Cisco-Router-Konfiguration für KMU: Kosteneffiziente Lösung, die trotzdem sicher ist

Eine Cisco-Router-Konfiguration für KMU muss zwei Ziele gleichzeitig erfüllen: Sie soll kosteneffizient sein und dennoch ein solides Sicherheitsniveau bieten. Das gelingt am besten mit einem klaren Standard-Template („Golden Config“), minimaler, aber wirksamer Segmentierung, sauberem Monitoring und einem einfachen, reproduzierbaren Betriebsablauf. Dieser Leitfaden zeigt, welche Bausteine für kleine und mittlere Unternehmen wirklich Pflicht sind, wo Sie bewusst sparen können und wie eine praxistaugliche Basiskonfiguration aussieht.

KMU-Anforderungen realistisch definieren

KMU-Netze sind häufig nicht „klein“, sondern nur „schlank betrieben“: wenige IT-Ressourcen, aber viele Anforderungen (VPN, VoIP, Cloud, Filialen). Kosteneffizienz entsteht, wenn Sie Scope und Standards vorab festlegen, statt individuelle Sonderlösungen zu bauen.

• Internet/WAN: Single-WAN oder Dual-WAN (kritische Standorte)
• LAN: 2–4 Segmente statt „alles in einem Netz“
• Sicherheit: SSH-only, Management-Restriktionen, Logging, SNMPv3
• VPN: Site-to-Site zur Zentrale/Cloud oder Remote Access für Admins
• Betrieb: Backups, Pre-/Post-Checks, minimale Alarmierung

Wo KMU kostenbewusst sparen können – ohne Sicherheit zu verlieren

Die teuersten Fehler entstehen, wenn an den falschen Stellen gespart wird (z. B. kein Logging, offene Management-Zugriffe). Sparen lohnt sich bei Komplexität, die keinen Business-Mehrwert liefert.

• Sparen: keine unnötigen Protokolle (BGP/VRF/ZBFW) ohne Anforderung
• Sparen: klare Standardsegmente statt „Mikrosegmentierung“
• Sparen: Templates/Standardisierung statt individueller Konfig pro Standort
• Nicht sparen: Management-Sicherheit, Logging/NTP, Backup/Restore
• Nicht sparen: No-NAT für VPN, Failover-Tests (wenn Dual-WAN vorhanden)

Mindest-Sicherheitsstandard für KMU (Pflichtbausteine)

Ein KMU-Router muss vor allem sicher administrierbar sein. Die meisten Sicherheitsvorfälle beginnen mit offenen Management-Ports oder schwachen Credentials. Mit wenigen, konsequenten Einstellungen erreichen Sie ein robustes Baseline-Niveau.

• SSH-only, Telnet/HTTP deaktiviert
• Management-Zugriff nur aus Management-Netz (Access-Class)
• Lokaler Admin mit „secret“ und sinnvollen Timeouts
• NTP + zentrale Syslog-Logs (Incident-Nachvollziehbarkeit)
• SNMPv3 (oder konsequent kein SNMP)

Beispiel: KMU-Hardening-Baseline (kompakt)

hostname R1-KMU
no ip domain-lookup
service password-encryption
no ip http server
no ip http secure-server
ip domain-name example.local

username netadmin privilege 15 secret 
crypto key generate rsa modulus 2048

ip ssh version 2
ip access-list standard MGMT_ONLY

permit 10.10.99.0 0.0.0.255

deny   any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0
service timestamps log datetime msec

ntp server 192.0.2.10 prefer

logging host 192.0.2.20

logging trap informational

Segmentierung für KMU: Wenige VLANs, großer Effekt

Statt „alles im gleichen Netz“ reichen oft drei Rollen-VLANs: Users, Guest, IoT/Printer. Das reduziert Sicherheitsrisiken und erleichtert Policy-Umsetzung. Wichtig ist ein konsistenter IP-Plan pro Rolle.

• VLAN10-USERS: Mitarbeitergeräte und produktive Systeme
• VLAN30-GUEST: nur Internet, kein Zugriff auf interne Netze
• VLAN40-IOT: eingeschränkter Zugriff (z. B. nur zu Print/Cloud)

Subnetting-Orientierung für kleine Segmente

Für kleine VLANs (Voice/IoT) ist /26 oft ausreichend: 64 Adressen, 62 nutzbar. So bleiben Broadcast-Domänen klein, ohne den IP-Plan unnötig zu verkomplizieren.

$2^6=64$

Beispiel: Router-on-a-Stick für KMU-VLANs

interface GigabitEthernet0/1
 description LAN-TRUNK-to-SW1
 no shutdown
interface GigabitEthernet0/1.10

description VLAN10-USERS

encapsulation dot1Q 10

ip address 10.10.10.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.30

description VLAN30-GUEST

encapsulation dot1Q 30

ip address 10.10.30.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.40

description VLAN40-IOT

encapsulation dot1Q 40

ip address 10.10.40.1 255.255.255.192

ip nat inside

Internet für KMU: NAT/PAT als Standard, No-NAT für VPN als Pflicht

Die meisten KMU nutzen private Netze und benötigen NAT Overload. Wenn ein Site-to-Site VPN vorhanden ist, muss VPN-Traffic vom NAT ausgenommen werden, sonst entstehen sporadische Probleme.

Beispiel: NAT Overload für mehrere interne Netze

interface GigabitEthernet0/0
 description WAN-ISP
 ip address 198.51.100.2 255.255.255.252
 ip nat outside
 no shutdown
ip route 0.0.0.0 0.0.0.0 198.51.100.1
ip access-list standard NAT_INSIDE

permit 10.10.10.0 0.0.0.255

permit 10.10.30.0 0.0.0.255

permit 10.10.40.0 0.0.0.63
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

Erwartete Ergebnisse

• Clients aus den freigegebenen Netzen erreichen das Internet
• NAT-Translations erscheinen bei aktivem Traffic
• Fehlerbild bei falschem NAT: keine Translations, oder nur Teilnetze funktionieren

Guest-Sicherheit: Günstig, aber wirksam

Eine einfache ACL auf dem Guest-Interface verhindert, dass Gäste interne Netze erreichen. Das ist kosteneffizient und erhöht die Sicherheit deutlich.

Beispiel: Guest darf nicht in interne Netze

ip access-list extended ACL-GUEST-IN
 deny ip 10.10.30.0 0.0.0.255 10.10.0.0 0.0.255.255
 permit ip 10.10.30.0 0.0.0.255 any
interface GigabitEthernet0/1.30

ip access-group ACL-GUEST-IN in

VPN für KMU: Einfach halten, aber sauber testen

Für KMU ist Site-to-Site IPsec (IKEv2) oft ausreichend, um Zentrale/Cloud oder MSP zu erreichen. Wichtig sind konsistente Kryptoprofile, MTU/MSS und klare Abnahmechecks.

• IKEv2 bevorzugen, standardisierte Kryptoprofile verwenden
• MTU/MSS beachten (VPN-Overhead)
• Monitoring: Status der SAs und Paketzähler im Blick

VPN-Checks als KMU-SOP

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

Monitoring für KMU: Minimalset, das echten Nutzen bringt

KMU brauchen kein komplexes NOC, aber sie brauchen Sichtbarkeit. Mindestens Syslog und eine sichere SNMP-Abfrage ermöglichen schnelle Fehleranalyse und proaktives Erkennen von Link-Problemen.

• Syslog zentral (auch für Audit/Incident Response)
• SNMPv3 für CPU, Memory, Interface-Status, Errors
• Alerting: WAN down, Interface-Flaps, CPU dauerhaft hoch

Beispiel: SNMPv3 Minimalstandard

snmp-server group NMS v3 priv
snmp-server user snmpmon NMS v3 auth sha <AUTH> priv aes 128 <PRIV>
snmp-server location "KMU-SITE-01"

Betriebs-SOP für KMU: Pre-/Post-Checks und Backups

Eine kurze SOP spart im Störungsfall Zeit und reduziert Change-Risiko. Für KMU reicht oft ein Standard-Runbook mit wenigen, reproduzierbaren Kommandos.

Pre-Check Snapshot (vor Änderungen)

show clock
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show logging | last 50
show processes cpu sorted

Post-Checks (nach Änderungen)

show ip interface brief
show ip nat statistics
show ip nat translations
ping 8.8.8.8 repeat 10
traceroute 1.1.1.1

Konfiguration sichern (Pflicht nach Change)

copy running-config startup-config

Praxis-Template: Kosteneffiziente KMU-Gesamtkonfiguration (Auszug)

Dieses Muster bündelt typische KMU-Bausteine: Hardening, WAN, NAT, Syslog/NTP, VLANs. Es ist als Startpunkt gedacht und muss an Ihre Netze, Management-IPs und Policies angepasst werden.

hostname R1-KMU
no ip domain-lookup
service password-encryption
no ip http server
no ip http secure-server

ip domain-name example.local
username netadmin privilege 15 secret <SECRET>
crypto key generate rsa modulus 2048
ip ssh version 2

ip access-list standard MGMT_ONLY
 permit 10.10.99.0 0.0.0.255
 deny   any

line vty 0 4
 transport input ssh
 access-class MGMT_ONLY in
 login local
 exec-timeout 10 0

service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational

interface GigabitEthernet0/0
 description WAN-ISP
 ip address 198.51.100.2 255.255.255.252
 ip nat outside
 no shutdown

ip route 0.0.0.0 0.0.0.0 198.51.100.1

interface GigabitEthernet0/1
 description LAN-TRUNK-to-SW1
 no shutdown

interface GigabitEthernet0/1.10
 description VLAN10-USERS
 encapsulation dot1Q 10
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1.30
 description VLAN30-GUEST
 encapsulation dot1Q 30
 ip address 10.10.30.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1.40
 description VLAN40-IOT
 encapsulation dot1Q 40
 ip address 10.10.40.1 255.255.255.192
 ip nat inside

ip access-list standard NAT_INSIDE
 permit 10.10.10.0 0.0.0.255
 permit 10.10.30.0 0.0.0.255
 permit 10.10.40.0 0.0.0.63

ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.