Ein Campus-Design auf Expert-Level ist kein Sammelsurium aus Features, sondern eine saubere Architektur mit klaren Rollen: Access liefert Portdichte und Edge-Security, Distribution bildet den Policy- und Routing-Kern pro Standort/Building, und Core ist ein schnelles, möglichst „dummes“ Backbone mit maximaler Stabilität. Der Unterschied zwischen „läuft irgendwie“ und „läuft auch bei Fehlern“ liegt in wenigen, konsequent durchgezogenen Designentscheidungen: Wo endet Layer 2? Wo sitzt das Default Gateway? Wie werden Uplinks redundant? Wie werden STP, EtherChannel, First-Hop-Redundanz, QoS und Management-Plane integriert, ohne Komplexität zu explodieren?
Architekturprinzipien: Rollen klar trennen statt alles überall
Die klassische 3-Tier-Architektur ist auch heute relevant, wenn du große Layer-2-Domänen und instabile Fehlerdomänen vermeiden willst. Moderne Varianten (Collapsed Core, Stack/Virtual Chassis, Fabric) ändern die Umsetzung, nicht die Grundprinzipien.
- Access: Endgeräte, PoE, Edge-Security, möglichst wenig „Intelligenz“
- Distribution: Layer-3 Boundary, SVIs/Gateways, Policies, Aggregation
- Core: schnelles L3-Backbone, minimale Policies, maximale Verfügbarkeit
Merksatz
Komplexität gehört nach unten (Access-Edge-Security) und nach oben (Distribution-Policy). Der Core bleibt so simpel wie möglich.
Layer-2 vs. Layer-3 Boundary: Wo du bewusst „abschneidest“
Die wichtigste Campus-Entscheidung ist, wo Layer 2 endet. Je größer die L2-Domäne, desto höher das Risiko für Loops, MAC-Flapping, Broadcast-Stürme und schwieriges Troubleshooting. Expert-Level Designs terminieren L2 möglichst früh und routen möglichst viel.
- Access → Distribution: häufig L2 (VLANs) bis zur Distribution, dort L3 (SVIs)
- Distribution → Core: immer L3 (routed Links)
- Große VLANs über mehrere Buildings vermeiden (Fehlerdomäne wächst)
Pragmatische Faustregel
VLANs gehören in eine Standort-/Building-Domäne. Inter-Building ist L3.
Access-Design: Standardisierte Edge-Ports, sichere Defaults, stabile Uplinks
Access-Switches sind operativ am lautesten: viele Moves/Adds/Changes, viele Endgeräte, viele Fehlerquellen. Standardisierung ist hier entscheidend: Portprofile, Parking VLAN, PoE-Standards und konsequente L2-Security.
- Ports explizit Access/Voice, kein DTP, kein VLAN 1 für User/Management
- Unbenutzte Ports: Parking VLAN + shutdown
- Edge STP: PortFast + BPDU Guard als Default
- Storm Control als Notanker (Broadcast/Multicast/Unknown-Unicast)
- DHCP Snooping + DAI + IPSG (je nach Client-Landschaft)
Access-Baseline (Beispiel)
configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
ip dhcp snooping
ip dhcp snooping vlan 10,20,30
ip arp inspection vlan 10,20,30
end
Uplink-Design: Redundanz ohne STP-Chaos
Uplinks entscheiden über Stabilität. Zwei Einzeltrunks mit STP-Blocking sind funktional, aber weniger effizient und oft „lauter“ (TCNs, Failover). Expert-Level Designs nutzen LACP-Port-Channels, um Redundanz als einen logischen Link zu betreiben.
- Access → Distribution: LACP Port-Channel (MEC/MLAG/Stack-Variante, wenn möglich)
- Trunks whitelisten (Allowed VLANs), Native VLAN ungenutzt
- Keine dynamischen Trunks (DTP aus)
Uplink-Port-Channel (Beispiel)
configure terminal
vlan 999
name NATIVE-UNUSED
exit
interface range gigabitEthernet 1/0/47 - 48
description UPLINK-LACP
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,30,99
switchport nonegotiate
channel-group 1 mode active
exit
interface port-channel 1
description UPLINK-LACP
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,30,99
end
Distribution-Design: Default Gateways, Routing und Policy-Point
Distribution ist das Herz des Campus. Hier terminierst du VLANs (SVIs), setzt Default Gateways und implementierst Policies (ACLs, QoS, Segmentation). Gleichzeitig muss die Distribution hochverfügbar sein, typischerweise als redundantes Paar.
- SVIs pro VLAN in der Distribution
- First-Hop Redundancy (HSRP/VRRP) pro VLAN
- Routing zum Core über L3 Links (ECMP möglich)
- Policy: Inter-VLAN ACLs, DHCP Relay, QoS Edge/Trust
SVI + Default Gateway Konzept (Beispiel VLAN 10)
configure terminal
interface vlan 10
ip address 10.10.10.2 255.255.255.0
standby 10 ip 10.10.10.1
standby 10 priority 110
standby 10 preempt
end
DHCP Relay (wenn DHCP zentral)
configure terminal
interface vlan 10
ip helper-address 10.1.99.100
end
Core-Design: L3-Backbone, minimale Features, maximale Stabilität
Der Core soll schnell konvergieren, wenig stateful sein und bei Fehlern deterministisch reagieren. Keine großen ACLs, kein NAT, keine komplexen Policies. Der Core ist Transit – Routing und Redundanz, sonst wenig.
- L3 only, keine VLANs „durch den Core“
- ECMP möglich, klare IGP-Strategie
- Fast Convergence, saubere Link- und Device-Redundanz
- Minimaler Feature-Scope (wenig Angriffs- und Fehlerfläche)
Spanning Tree Strategie: Root Placement und Guarding
Auch wenn du L2 früh terminierst, bleibt STP im Access-Block relevant. Expert-Level Design heißt: Root Bridge bewusst festlegen (Distribution), Access nie Root werden lassen, Guards konsequent setzen.
- Root Primary/Secondary in der Distribution
- Root Guard auf Downlinks Richtung Access (Distribution-Seite)
- BPDU Guard auf Edge-Ports
- Loop Guard default, UDLD auf kritischen Fiber-Uplinks
STP Root Placement (Beispiel, konzeptionell)
configure terminal
spanning-tree vlan 10 root primary
spanning-tree vlan 10 root secondary
end
First-Hop Redundanz: HSRP/VRRP und L3-Design sauber koppeln
HSRP/VRRP löst nur den Default-Gateway-Ausfall. Für echtes Design musst du es mit Routing, Uplink-Redundanz und Load-Sharing koppeln. Typisch ist per-VLAN Load-Sharing: VLANs auf zwei Distribution-Switches verteilt, um Links und Hardware auszunutzen.
- HSRP/VRRP pro VLAN
- Preempt kontrolliert (nicht aggressiv ohne Delay)
- Tracking von Uplink-Status, damit Gateway bei Uplink-Ausfall sinnvoll wechselt
- Load-Sharing: VLAN 10 aktiv auf Dist-A, VLAN 20 aktiv auf Dist-B
HSRP Tracking (Beispiel)
configure terminal
track 1 interface port-channel 10 line-protocol
interface vlan 10
standby 10 track 1 decrement 20
end
QoS im Campus: Trust Boundary am Access, Engpässe an Uplinks
QoS scheitert im Campus meist an falschem Trust. Expert-Level heißt: Trust Boundary am Access-Port, nur vertrauenswürdige Geräte (Phones/APs), und Uplink-Queueing so, dass Voice/Video bei Congestion stabil bleibt.
- Trust nur für IP-Telefone (CoS/DSCP), Clients nicht
- Uplinks dimensionieren (LACP) bevor QoS „retten“ muss
- Monitoring auf Drops/Queues statt nur auf Durchsatz
Management-Plane und Betrieb: Design ist ohne Operations wertlos
Ein Expert-Level Campus ist operativ kontrollierbar: Management-VLAN/VRF, AAA, SNMPv3, Syslog, NTP, Backups, Standards und Automation. Das verhindert Drift und beschleunigt Incident-Response.
- MGMT-VLAN/VRF, SSH-only, VTY-ACL, AAA
- Syslog zentral, NTP standardisiert, Zeitstempel mit msec
- SNMPv3 für Monitoring, klare Polling-Strategie
- Backups automatisiert (SCP), Konfig-Templates und Diffs
Operations Health-Check Block
show clock
show ntp status
show logging
show interfaces counters errors
show interfaces trunk
show etherchannel summary
show spanning-tree root
show processes cpu sorted
show inventory
Failure Domains und Skalierung: Wie du Ausfälle „klein“ hältst
Skalierbarkeit im Campus bedeutet nicht nur mehr Ports, sondern kleinere Fehlerdomänen. Expert-Level Designs begrenzen Broadcast-Domänen, reduzieren L2-Stretching und bauen redundante, aber deterministische Pfade.
- VLANs pro Standort/Building begrenzen
- Routing zwischen Domänen, kein L2 über den Core
- Redundante Pfade als Port-Channel/ECMP statt STP-Blocking
- Klare Root- und Gateway-Placement Regeln
Typische Design-Fehler (und warum sie später teuer werden)
Viele Campus-Probleme sind vorhersehbar. Diese Fehler kosten später am meisten Zeit, weil sie nicht mit „ein paar Befehlen“ zu fixen sind.
- Große L2-Domänen über mehrere Gebäude
- Trunks mit „allow all“ und Native VLAN 1
- Uplinks als Einzeltrunks mit STP-Blocking statt LACP
- Keine konsequente STP-Guard Strategie
- Management ohne NTP/Syslog/Backups (kein Audit-Trail)
Design-Checkliste: Access–Distribution–Core in einem Blick
- Access: Edge-Security, standardisierte Ports, PoE, LACP-Uplinks
- Distribution: SVIs, HSRP/VRRP, Policies, Root Bridge, L3 zum Core
- Core: L3 Transit, minimaler Feature-Scope, ECMP/IGP stabil
- STP: Root geplant, Guards konsequent
- Trunks: VLAN-Whitelist, Native VLAN ungenutzt, DTP aus
- Operations: NTP/Syslog/SNMPv3/Backups/Automation standardisiert
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
