9.7 Grundkonfiguration eines Cisco-Switches für Einsteiger

Die Grundkonfiguration eines Cisco-Switches gehört zu den wichtigsten ersten Schritten in der Netzwerktechnik. Wer einen Switch nur auspackt und einschaltet, hat zwar oft bereits eine funktionierende Layer-2-Verbindung, aber noch keine saubere, sichere und administrierbare Infrastruktur. Erst durch eine sinnvolle Basiskonfiguration wird aus einem unkonfigurierten Gerät ein sauber verwaltbarer Bestandteil des Netzwerks. Für Einsteiger ist das besonders wichtig, weil viele spätere Funktionen wie VLANs, Remote-Zugriff, Port-Konfiguration oder Troubleshooting auf genau diesen Grundlagen aufbauen.

Warum eine Grundkonfiguration wichtig ist

Ein Cisco-Switch funktioniert im Auslieferungszustand oft bereits als einfacher Layer-2-Switch. Endgeräte können Frames austauschen, solange sie sich im gleichen VLAN befinden. Trotzdem fehlt ohne Grundkonfiguration alles, was im echten Betrieb entscheidend ist: ein verständlicher Hostname, sichere Passwörter, Management-Zugriff, saubere Portzustände und eine dokumentierte Basiskonfiguration.

Gerade in produktiven Netzen ist eine Grundkonfiguration unverzichtbar, weil sie mehrere Ziele gleichzeitig erfüllt:

• Der Switch wird eindeutig identifizierbar.
• Der administrative Zugriff wird abgesichert.
• Management über Konsole, SSH oder IP wird vorbereitet.
• Fehleranalyse und Wartung werden erleichtert.
• Die Basis für VLANs, Trunks und Port-Sicherheit wird geschaffen.

Für CCNA-Einsteiger ist diese Basiskonfiguration außerdem ein zentrales Übungsfeld, um den Umgang mit der Cisco-CLI sicher zu beherrschen.

Erste Schritte: Zugriff auf den Cisco-Switch

Bevor ein Switch konfiguriert werden kann, benötigt man Zugriff auf seine Kommandozeile. Bei einem neuen oder zurückgesetzten Cisco-Switch erfolgt das in der Regel zunächst über die Konsolenverbindung.

Zugriff über die Konsole

Die Konsole ist der direkte lokale Verwaltungszugang zum Gerät. Typischerweise wird dazu ein Konsolenkabel genutzt, das den PC mit dem Console-Port des Switches verbindet. Über ein Terminalprogramm kann dann eine serielle Sitzung geöffnet werden.

Typische serielle Einstellungen sind:

• 9600 Baud
• 8 Datenbits
• keine Parität
• 1 Stoppbit
• kein Flow Control

Nach erfolgreichem Verbindungsaufbau landet man an der Kommandozeile des Switches.

Die wichtigsten CLI-Modi

Cisco IOS arbeitet mit verschiedenen Betriebsmodi. Einsteiger sollten diese Trennung früh verstehen, weil fast jede Konfiguration darauf basiert.

• User EXEC Mode: eingeschränkter Modus für einfache Anzeigen
• Privileged EXEC Mode: erweiterter Modus für Diagnose und Zugriff auf Konfiguration
• Global Configuration Mode: zentrale Konfiguration des Geräts
• Interface Configuration Mode: Konfiguration einzelner Ports oder VLAN-Interfaces

Der Wechsel in den privilegierten Modus erfolgt typischerweise mit:

enable

Von dort gelangt man mit folgendem Befehl in den globalen Konfigurationsmodus:

configure terminal

Den Switch sinnvoll benennen

Eine der ersten und wichtigsten Maßnahmen ist das Setzen eines Hostnamens. Ohne Hostname zeigen mehrere Switches in der CLI denselben Standardnamen, was zu Verwechslungen führen kann. In größeren Netzen ist ein eindeutiger Gerätename Pflicht.

Hostname konfigurieren

configure terminal
hostname SW-Access-01

Nach diesem Schritt ändert sich auch der CLI-Prompt. Das ist nicht nur übersichtlicher, sondern verhindert auch Konfigurationsfehler auf dem falschen Gerät.

Gute Hostnamen orientieren sich oft an:

• Standort
• Gebäude oder Raum
• Geräterolle
• laufender Nummer

Beispiele:

• SW-Access-01
• SW-Floor2-03
• SW-LAB-01

Passwörter und grundlegende Zugangssicherheit einrichten

Ein Switch ohne abgesicherten administrativen Zugriff ist im realen Netzwerkbetrieb nicht akzeptabel. Deshalb gehört die Absicherung des Zugangs zu den wichtigsten Punkten der Grundkonfiguration.

Enable Secret setzen

Das enable secret schützt den privilegierten EXEC-Modus und ist deutlich sicherer als das ältere enable password. In modernen Konfigurationen sollte immer enable secret verwendet werden.

configure terminal
enable secret MeinSicheresPasswort

Damit ist der Zugriff auf den privilegierten Modus abgesichert.

Konsolenpasswort konfigurieren

Auch der direkte Zugriff über die Konsole sollte geschützt werden. Dazu wird die Konsolenleitung konfiguriert:

configure terminal
line console 0
 password KonsolenPasswort
 login
 exit

Die Option login aktiviert die Passwortabfrage auf dieser Leitung.

Passwortverschlüsselung aktivieren

Einsteiger sehen oft überrascht, dass bestimmte Passwörter im Klartext in der laufenden Konfiguration auftauchen können. Um einfache Klartextanzeige zu vermeiden, wird meist folgender Befehl gesetzt:

configure terminal
service password-encryption

Wichtig: Diese Funktion verbessert die Lesbarkeit der Konfiguration für Dritte, ersetzt aber keine moderne Sicherheitsstrategie. Sie gehört dennoch zur klassischen Grundkonfiguration.

Banner konfigurieren

Ein Login-Banner dient dazu, rechtliche oder organisatorische Hinweise anzuzeigen. In Unternehmensumgebungen ist das oft Standard. Auch für Lernumgebungen ist es sinnvoll, weil man dadurch die Arbeit mit Konfigurationsblöcken übt.

MOTD-Banner setzen

configure terminal
banner motd #Unbefugter Zugriff auf dieses System ist nicht erlaubt.#

Das Trennzeichen kann frei gewählt werden, solange es nicht im Text selbst vorkommt.

Ein Banner erfüllt mehrere Zwecke:

• rechtlicher Hinweis
• administrative Kennzeichnung
• professioneller Standard in Netzwerken

Management-IP-Adresse konfigurieren

Ein Layer-2-Switch leitet Frames normalerweise ohne eigene IP-Adresse weiter. Für das Management über Telnet, SSH, Web-Oberflächen oder Monitoring benötigt der Switch jedoch eine Management-IP. Diese wird nicht direkt auf einem physischen Port konfiguriert, sondern üblicherweise auf einem Switch Virtual Interface, kurz SVI.

SVI auf VLAN 1 konfigurieren

In einfachen Labors wird oft VLAN 1 als Management-VLAN verwendet. In produktiven Netzwerken nutzt man häufig ein separates Management-VLAN. Für Einsteiger reicht zunächst das Grundprinzip.

configure terminal
interface vlan 1
 ip address 192.168.1.10 255.255.255.0
 no shutdown
 exit

Damit erhält das virtuelle Interface von VLAN 1 eine IP-Adresse. Der Switch ist darüber im gleichen Subnetz erreichbar, sofern mindestens ein aktiver Port in diesem VLAN vorhanden ist.

Default Gateway setzen

Wenn das Management auch aus anderen Netzen erreichbar sein soll, benötigt der Layer-2-Switch zusätzlich ein Standard-Gateway.

configure terminal
ip default-gateway 192.168.1.1

Das ist besonders wichtig für:

• Remote-Management aus anderen Subnetzen
• SSH-Zugriff über Router oder Layer-3-Switches
• Monitoring-Systeme in anderen Netzsegmenten

SSH statt unsicherem Fernzugriff vorbereiten

Für den Fernzugriff auf Cisco-Switches sollte heute SSH verwendet werden. Telnet gilt als unsicher, weil Zugangsdaten und Sitzungsinhalte unverschlüsselt übertragen werden. Auch in Einsteigerartikeln sollte daher SSH als Standard vermittelt werden.

Domain Name setzen

Für die Schlüsselerzeugung benötigt Cisco IOS einen Hostnamen und einen Domain-Namen.

configure terminal
ip domain-name lab.local

RSA-Schlüssel erzeugen

crypto key generate rsa

Der Switch fragt dabei meist nach der Modulus-Länge. Für moderne Umgebungen sollte ein ausreichend starker Wert genutzt werden, zum Beispiel:

2048

Lokalen Benutzer anlegen

configure terminal
username admin secret StarkesAdminPasswort

VTY-Leitungen für SSH konfigurieren

configure terminal
line vty 0 4
 login local
 transport input ssh
 exit

Damit wird der Remote-Zugriff über SSH erlaubt und die Authentifizierung auf den lokalen Benutzer umgestellt.

Eine kompakte Grundkonfiguration für SSH umfasst also typischerweise:

• Hostname
• Domain-Name
• lokaler Benutzer
• RSA-Schlüssel
• VTY-Konfiguration

Ports prüfen und sinnvoll vorbereiten

Ein neuer Switch besitzt viele physische Interfaces. Nicht jeder Port ist automatisch sinnvoll oder sicher konfiguriert. Gerade Einsteiger sollten früh lernen, dass auch ungenutzte Ports Teil einer sauberen Grundkonfiguration sind.

Portstatus anzeigen

Vor Änderungen sollte geprüft werden, welche Ports aktiv sind und in welchem Zustand sie sich befinden.

show interfaces status

Dieser Befehl zeigt unter anderem:

• Interface-Name
• Link-Status
• VLAN
• Speed und Duplex

Ungenutzte Ports deaktivieren

Aus Sicherheits- und Ordnungsgründen werden ungenutzte Ports häufig administrativ abgeschaltet.

configure terminal
interface range GigabitEthernet1/0/11 - 24
 shutdown
 exit

Das ist sinnvoll, weil:

• unautorisierte Anschlüsse erschwert werden
• die Portübersicht sauber bleibt
• versehentliche Verbindungen vermieden werden

Beschreibung für Ports setzen

Beschreibungen erhöhen die Übersichtlichkeit erheblich und helfen bei der Dokumentation.

configure terminal
interface GigabitEthernet1/0/1
 description Arbeitsplatz Empfang
 exit

Schon in kleinen Netzwerken spart das später viel Zeit beim Troubleshooting.

Access-Ports für Endgeräte konfigurieren

In der Grundkonfiguration werden viele Ports als klassische Access-Ports für PCs, Drucker oder andere Endgeräte eingerichtet. Ein Access-Port gehört genau einem VLAN an und transportiert ungetaggten Verkehr für dieses VLAN.

Einfachen Access-Port konfigurieren

configure terminal
interface GigabitEthernet1/0/1
 switchport mode access
 switchport access vlan 1
 no shutdown
 exit

Diese Konfiguration ist typisch für einfache Umgebungen, in denen Endgeräte im Standard-VLAN betrieben werden.

PortFast für Endgeräte aktivieren

Für reine Endgeräteports wird häufig PortFast aktiviert, damit der Port schneller in den Forwarding-Zustand geht und Hosts nicht unnötig auf Spanning Tree warten müssen.

configure terminal
interface GigabitEthernet1/0/1
 spanning-tree portfast
 exit

PortFast sollte nur auf echten Endgeräteports aktiviert werden, nicht auf Verbindungen zu anderen Switches.

VLAN-Grundlagen in der Basiskonfiguration

Auch wenn eine vollständige VLAN-Planung meist ein eigenes Thema ist, gehört das Anlegen einfacher VLANs oft schon zur Grundkonfiguration. Selbst Einsteiger sollten verstehen, dass ein Switch verschiedene logische Netze auf derselben Hardware bereitstellen kann.

Neues VLAN anlegen

configure terminal
vlan 10
 name CLIENTS
 exit

Port einem VLAN zuweisen

configure terminal
interface GigabitEthernet1/0/2
 switchport mode access
 switchport access vlan 10
 no shutdown
 exit

Damit gehört dieser Port logisch zum VLAN 10.

VLANs prüfen

show vlan brief

Dieser Befehl ist für Einsteiger besonders hilfreich, weil er VLANs und zugeordnete Ports sehr übersichtlich darstellt.

Konfiguration speichern

Eine der häufigsten Anfängerfallen besteht darin, die laufende Konfiguration zu ändern, sie aber nicht dauerhaft zu speichern. Cisco IOS unterscheidet zwischen der laufenden Konfiguration im RAM und der Startkonfiguration im NVRAM.

Running Config und Startup Config

• running-config: aktuell aktive Konfiguration
• startup-config: Konfiguration, die beim Neustart geladen wird

Wird nur die laufende Konfiguration geändert, gehen alle Änderungen nach einem Neustart verloren.

Konfiguration dauerhaft speichern

copy running-config startup-config

Alternativ wird oft auch verwendet:

write memory

Für Einsteiger ist wichtig: Nach jeder sinnvollen Änderung speichern.

Wichtige Prüf- und Kontrollbefehle nach der Grundkonfiguration

Nach der Basiskonfiguration sollte der Switch überprüft werden. Das ist nicht nur gute Praxis, sondern hilft auch, typische Eingabefehler schnell zu erkennen.

Laufende Konfiguration anzeigen

show running-config

Damit lässt sich kontrollieren, ob Hostname, Passwörter, VTY-Leitungen und Interface-Konfigurationen korrekt übernommen wurden.

IP-Interface prüfen

show ip interface brief

Dieser Befehl ist besonders nützlich, um die Management-IP und den Status des VLAN-Interfaces schnell zu prüfen.

SSH-Verfügbarkeit kontrollieren

show ip ssh

So lässt sich erkennen, ob SSH auf dem Gerät aktiv ist und korrekt vorbereitet wurde.

MAC-Adresstabelle prüfen

show mac address-table

Wenn Endgeräte bereits angeschlossen sind, zeigt dieser Befehl, welche MAC-Adressen der Switch gelernt hat.

Portdetails kontrollieren

show interfaces GigabitEthernet1/0/1

Dieser Befehl liefert zusätzliche Informationen zu Duplex, Fehlern und Link-Zustand.

Beispiel für eine kompakte Grundkonfiguration

Für Einsteiger ist es oft hilfreich, die wichtigsten Schritte in einem konsistenten Beispiel zu sehen. Die folgende Basiskonfiguration ist bewusst einfach gehalten:

enable
configure terminal
hostname SW-Access-01
enable secret MeinSicheresPasswort
service password-encryption
banner motd #Unbefugter Zugriff verboten#
ip domain-name lab.local
username admin secret StarkesAdminPasswort

line console 0
 password KonsolenPasswort
 login
 exit

interface vlan 1
 ip address 192.168.1.10 255.255.255.0
 no shutdown
 exit

ip default-gateway 192.168.1.1

crypto key generate rsa
2048

line vty 0 4
 login local
 transport input ssh
 exit

interface GigabitEthernet1/0/1
 description Arbeitsplatz 1
 switchport mode access
 switchport access vlan 1
 spanning-tree portfast
 no shutdown
 exit

end
copy running-config startup-config

Diese Konfiguration stellt bereits eine solide Grundlage für ein kleines Labor oder einen Einsteiger-Switch dar.

Typische Anfängerfehler bei der Cisco-Switch-Grundkonfiguration

Gerade am Anfang treten bestimmte Fehler immer wieder auf. Wer sie kennt, spart viel Zeit bei der Fehlersuche.

Konfiguration nicht gespeichert

Ein sehr häufiger Fehler ist das Vergessen von copy running-config startup-config. Nach dem Neustart scheint dann „alles verschwunden“ zu sein.

Falscher Modus in der CLI

Viele Befehle funktionieren nur im richtigen Konfigurationsmodus. Wer etwa einen Interface-Befehl im globalen Modus eingibt, bekommt eine Fehlermeldung oder konfiguriert unbeabsichtigt etwas anderes.

Management-IP ohne aktives VLAN

Ein VLAN-Interface ist nur dann sinnvoll erreichbar, wenn das VLAN aktiv ist und mindestens ein passender Port betriebsbereit ist. Sonst bleibt das Interface unter Umständen administrativ korrekt, aber logisch nicht nutzbar.

SSH unvollständig konfiguriert

Fehlt der Domain-Name, ein Benutzer oder der RSA-Schlüssel, funktioniert SSH nicht korrekt. Einsteiger vergessen oft einen dieser Schritte.

PortFast auf falschen Ports

PortFast gehört auf Endgeräteports, nicht auf Uplinks zwischen Switches. Falsche Nutzung kann das Spanning-Tree-Verhalten unerwünscht beeinflussen.

Welche Befehle Einsteiger unbedingt kennen sollten

Für die tägliche Arbeit mit Cisco-Switches gibt es einige Grundbefehle, die fast immer benötigt werden. Diese Kommandos bilden das Fundament für Betrieb und Troubleshooting.

• enable – Wechsel in den privilegierten Modus
• configure terminal – Wechsel in den globalen Konfigurationsmodus
• show running-config – aktive Konfiguration anzeigen
• show startup-config – gespeicherte Konfiguration anzeigen
• show ip interface brief – IP-Interfaces und Status prüfen
• show interfaces status – Portstatus anzeigen
• show vlan brief – VLANs und Portzuweisungen anzeigen
• show mac address-table – gelernte MAC-Adressen prüfen
• copy running-config startup-config – Konfiguration speichern

Wer diese Befehle sicher beherrscht, hat bereits eine sehr solide Grundlage für den weiteren Umgang mit Cisco-Switches.

Warum diese Grundkonfiguration für spätere Themen so wichtig ist

Viele weiterführende Netzwerkthemen setzen eine saubere Grundkonfiguration voraus. Ohne Hostname, IP-Erreichbarkeit, gesicherten Zugriff und sinnvolle Portkonfiguration wird selbst einfaches Troubleshooting schnell unübersichtlich. Noch deutlicher wird das bei fortgeschrittenen Themen wie VLAN-Design, Trunking, STP, Port Security, EtherChannel oder Monitoring.

• Sie schafft Ordnung und Übersicht.
• Sie legt die Basis für sicheres Management.
• Sie erleichtert spätere Erweiterungen.
• Sie macht den Switch für Labor und Praxis nutzbar.
• Sie trainiert den strukturierten Umgang mit Cisco IOS.

Gerade für Einsteiger ist die Grundkonfiguration deshalb nicht nur ein Pflichtprogramm, sondern einer der wichtigsten Lernschritte überhaupt. Wer diese Basis sauber beherrscht, kann spätere Cisco-Themen deutlich schneller verstehen und in der Praxis sicherer anwenden.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.