Cisco-Router-Konfiguration für 5 Standorte: Schnelles Template-Rollout

Ein schneller Rollout für 5 Standorte gelingt nur mit konsequenter Standardisierung: ein Golden Template (fixe Baseline), ein Variablenblatt pro Standort (SiteID, WAN-Parameter, Netze) und ein identischer Abnahmeprozess. Damit reduzieren Sie Konfigurationsdrift, verkürzen Change-Fenster und können Standorte wie „Copy/Paste mit Kontrolle“ ausrollen. Dieser Leitfaden zeigt ein praxistaugliches Template-Modell für Cisco-Router, inklusive IP-Schema, Standardparameter, Rollout-Ablauf und CLI-Bausteinen für Verifikation.

Rollout-Strategie: Golden Template + Standortvariablen

Für 5 Standorte ist der größte Zeitgewinn die Trennung in „immer gleich“ und „pro Standort unterschiedlich“. Alles, was gleich ist, gehört ins Golden Template. Alles, was sich ändert, kommt in ein Variablenblatt.

• Golden Template: Hardening, NTP/Syslog, Standard-VLANs, Standard-ACLs, Standard-Checks
• Variablen: Hostname, SiteID, WAN-IP/Gateway, VLAN-IP-Blöcke, VPN-Peer, optional Dual-WAN
• Versionierung: Template-Version + Standort-Version (pre/post) mit Ticket-ID
• Review: einmal Template reviewen, danach nur Variablen prüfen

IP-Plan-Standard: SiteID + Rollen-VLANs

Ein einfaches Schema beschleunigt Rollouts enorm. Für Filialen ist „10.<SiteID>.<VLAN>.0“ leicht zu merken und gut zu dokumentieren. So bleibt VLAN20 überall Users, VLAN50 überall Guest.

• VLAN10-MGMT: 10.<SiteID>.10.0/24, GW .1
• VLAN20-USERS: 10.<SiteID>.20.0/24, GW .1
• VLAN50-GUEST: 10.<SiteID>.50.0/24, GW .1
• Optional VLAN40-IOT: 10.<SiteID>.40.0/26, GW .1

Subnetting-Hinweis: /26 für IoT/Voice

Ein /26 liefert 64 Adressen (62 nutzbar) und ist für viele kleine Segmente ausreichend.

$2^6=64$

Standard-VLANs und Policies: Minimal, aber wirksam

Für 5 Standorte lohnt sich ein kleines Standardset. Wichtig ist, dass Guest überall gleich isoliert ist und Management überall gleich abgesichert ist. Dadurch wird Support standortübergreifend identisch.

• Guest: nur Internet, keine internen Netze
• Management: SSH-only, Zugriff nur aus VLAN10-MGMT
• Optional IoT: nur definierte Ziele/Ports

Golden Template: Security-Baseline (fix, überall gleich)

Hardening und Auditfähigkeit sind Pflichtbestandteile. Diese Konfiguration sollte in jedem Standort identisch sein. Werte wie Domain oder Syslog-IP sind nur dann variabel, wenn Sie unterschiedliche Systeme pro Standort haben.

Beispiel: Baseline (Template-Baustein)

no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local

username netadmin privilege 15 secret 

crypto key generate rsa modulus 2048

ip ssh version 2
ip access-list standard MGMT_ONLY

permit 10.SITEID.10.0 0.0.0.255

deny   any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0
service timestamps log datetime msec

ntp server 192.0.2.10 prefer

logging host 192.0.2.20

logging trap informational

Golden Template: VLAN-Gateways (Router-on-a-Stick)

Wenn die Standorte klassische Filialnetze sind, ist Router-on-a-Stick häufig ausreichend. Der Trunk bleibt gleich, nur die IPs ändern sich pro SiteID.

Beispiel: VLAN-Gateways (Template mit SiteID-Platzhalter)

interface GigabitEthernet0/1
 description LAN-TRUNK-to-SW1-SITE<SITEID>
 no shutdown
interface GigabitEthernet0/1.10

description VLAN10-MGMT-SITE

encapsulation dot1Q 10

ip address 10..10.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.20

description VLAN20-USERS-SITE

encapsulation dot1Q 20

ip address 10..20.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.50

description VLAN50-GUEST-SITE

encapsulation dot1Q 50

ip address 10..50.1 255.255.255.0

ip nat inside

Standortvariablen: WAN und NAT (pro Standort unterschiedlich)

WAN ist fast immer variabel: IP/Gateway, VLAN-Tagging, MTU, PPPoE. NAT bleibt templatebasiert, aber die Quellnetze folgen dem SiteID-Schema und können automatisiert erzeugt werden.

Beispiel: WAN-Block (Variablen)

interface GigabitEthernet0/0
 description WAN-ISP-SITE<SITEID>-CID<CIRCUITID>
 ip address <WAN_IP> <WAN_MASK>
 ip nat outside
 no shutdown
ip route 0.0.0.0 0.0.0.0 

Beispiel: NAT-Block (Template mit SiteID)

ip access-list standard NAT_INSIDE
 permit 10.<SITEID>.20.0 0.0.0.255
 permit 10.<SITEID>.50.0 0.0.0.255
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

Policy-Baustein: Guest isolieren (Template)

Diese Policy ist in Filialen ein Pflichtstandard. Sie wird inbound am Guest-VLAN angewendet und blockiert interne Netze.

Beispiel: Guest-ACL (Template)

ip access-list extended ACL-GUEST-IN
 deny ip 10.<SITEID>.50.0 0.0.0.255 10.0.0.0 0.255.255.255
 deny ip 10.<SITEID>.50.0 0.0.0.255 172.16.0.0 0.15.255.255
 deny ip 10.<SITEID>.50.0 0.0.0.255 192.168.0.0 0.0.255.255
 permit ip 10.<SITEID>.50.0 0.0.0.255 any
interface GigabitEthernet0/1.50

ip access-group ACL-GUEST-IN in

Optional: VPN zur Zentrale (wenn Standorte angebunden werden müssen)

Wenn die Standorte per Site-to-Site VPN an die Zentrale angebunden werden, ist Standardisierung noch wichtiger: gleiche Kryptoprofile, gleiche Checks, No-NAT verpflichtend. Die Peers und lokalen Netze sind variabel.

VPN-Checks (Runbook)

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

Rollout-Ablauf: 5 Standorte in Wellen (praktisch)

Ein schneller Rollout gelingt, wenn Sie zuerst ein Pilot-Setup (1 Standort) vollständig abnehmen und erst dann die übrigen 4 Standorte in einer zweiten Welle ausrollen. So vermeiden Sie, dass ein Template-Fehler fünfmal repliziert wird.

• Welle 1 (Pilot): Standort 1 vollständig (Pre-/Post-Checks, UAT, Doku)
• Template-Freeze: Template-Version fixieren, Änderungen dokumentieren
• Welle 2: Standorte 2–5 nach identischer SOP
• Drift-Control: Soll/Ist-Abgleich je Standort nach Abschluss

Abnahme je Standort: Standard-Checkliste (Copy/Paste)

Jeder Standort wird mit dem gleichen Checkset abgenommen. Dadurch sind Ergebnisse vergleichbar und Support kann schneller Muster erkennen.

Post-Checks (Mindestset)

show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show logging | last 50
show ntp status
ping 8.8.8.8 repeat 10
traceroute 1.1.1.1

Dokumentation: Was nach dem Rollout pro Standort abgelegt wird

Der Rollout ist erst abgeschlossen, wenn die Artefakte pro Standort versioniert abgelegt sind. Das reduziert Incidents und macht spätere Changes sicher.

• Konfig pre/post (running/startup), Template-Version, Variablenblatt
• IP-/VLAN-Plan und Interface-Plan
• Abnahmeprotokoll (Outputs, UAT-Ergebnisse)
• Rollback-Plan und Notfallzugang

Finale Sicherung (Pflicht)

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.