurationen systematisch auszulesen, Soll- und Ist-Zustände zu vergleichen, Abweichungen früh zu erkennen und dadurch Stabilität, Sicherheit und Nachvollziehbarkeit deutlich zu verbessern.

Warum automatische Validierung im Netzwerk so wichtig ist

Konfiguration allein bedeutet noch keine Qualität

Ein Router oder Switch kann vollständig konfiguriert sein und trotzdem nicht den gewünschten Standard erfüllen. Eine Konfiguration kann formal gültig sein, aber operative oder sicherheitsrelevante Anforderungen verletzen. Genau deshalb reicht es nicht aus, Konfigurationen nur auszubringen oder zu sichern. Sie müssen auch aktiv geprüft werden.

• NTP-Server können fehlen oder falsch sein.
• SSH kann korrekt aktiviert sein, aber Telnet ist möglicherweise noch offen.
• Syslog kann teilweise, aber nicht vollständig gesetzt sein.
• Interface-Beschreibungen können uneinheitlich oder leer sein.
• ACLs können vom Standard abweichen.

Die eigentliche Frage lautet also nicht nur: „Ist eine Konfiguration vorhanden?“, sondern: „Entspricht sie dem gewünschten Zustand?“ Automatische Validierung beantwortet genau diese Frage systematisch.

Manuelle Prüfungen skalieren schlecht

In kleinen Netzwerken kann ein Engineer einzelne Geräte manuell kontrollieren. In größeren Enterprise-, Campus- oder WAN-Umgebungen ist dieser Ansatz jedoch zu langsam, zu fehleranfällig und zu wenig reproduzierbar. Je mehr Geräte, Standorte und Standards ins Spiel kommen, desto größer wird der Bedarf an automatisierten Prüfmechanismen.

• Wiederkehrende Prüfungen kosten manuell viel Zeit.
• Unterschiedliche Prüftiefe führt zu Inkonsistenz.
• Abweichungen werden leicht übersehen.
• Prüfergebnisse sind ohne Automatisierung schwer vergleichbar.

Automatisierte Validierung löst dieses Problem, indem sie dieselben Prüfregeln konsistent auf viele Geräte anwendet.

Was bei der Konfigurationsvalidierung eigentlich geprüft wird

Soll-Zustand gegen Ist-Zustand

Im Kern vergleicht automatische Validierung immer zwei Dinge: den gewünschten Soll-Zustand und den aktuell vorhandenen Ist-Zustand. Der Soll-Zustand kann aus Standards, Richtlinien, Templates, Inventardaten oder einer Source of Truth stammen. Der Ist-Zustand wird aus dem Gerät ausgelesen, etwa per CLI, API, NETCONF oder RESTCONF.

• Was sollte konfiguriert sein?
• Was ist tatsächlich konfiguriert?
• Welche Werte fehlen?
• Welche Werte sind unerwartet vorhanden?
• Welche Konfiguration weicht vom Standard ab?

Diese Logik ist die Grundlage fast aller Validierungsprozesse im Netzwerkbetrieb.

Validierung ist mehr als reiner Textvergleich

Ein häufiger Irrtum ist, Validierung mit bloßem Text-Diff gleichzusetzen. Natürlich können Konfigurationsdateien verglichen werden, aber gute Validierung geht darüber hinaus. Sie prüft nicht nur Zeichenketten, sondern fachliche Zustände. Dabei wird beispielsweise bewertet, ob bestimmte Konfigurationsobjekte vorhanden, korrekt oder vollständig sind.

• Ein NTP-Server ist entweder vorhanden oder nicht.
• Ein Interface hat entweder die korrekte Beschreibung oder nicht.
• Eine Management-ACL enthält entweder die vorgesehenen Netze oder nicht.
• Ein Core-Router hat entweder den definierten Syslog-Standard oder eine Abweichung.

Diese semantische Sicht ist wesentlich wertvoller als ein bloßer Zeilenvergleich.

Typische Prüfbereiche bei Netzwerkkonfigurationen

Management- und Basisparameter

Viele Validierungsprozesse beginnen mit den globalen Grundparametern eines Geräts. Diese Werte sind meist stabil, wichtig für Betrieb und Sicherheit und sehr gut standardisierbar.

• Hostname
• Domain-Name
• NTP-Server
• Syslog-Ziele
• DNS-Server
• SSH-Konfiguration
• AAA-Parameter
• SNMP-Grundeinstellungen

Typische CLI-Quellen für solche Prüfungen:

show running-config | include hostname
show running-config | include ntp
show running-config | include logging
show running-config | section aaa
show ip ssh

Diese Werte eignen sich besonders gut für die Automatisierung, weil sie auf vielen Geräten nach klaren Standards geprüft werden können.

Interface-Konfigurationen

Interfaces gehören zu den häufigsten Prüfobjekten. Gerade in Campus- und Rechenzentrumsumgebungen ist es wichtig, dass Ports konsistent beschrieben und passend zu ihrer Rolle konfiguriert sind.

• Beschreibung vorhanden?
• Access- oder Trunk-Modus korrekt?
• Passendes VLAN gesetzt?
• PortFast oder BPDU Guard aktiv?
• Uplink-Ports sauber gekennzeichnet?

Typische CLI-Abfragen:

show running-config interface GigabitEthernet0/1
show interfaces status
show vlan brief
show spanning-tree interface GigabitEthernet0/1 detail

Gerade hier zeigt sich der Wert automatischer Validierung sehr schnell, weil selbst kleine Inkonsistenzen im manuellen Betrieb leicht übersehen werden.

Routing- und Security-Konfigurationen

Auch Routing- und Sicherheitsparameter sind typische Validierungsfelder. Besonders wichtig ist dies bei kritischen Geräten wie Core-Routern, WAN-Routern oder Firewalls.

• OSPF- oder BGP-Parameter vorhanden?
• Management-ACLs korrekt gesetzt?
• Telnet deaktiviert und SSH aktiv?
• Redundanzparameter wie HSRP konsistent?
• Statische Routen oder Policies vollständig?

Typische Prüfkommandos:

show running-config | section router ospf
show running-config | section router bgp
show running-config | section line vty
show access-lists
show standby brief

Diese Prüfungen sind besonders wichtig, weil Abweichungen hier oft direkt sicherheits- oder betriebsrelevant sind.

Quellen für den Soll-Zustand

Templates und Baseline-Konfigurationen

Eine häufige Quelle für den Soll-Zustand sind standardisierte Templates oder Baseline-Definitionen. Wenn Access-Switches, Core-Router oder Branch-Router nach festen Regeln betrieben werden, lassen sich diese Regeln in Vorlagen oder strukturierten Definitionen festhalten.

• Basiskonfiguration für alle Access-Switches
• Standardisierte Management-Parameter
• Rollenspezifische Interface-Profile
• Standort- oder Gerätegruppen-spezifische Standards

Je klarer diese Baselines definiert sind, desto einfacher wird spätere Validierung.

Source of Truth und Inventarsysteme

In reiferen Umgebungen stammt der Soll-Zustand oft aus einer Source of Truth, also einer zentral gepflegten Datenquelle. Dort werden Geräte, Rollen, Standorte, Interfaces, VLANs und andere Netzobjekte strukturiert beschrieben.

• Geräterollen definieren den erwarteten Standard.
• Standortdaten definieren lokale Besonderheiten.
• Interfaces und IPs sind strukturiert beschrieben.
• Templates greifen auf dieselben Daten zu wie Validierungsjobs.

Dadurch entsteht ein durchgängiges Modell, das Provisionierung, Dokumentation und Validierung miteinander verbindet.

Change-Vorgaben und Ticket-Daten

Auch konkrete Changes können Soll-Zustände definieren. Wenn beispielsweise ein geplanter Rollout einen neuen Syslog-Host oder eine geänderte Management-ACL einführt, kann die Validierung direkt gegen diese Change-Vorgabe prüfen.

Das ist besonders wertvoll bei Vorher-Nachher-Vergleichen im operativen Change-Management.

Wie der Ist-Zustand aus Geräten ausgelesen wird

CLI-basierte Validierung

In vielen realen Netzwerken erfolgt die Validierung weiterhin auf Basis von CLI-Ausgaben. Das ist besonders dort sinnvoll, wo moderne APIs nicht oder nur eingeschränkt verfügbar sind. Ein Tool verbindet sich per SSH mit dem Gerät, führt passende Show-Befehle aus und wertet die Ergebnisse aus.

Typische CLI-Befehle:

show running-config
show ip interface brief
show version
show vlan brief
show access-lists

Dieser Ansatz ist pragmatisch und funktioniert auf vielen Plattformen, bringt aber oft Parsing-Aufwand mit sich.

Strukturierte APIs und modellgetriebete Schnittstellen

Wo strukturierte Schnittstellen wie REST APIs, NETCONF oder RESTCONF vorhanden sind, kann der Ist-Zustand häufig sauberer und maschinenfreundlicher ausgelesen werden. Statt freien CLI-Text zu parsen, erhält das Validierungssystem modellierte Datenobjekte.

Typische Aktivierungen auf Cisco-Plattformen:

conf t
netconf-yang
ip http secure-server
restconf
end

Diese Ansätze sind besonders nützlich, wenn präzise Soll-Ist-Vergleiche und modellgetriebete Workflows aufgebaut werden sollen.

Werkzeuge für die automatische Validierung

Python und Netmiko für pragmatische Prüfungen

Python ist eines der flexibelsten Werkzeuge für Validierungsaufgaben. In Kombination mit Netmiko lassen sich Show-Befehle automatisiert ausführen und die Ergebnisse weiterverarbeiten.

Ein einfaches Beispiel:

from netmiko import ConnectHandler

device = {
    "device_type": "cisco_ios",
    "host": "192.0.2.10",
    "username": "admin",
    "password": "password"
}

with ConnectHandler(**device) as conn:
    running_config = conn.send_command("show running-config | include ntp")
    print(running_config)

Auf dieser Basis lassen sich Prüfregeln aufbauen, etwa ob ein bestimmter NTP-Server vorhanden ist oder nicht.

Ansible für wiederkehrende Compliance-Checks

Ansible ist besonders sinnvoll, wenn dieselben Prüfregeln regelmäßig auf viele Geräte angewendet werden sollen. Playbooks können Show-Befehle ausführen, Ergebnisse registrieren und gegen definierte Kriterien prüfen.

Ein einfaches Beispiel:

---
- name: NTP-Konfiguration pruefen
  hosts: access_switches
  gather_facts: no
  tasks:
    - name: NTP-Eintraege lesen
      ios_command:
        commands:
          - show running-config | include ntp
      register: ntp_output

    - name: Ausgabe anzeigen
      debug:
        var: ntp_output.stdout_lines

Ansible ist besonders stark, wenn Validierung standardisiert, teamfähig und wiederholbar aufgebaut werden soll.

NAPALM für strukturierte Read-Only-Validierung

NAPALM eignet sich gut, wenn strukturierte Zustandsdaten plattformübergreifend geprüft werden sollen. Gerade für Facts, Interfaces oder Routinginformationen ist das sehr nützlich.

Ein Beispiel:

from napalm import get_network_driver

driver = get_network_driver("ios")
device = driver("192.0.2.10", "admin", "password")
device.open()

facts = device.get_facts()
print(facts)

device.close()

Für Multi-Vendor-Read-Only-Prüfungen ist das oft deutlich eleganter als reines CLI-Parsing.

Arten der Validierung im Netzwerkbetrieb

Presence Checks

Die einfachste Form der Validierung prüft, ob bestimmte Elemente vorhanden sind. Das ist oft schon sehr wirkungsvoll.

• Existiert der NTP-Server?
• Ist ein Syslog-Host gesetzt?
• Ist SSH aktiviert?
• Gibt es eine Interface-Beschreibung?

Presence Checks sind leicht verständlich und eignen sich hervorragend für erste Validierungsprojekte.

Wert- und Inhaltsprüfungen

Eine nächste Stufe besteht darin, konkrete Werte zu vergleichen. Dabei reicht es nicht, dass ein Objekt existiert, sondern es muss den erwarteten Inhalt haben.

• Der Syslog-Host muss genau die richtige IP haben.
• Das Interface muss im richtigen VLAN sein.
• Der Router muss die definierte Router-ID besitzen.
• Die Access-ACL muss die vorgesehenen Netze enthalten.

Diese Form ist präziser und näher an realen Standards.

Struktur- und Vollständigkeitsprüfungen

In reiferen Umgebungen wird auch geprüft, ob ganze Konfigurationsbereiche vollständig und logisch konsistent sind. Das ist besonders bei Rollentemplates oder modellierten Soll-Zuständen wichtig.

• Hat ein Access-Port alle nötigen Schutzparameter?
• Ist die Basiskonfiguration vollständig?
• Sind alle Pflichtparameter vorhanden?
• Gibt es unerlaubte Zusatzkonfigurationen?

Validierung vor und nach Änderungen

Pre-Checks vor dem Change

Bevor eine Konfiguration verändert wird, sollte validiert werden, ob die Ausgangsbasis dem erwarteten Zustand entspricht. Dadurch lassen sich Überraschungen vermeiden. Wenn ein Gerät schon vor dem Change unerwartet abweicht, ist das wichtig für Risikoabschätzung und Troubleshooting.

• Ist das Gerät erreichbar?
• Ist die aktuelle Konfiguration wie erwartet?
• Gibt es bereits bekannte Drift?
• Sind die Voraussetzungen für den Change erfüllt?

Pre-Checks erhöhen die Qualität und Sicherheit von Changes erheblich.

Post-Checks nach dem Change

Nach einer Änderung ist die Validierung noch wichtiger. Nur so lässt sich zuverlässig feststellen, ob der gewünschte Zustand tatsächlich erreicht wurde.

• Wurde die Konfiguration korrekt übernommen?
• Ist der neue Parameter wirklich aktiv?
• Bleiben Nachbarschaften, Interfaces und Dienste stabil?
• Entspricht das Gerät jetzt dem Soll-Zustand?

Diese Post-Checks sind ein wesentlicher Bestandteil professioneller Change-Prozesse.

Typische Fehler bei der automatischen Validierung

Nur nach Textzeilen suchen

Ein häufiger Fehler besteht darin, Validierung auf bloße Textsuche zu reduzieren. Das kann für einfache Checks ausreichen, wird aber schnell unpräzise. Gute Validierung bewertet nicht nur, ob eine Zeile irgendwo vorkommt, sondern ob ein fachlich relevanter Zustand stimmt.

Kein sauberer Soll-Zustand definiert

Ohne klar definierten Standard ist keine brauchbare Validierung möglich. Wenn nicht eindeutig festgelegt ist, was ein Gerät oder eine Rolle enthalten soll, bleibt jede Prüfung beliebig.

Nur Pre- oder nur Post-Checks machen

Beide Phasen sind wichtig. Nur Pre-Checks zeigen nicht, ob die Änderung erfolgreich war. Nur Post-Checks ignorieren, ob das Gerät schon vorher vom Standard abgewichen ist.

Ergebnisse nicht strukturiert speichern

Wenn Prüfergebnisse nur auf der Konsole erscheinen und nicht dokumentiert oder historisiert werden, geht viel operativer Mehrwert verloren. Strukturierte Reports, CSVs, JSON-Dateien oder Git-basierte Validierungsartefakte sind hier deutlich sinnvoller.

Best Practices für die automatische Validierung von Netzwerkkonfigurationen

• Den Soll-Zustand vor jeder Validierung klar und nachvollziehbar definieren.
• Mit einfachen Presence Checks beginnen und die Prüftiefe schrittweise erhöhen.
• Read-Only-Validierung zuerst etablieren, bevor automatische Remediation eingeführt wird.
• CLI-basierte Prüfungen pragmatisch nutzen, aber strukturierte APIs bevorzugen, wenn verfügbar.
• Pre-Checks und Post-Checks als festen Teil jedes Changes aufbauen.
• Prüfergebnisse strukturiert speichern und historisieren.
• Validierung nicht nur auf Text-Diffs, sondern auf fachliche Zustände ausrichten.
• Gerätegruppen nach Rolle, Standort und Plattform differenziert prüfen.
• Fehlerbehandlung und Ausnahmen im Validierungsprozess sauber dokumentieren.
• Validierungsregeln gemeinsam mit Standards, Templates und Source-of-Truth-Daten pflegen.

Damit wird die automatische Validierung von Netzwerkkonfigurationen zu einem entscheidenden Qualitätswerkzeug im modernen Netzbetrieb. Sie macht aus Konfigurationsmanagement einen kontrollierten, überprüfbaren und reproduzierbaren Prozess, in dem Geräte nicht nur konfiguriert, sondern aktiv gegen definierte Standards abgesichert werden. Genau diese Fähigkeit ist notwendig, um Netzwerke langfristig stabil, konsistent und sicher zu betreiben.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.