March 3, 2026

Backup & Restore automatisieren: Cisco Konfiguration per SCP/TFTP sichern

Regelmäßige Backups der Cisco-Konfiguration sind eine der wichtigsten Betriebsmaßnahmen: Bei Hardwaretausch, Fehlkonfiguration oder Security-Incident kannst du den Router schnell wiederherstellen. In der Praxis hat sich ein automatisierter Ansatz bewährt: Konfigurationen werden versioniert auf einen Backup-Server kopiert – bevorzugt per SCP (verschlüsselt) und nur im Ausnahmefall per TFTP (unkritische Lab-Umgebung). Diese Anleitung zeigt praxistaugliche Backup- und Restore-Workflows sowie Automatisierungsoptionen direkt auf Cisco IOS.

Warum automatisierte Backups Pflicht sind

Manuelle Backups werden vergessen. Automatisierung sorgt dafür, dass du immer einen aktuellen Stand hast – und mit Versionierung kannst du Änderungen nachvollziehen.

  • Schnelle Wiederherstellung nach Ausfall oder Fehlbedienung
  • Change-Tracking und Audit (wer hat wann was geändert?)
  • Rollback auf bekannte „gute“ Konfiguration
  • Standardisierung (Templates, konsistente Ablage)

SCP vs. TFTP: Welche Methode ist wann sinnvoll?

SCP ist der Best Practice-Standard, weil es über SSH verschlüsselt läuft. TFTP ist einfach, aber unverschlüsselt und ohne Authentifizierung – daher nur in isolierten Netzen/Labs oder in sehr kontrollierten Management-Segmenten.

  • SCP: sicher (SSH), authentifiziert, produktionsgeeignet
  • TFTP: schnell und simpel, aber unverschlüsselt (Risk)
  • Empfehlung: SCP für Produktion, TFTP nur für Lab/Notfälle

Voraussetzungen: Management-Zugriff und Server vorbereiten

Für zuverlässige Backups solltest du ein Management-Netz und eine stabile Source-IP (z. B. Loopback) nutzen. Der Backup-Server muss erreichbar sein, und Firewalls müssen den Transfer erlauben.

  • Router hat Management-IP (z. B. Loopback0 oder Mgmt-VLAN)
  • Backup-Server erreichbar (Routing/ACLs)
  • SCP: TCP/22 offen, TFTP: UDP/69 offen
  • Optional: DNS/NTP für saubere Logs und Dateinamen

Reachability prüfen

Router# ping 192.168.10.50
Router# traceroute 192.168.10.50

Schritt 1: SSH/SCP auf Cisco aktivieren (für SCP Backups)

SCP setzt SSH voraus. Für produktiven Betrieb: SSHv2, lokale User oder AAA und Zugriff per VTY-ACL begrenzen.

SSHv2 Basis (Beispiel)

Router# configure terminal
Router(config)# hostname R1
Router(config)# ip domain-name lab.local
Router(config)# username backupuser privilege 15 secret Str0ngB@ckup!
Router(config)# crypto key generate rsa modulus 2048
Router(config)# ip ssh version 2
Router(config)# end

SCP Server auf Cisco aktivieren

Router# configure terminal
Router(config)# ip scp server enable
Router(config)# end

Schritt 2: Manuelles Backup per SCP (Baseline testen)

Bevor du automatisierst, teste den Transfer manuell. Das zeigt dir sofort, ob Credentials, Pfad und Erreichbarkeit stimmen. Du kannst Running-Config oder Startup-Config sichern.

Running-Config per SCP zum Server kopieren

Router# copy running-config scp:
Address or name of remote host []? 192.168.10.50
Destination username [router]? backupuser
Destination filename [running-config]? R1-running.cfg
Password: ********

Startup-Config per SCP sichern

Router# copy startup-config scp:
Address or name of remote host []? 192.168.10.50
Destination username [router]? backupuser
Destination filename [startup-config]? R1-startup.cfg
Password: ********

Schritt 3: Alternativ: Backup per TFTP (nur wenn nötig)

TFTP ist unverschlüsselt. Nutze es nur in isolierten Management-Netzen. Der Ablauf ist identisch, aber ohne User/Passwort.

Running-Config per TFTP sichern

Router# copy running-config tftp:
Address or name of remote host []? 192.168.10.60
Destination filename [running-config]? R1-running.cfg

Restore: Konfiguration zurückspielen (SCP/TFTP)

Beim Restore musst du unterscheiden: Willst du die Running-Config sofort überschreiben/mergen oder die Startup-Config setzen und neu starten? In der Praxis ist „merge in running-config“ üblich, danach kontrollieren und speichern.

Restore in Running-Config (Merge) per SCP

Router# copy scp: running-config
Address or name of remote host []? 192.168.10.50
Source username []? backupuser
Source filename []? R1-running.cfg
Password: ********

Restore als Startup-Config per SCP

Router# copy scp: startup-config
Address or name of remote host []? 192.168.10.50
Source username []? backupuser
Source filename []? R1-startup.cfg
Password: ********

Nach Restore speichern und ggf. neu starten

Router# copy running-config startup-config
Router# reload

Automatisieren auf Cisco IOS: Archive (lokal + remote)

Mit archive kannst du Konfigurationsstände automatisch versionieren und optional auf einen Remote-Server schreiben. Das ist ideal für Change-Tracking, auch wenn du zusätzlich externe Backups nutzt.

Archive aktivieren und lokale Versionen halten

Router# configure terminal
Router(config)# archive
Router(config-archive)# path flash:cfg-archive
Router(config-archive)# maximum 10
Router(config-archive)# write-memory
Router(config-archive)# end

Automatisch beim Speichern archivieren

Router# configure terminal
Router(config)# archive
Router(config-archive)# write-memory
Router(config-archive)# end

Automatisieren mit EEM: Zeitgesteuertes SCP-Backup (praxisnah)

Embedded Event Manager (EEM) kann Aktionen zeitgesteuert ausführen, z. B. täglich ein Backup anstoßen. Das ist ein einfacher On-Box-Automatismus, wenn du keine zentrale Automationsplattform nutzt.

EEM Applet: täglich um 02:00 Running-Config per SCP sichern

Router# configure terminal
Router(config)# event manager applet BACKUP_SCP_DAILY
Router(config-applet)# event timer cron cron-entry "0 2 * * *"
Router(config-applet)# action 1.0 cli command "enable"
Router(config-applet)# action 2.0 cli command "copy running-config scp://backupuser@192.168.10.50/R1-$(hostname)-running.cfg"
Router(config-applet)# end

Hinweis zur Passwort-Interaktion

Interaktive Passworteingaben sind in Automationen problematisch. In produktiven Umgebungen ist es üblich, Schlüssel/AAA-Methoden oder zentrale Tools (z. B. Ansible/RANCID/Oxidized) zu nutzen, statt Passwörter in EEM-Flows zu verarbeiten.

Best Practice: Zentrale Tools statt „nur Router-Automation“

Für größere Umgebungen sind zentrale Backup-Tools stabiler: Sie holen Konfigurationen per SSH/SCP, versionieren in Git und erzeugen Diffs. Das reduziert Risiko und vereinfacht Audits.

  • Versionierung (Git): Diff pro Change, Rollback jederzeit
  • Zentrale Credential-Verwaltung und Zugriffskontrolle
  • Einheitliche Jobs für viele Geräte

Verifikation: Ist das Backup wirklich nutzbar?

Ein Backup ist nur dann wertvoll, wenn du es wiederherstellen kannst. Prüfe regelmäßig: Dateigröße plausibel, Inhalt vollständig, Restore-Test im Lab möglich.

  • Backup-Dateien pro Gerät und Datum benennen
  • Restore-Probe in Testumgebung durchführen
  • Mindestens Startup-Config + Running-Config sichern

Router-seitige Checks

Router# show archive
Router# dir flash:
Router# show running-config | include hostname|ip domain-name

Typische Fehler und schnelle Fixes

Backup-Probleme sind häufig Erreichbarkeits- oder Rechteprobleme. Bei SCP kommt oft SSH/Key-Setup dazu; bei TFTP sind es Firewalls/UDP/69.

  • SCP: SSH nicht aktiv oder keine RSA-Keys
  • SCP: User/Pass falsch oder keine Schreibrechte am Server
  • TFTP: UDP/69 geblockt oder TFTP-Root falsch
  • Source-IP unerwartet: Firewall lässt nur Mgmt-IP zu
  • Konfig zu groß: Speicher/Quota auf Server prüfen

Quick-Checks

show ip ssh
show running-config | include ip scp server enable|archive
ping 192.168.10.50
show logging

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)