March 3, 2026

Cisco IOS Grundlagen: Die wichtigsten Befehle für Router-Admins

Cisco IOS ist die Kommandozeilen-Basis vieler Cisco Router und Switches. Wer die wichtigsten Befehle beherrscht, kann Konfigurationen schneller umsetzen, Fehler systematisch eingrenzen und den Betrieb sicherer gestalten. Dieses Tutorial bündelt die essenziellen IOS-Commands für Router-Admins – praxisnah, verständlich und sofort im Alltag einsetzbar.

Table of Contents

IOS-Modi und Navigation in der CLI

Im IOS arbeitest du in verschiedenen Modi. Jeder Modus hat einen eigenen Prompt und erlaubt nur bestimmte Befehlsarten. Für Administration und Konfiguration sind vor allem Privileged EXEC und Global Configuration relevant.

Modi wechseln und den Prompt lesen

Router> enable
Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# exit
Router(config)# end
Router# disable
  • Router> User EXEC (Basis-Commands, eingeschränkt)
  • Router# Privileged EXEC (Show/Debug, Zugriff auf Konfiguration)
  • Router(config)# Global Configuration (Gerätekonfiguration)
  • Router(config-if)# Interface-Konfiguration (port-/interfacebezogen)

Hilfe, Autovervollständigung und sichere Bedienung

Das kontextbasierte Help-System reduziert Tippfehler und beschleunigt das Lernen. Autovervollständigung per Tab und das Anzeigen möglicher Optionen mit ? sind Standard.

Router# ?
Router# show ?
Router# conf t
Router(config)# int g0/0
Router(config-if)# ?
  • Tab vervollständigt Befehle
  • ? zeigt gültige Syntax/Optionen
  • Ctrl+A/Ctrl+E springt an Zeilenanfang/-ende
  • Ctrl+R sucht in der aktuellen Zeile

Grundlegende System- und Identitätsbefehle

Eine saubere Basis-Konfiguration verbessert Lesbarkeit und Sicherheit. Dazu gehören Hostname, das Verhindern unerwünschter DNS-Lookups und eindeutige Login-Mechanismen.

Hostname, DNS-Lookup deaktivieren, Banner

Router# configure terminal
Router(config)# hostname R1
R1(config)# no ip domain-lookup
R1(config)# banner motd ^C
Unbefugter Zugriff verboten!
^C

Passwörter und lokale Benutzer

enable secret ist der Standard für den privilegierten Zugriff. Für Konsolen- und VTY-Zugänge ist ein lokaler Benutzer mit Secret empfehlenswert.

R1(config)# enable secret Str0ngEnableSecret!
R1(config)# username admin privilege 15 secret Str0ngAdminSecret!

Konfiguration anzeigen, filtern und nachvollziehen

Router-Admins prüfen ständig den Ist-Zustand. Mit show-Befehlen und Filtern findest du relevante Abschnitte in Sekunden, ohne die gesamte Konfiguration zu überfliegen.

Running- und Startup-Config

R1# show running-config
R1# show startup-config

Gezielt filtern mit include/section/begin

R1# show running-config | include hostname|username|enable
R1# show running-config | section interface
R1# show running-config | begin line vty
  • include zeigt nur Zeilen, die ein Muster enthalten
  • section zeigt einen Konfigurationsblock
  • begin startet die Ausgabe ab einer passenden Zeile

Konfigurationsänderungen sicher durchführen

Änderungen erfolgen typischerweise im Global Config Mode. Für reproduzierbare Administration ist es wichtig, Änderungen zu dokumentieren und sauber zu speichern.

Konfiguration speichern und vergleichen

R1# copy running-config startup-config
R1# write memory
R1# show archive

Konfigurationszeilen entfernen und Defaults setzen

Im IOS entfernst du Konfigurationen meist mit no. Mit default setzt du einzelne Bereiche auf Standardwerte zurück (plattformabhängig verfügbar).

R1(config)# no ip domain-lookup
R1(config)# no banner motd
R1(config)# default interface gigabitEthernet0/0

Interface-Management: Status, IP, Beschreibung

Interface-Probleme gehören zu den häufigsten Ursachen für Ausfälle. Prüfe zuerst Status, Speed/Duplex (falls relevant), IP-Adressierung und administrative Sperren.

Interface-Übersicht und Detailstatus

R1# show ip interface brief
R1# show interfaces gigabitEthernet0/0
R1# show controllers gigabitEthernet0/0

Interface konfigurieren: IP und Aktivierung

R1# configure terminal
R1(config)# interface gigabitEthernet0/0
R1(config-if)# description LAN-to-SW1
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
  • administratively down = Interface ist per Konfiguration abgeschaltet
  • down/down = meist physisch/Link (Kabel, Gegenstelle, Port)
  • up/down = oft Layer-2/Protokollthema (Encapsulation, Keepalives)

Routing-Befehle: Routing-Tabelle, Default Route, Nachbarschaften

Die Routing-Tabelle ist die zentrale Wahrheit für die Weiterleitung. Für Einsteiger ist die Default Route der Standardweg ins Upstream-Netz.

Routing-Tabelle anzeigen und interpretieren

R1# show ip route
R1# show ip route connected
R1# show ip route static

Statische Route und Default Route setzen

R1# configure terminal
R1(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
R1(config)# ip route 10.20.30.0 255.255.255.0 192.168.10.254
R1(config)# end

ARP und Nachbarschaft prüfen

R1# show arp
R1# show ip cef
R1# show adjacency

Connectivity-Tests und schnelle Diagnose

Systematisches Troubleshooting folgt einem Muster: Erreichbarkeit lokal, dann Next-Hop, dann Ziel. Tools wie Ping und Traceroute zeigen, wo Pakete stoppen.

Ping, Traceroute, DNS und Pfadprüfung

R1# ping 192.168.10.10
R1# ping 8.8.8.8 source 192.168.10.1
R1# traceroute 8.8.8.8
R1# show hosts
  • ping prüft Erreichbarkeit (ICMP Echo)
  • traceroute zeigt Hops und mögliche Engpässe
  • source hilft bei Multi-Interface-Routern (korrekte Quell-IP)

ACLs: Traffic kontrollieren und Fehler schneller finden

Access Control Lists steuern Traffic und werden oft für NAT, Management-Zugriffe oder Segmentierung genutzt. Wichtig ist die Richtung (in/out) und die richtige Interface-Zuordnung.

Standard-ACL für ein internes Subnetz (Beispiel NAT-Match)

R1# configure terminal
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
R1(config)# end

Erweiterte ACL (Beispiel: SSH nur aus Admin-Netz)

R1# configure terminal
R1(config)# ip access-list extended MGMT_SSH
R1(config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 any eq 22
R1(config-ext-nacl)# deny   tcp any any eq 22
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# exit
R1(config)# line vty 0 4
R1(config-line)# access-class MGMT_SSH in
R1(config-line)# end

ACL-Hits und Regeln prüfen

R1# show access-lists
R1# show ip interface gigabitEthernet0/0

NAT: Übersetzung verstehen und kontrollieren

NAT ist zentral, wenn private Netze ins Internet müssen. Für Router-Admins sind die Markierung von inside/outside und das Prüfen der Translations entscheidend.

NAT Overload (PAT) konfigurieren

R1# configure terminal
R1(config)# interface gigabitEthernet0/0
R1(config-if)# ip nat inside
R1(config-if)# exit
R1(config)# interface gigabitEthernet0/1
R1(config-if)# ip nat outside
R1(config-if)# exit
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
R1(config)# ip nat inside source list 10 interface gigabitEthernet0/1 overload
R1(config)# end

NAT-Status prüfen und leeren

R1# show ip nat translations
R1# show ip nat statistics
R1# clear ip nat translation *

DHCP: Adressvergabe auf dem Router

IOS kann als DHCP-Server für kleine Netze oder Lab-Umgebungen dienen. Achte auf Exclude-Adressbereiche, damit Gateway-IPs nicht vergeben werden.

DHCP-Pool konfigurieren

R1# configure terminal
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.20
R1(config)# ip dhcp pool LAN10
R1(dhcp-config)# network 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 1.1.1.1 8.8.8.8
R1(dhcp-config)# lease 1
R1(dhcp-config)# end

DHCP-Leases und Pools prüfen

R1# show ip dhcp pool
R1# show ip dhcp binding
R1# show ip dhcp server statistics

Remote-Management: SSH, Sessions, Zugriffsschutz

Für Administration ist SSH der Standard. Zusätzlich helfen Session- und Logging-Befehle, um parallele Zugriffe zu kontrollieren und Troubleshooting zu erleichtern.

SSH aktivieren

R1# configure terminal
R1(config)# ip domain-name lab.local
R1(config)# crypto key generate rsa modulus 2048
R1(config)# ip ssh version 2
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exec-timeout 10 0
R1(config-line)# logging synchronous
R1(config-line)# end

Aktive Sessions anzeigen und trennen

R1# show users
R1# show line
R1# clear line vty 0

Logging, Uhrzeit und Betriebszustand

Saubere Logs sind entscheidend, wenn du Ursachen rekonstruieren musst. Uhrzeit/Synchronisation und das gezielte Anzeigen von Logs gehören zur Basisausstattung.

Logs anzeigen und Puffergröße setzen

R1# show logging
R1# configure terminal
R1(config)# logging buffered 16384
R1(config)# service timestamps log datetime msec
R1(config)# end

Uhrzeit, NTP und Geräteinfos

R1# show clock
R1# configure terminal
R1(config)# ntp server 192.0.2.10
R1(config)# end
R1# show ntp status
R1# show version

Debugging: gezielt einsetzen, Risiko minimieren

debug kann sehr detailliert sein und CPU/Console belasten. Nutze Debugs möglichst kurz, mit klarer Fragestellung, und deaktiviere sie sofort nach der Analyse.

Wichtige Debug- und Kontrollbefehle

R1# terminal monitor
R1# debug ip icmp
R1# undebug all
R1# show processes cpu sorted
  • terminal monitor zeigt Logs in SSH/Telnet-Sessions
  • undebug all beendet alle Debugs sofort
  • show processes cpu prüft Lastspitzen während Debug

Konfigurations-Backups und Dateioperationen

IOS arbeitet mit Flash, TFTP/SCP/FTP (plattformabhängig) und unterstützt das Kopieren von Konfigurationen. Ein standardisiertes Backup reduziert Risiko bei Änderungen.

Grundlegende Copy- und Dir-Befehle

R1# dir flash:
R1# copy running-config startup-config
R1# copy startup-config flash:startup_backup.cfg

Remote-Backup (Beispiel TFTP, abhängig von Umgebung)

R1# copy running-config tftp:
Address or name of remote host []? 192.0.2.20
Destination filename [r1-confg]? R1_running_2026-03-02.cfg

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)