March 3, 2026

Cisco Switch Konfig-Standards: Templates für sauberen Betrieb

Saubere Konfig-Standards sind der Unterschied zwischen „Switch läuft irgendwie“ und einem stabilen, auditierbaren Netzwerkbetrieb. Mit Templates standardisierst du Naming, Security, Management-Zugriff, VLANs, Port-Profile und Logging – dadurch sinkt die Fehlerquote, Changes werden reproduzierbar und Troubleshooting wird deutlich schneller. Dieses Tutorial liefert praxistaugliche Cisco Switch Templates (IOS/IOS XE), die du direkt als Basis für Labs und produktive Umgebungen nutzen kannst.

Warum Konfig-Templates im Betrieb unverzichtbar sind

Ohne Standards entstehen über Zeit inkonsistente Settings: unterschiedliche VLAN-Namen, offene VTY-Lines, variierende STP-Policies oder fehlende Port-Security. Templates schaffen eine einheitliche „Baseline“.

  • Weniger Fehlkonfigurationen durch Wiederverwendbarkeit
  • Schnellere Inbetriebnahme (Provisioning) und Rollouts
  • Bessere Fehlersuche durch konsistente Befehle und Strukturen
  • Compliance/Audit: nachvollziehbare Security-Defaults

Grundstruktur eines Switch-Templates

Ein gutes Template trennt „Geräte-Baseline“ (global) von „Standort-/Rollenparametern“ (VLANs, Management-IP) und „Port-Profilen“ (Clients, Voice, Uplink). So bleibt es modular und skalierbar.

  • Global: Hostname, Secrets, SSH, Logging, NTP, STP-Defaults
  • Management: MGMT-VLAN, SVI, Gateway, ACLs
  • Ports: Client/Voice/Uplink/Parking als wiederholbare Profile
  • Verification: standardisierte Show-Checks

Template 1: Security- und Management-Baseline (Global)

Dieses Template setzt sichere Defaults: eindeutiger Hostname, Enable Secret, lokale Fallback-Accounts, SSH-only, Timeouts und grundlegende Schutzmaßnahmen. Passe Platzhalter an deine Umgebung an.

enable
configure terminal

hostname SW-ACCESS-01

no ip domain-lookup
service password-encryption

enable secret <SICHERES_ENABLE_SECRET>
username admin privilege 15 secret <SICHERES_PASSWORT>

banner motd ^C
Unbefugter Zugriff verboten. Nutzung wird protokolliert.
^C

ip domain-name corp.local
crypto key generate rsa modulus 2048
ip ssh version 2

line console 0
 logging synchronous
 exec-timeout 10 0
exit

line vty 0 15
 login local
 transport input ssh
 exec-timeout 10 0
 logging synchronous
exit

end

Optional: Login-Events protokollieren

Für Security und Audits sind Login-Erfolge/-Fehlschläge hilfreich. In vielen Umgebungen ist das Standard.

configure terminal
login on-success log
login on-failure log
end

Template 2: Management-VLAN, SVI und Zugriffsbeschränkung

Ein dediziertes Management-VLAN ist Best Practice. Wichtig: Das SVI wird nur up, wenn mindestens ein Port im VLAN aktiv ist oder der Uplink VLANs transportiert.

configure terminal

vlan 99
 name MGMT
exit

interface vlan 99
 ip address 192.168.99.10 255.255.255.0
 no shutdown
exit

ip default-gateway 192.168.99.1

interface gigabitEthernet 1/0/24
 description MGMT-ACCESS
 switchport mode access
 switchport access vlan 99
 spanning-tree portfast
exit

end

VTY-Zugriff per ACL nur aus Admin-Netz erlauben

So erreichst du „SSH-only und nur von Admin-Subnetzen“. Das reduziert die Angriffsfläche deutlich.

configure terminal
ip access-list standard ACL-MGMT-SSH
 permit 192.168.99.0 0.0.0.255
 deny any
exit

line vty 0 15

access-class ACL-MGMT-SSH in

exit

end

Template 3: NTP und Zeitzone (Deutschland, CET/CEST)

Korrekte Zeitstempel sind essenziell für Logs, AAA und Security-Analysen. Nutze mindestens zwei NTP-Server und ein festes Source-Interface.

configure terminal
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

ntp source vlan 99
ntp server 192.168.99.20
ntp server 192.168.99.21
end

Template 4: Syslog (zentrale Logs) mit sinnvoller Severity

Für Access-Switches ist notifications oft ein guter Kompromiss aus Signal und Log-Volumen. Setze Source-Interface und Origin-ID für klare Zuordnung.

configure terminal
no logging console
logging buffered 16384 notifications
logging source-interface vlan 99
logging origin-id hostname
logging facility local7
logging host 192.168.99.70
logging host 192.168.99.71
logging trap notifications
end

Template 5: Spanning Tree Baseline für Access-Switches

Rapid-PVST ist in vielen Campus-/Access-Designs üblich. PortFast und BPDU Guard schützen Endgeräte-Ports vor Loops und Fehlanschlüssen.

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
end

Hinweis zu Uplinks

Uplinks sollten in der Regel kein PortFast bekommen. Nutze PortFast nur dort, wo Endgeräte hängen.

Template 6: VLAN-Standard (Clients, Voice, Guest, Parking)

Ein konsistentes VLAN-Set mit klaren Namen erleichtert Betrieb und Automatisierung. Nutze ein Parking-VLAN für ungenutzte Ports.

configure terminal
vlan 10
 name CLIENTS
exit
vlan 20
 name VOICE
exit
vlan 30
 name GUEST
exit
vlan 99
 name MGMT
exit
vlan 999
 name PARKING
exit
end

Template 7: Port-Profil „Client“ (Access-Ports)

Client-Ports: Access-VLAN, PortFast, BPDU Guard und optional Storm-Control. Ergänze Description-Standards für bessere Nachvollziehbarkeit.

configure terminal
interface range gigabitEthernet 1/0/1 - 20
 description CLIENTS-FLOOR-2
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable
 storm-control broadcast level 1.00
 storm-control multicast level 1.00
exit
end

Template 8: Port-Profil „Voice + PC“

Für IP-Telefone mit dahinterliegendem PC nutzt du ein Data-VLAN (untagged) und ein Voice-VLAN (tagged). Das ist ein typischer Enterprise-Standard.

configure terminal
interface range gigabitEthernet 1/0/21 - 22
 description IP-PHONE+PC
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20
 spanning-tree portfast
 spanning-tree bpduguard enable
exit
end

Template 9: Port-Profil „Uplink/Trunk“

Uplinks sollten VLANs bewusst begrenzen. Dokumentiere die Gegenstelle, damit du in Störungen sofort den Pfad erkennst.

configure terminal
interface gigabitEthernet 1/0/48
 description TO-SW-DIST-01 Gi1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
exit
end

Optional: Native VLAN bewusst setzen

Wenn deine Umgebung eine definierte Native VLAN Policy nutzt, setze sie konsistent und dokumentiere sie. Häufig wird eine ungenutzte VLAN als Native gewählt.

configure terminal
interface gigabitEthernet 1/0/48
 switchport trunk native vlan 999
exit
end

Template 10: Unbenutzte Ports „parken“ und deaktivieren

Ungenutzte Ports sind ein Sicherheitsrisiko. Standardisiere ein Parking-VLAN und setze Ports administrativ down.

configure terminal
interface range gigabitEthernet 1/0/23 - 47
 description UNUSED-PARKED
 switchport mode access
 switchport access vlan 999
 shutdown
exit
end

Template 11: Konfig-Management (Sichern, Audit, Spickzettel)

Standards sind nur dann wirksam, wenn du sie überprüfst und versionierst. Nutze kurze Audit-Kommandos und sichere nach Changes die Startup-Config.

show version
show inventory
show ip interface brief
show interfaces status
show vlan brief
show interfaces trunk
show spanning-tree summary
show logging
show running-config | include hostname|username|ip ssh|logging|ntp|spanning-tree
copy running-config startup-config

Best Practices: So bleiben Templates langfristig „sauber“

Ein Template ist ein lebendes Dokument. Halte es schlank, modular und kompatibel zu deiner Plattform (IOS vs. IOS XE) und teste jede Änderung im Lab.

  • Platzhalter konsequent nutzen (Hostname, IPs, VLAN-IDs, Server-IP)
  • Templates rollenbasiert pflegen (Access, Distribution, Core)
  • Änderungen zuerst im Lab testen, dann in Produktion ausrollen
  • Konfig versionieren (pre-/post-change) und Diff-Reviews durchführen
  • Regelmäßig Audits: VTY/SSH, NTP, Syslog, STP, VLANs

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer