Dedicated Internet Access (DIA) ist ein Business-Internetanschluss mit definierter Bandbreite, SLA und klarer Provider-Übergabe. Damit DIA im Unternehmensbetrieb wirklich stabil und sicher läuft, reicht „Interface + Default-Route“ nicht aus. Das richtige Cisco-Router-Setup umfasst saubere WAN-Übergabe, kontrolliertes NAT, Security-Hardening, zuverlässiges Monitoring (NTP/Syslog/IP SLA), optional BGP (bei eigenem ASN/Präfixen) und eine Abnahme, die Latenz/Loss sowie Failover-Verhalten objektiv nachweist. Dieser Leitfaden zeigt ein praxistaugliches DIA-Referenzdesign.
DIA-Grundlagen: Was den Anschluss technisch ausmacht
DIA wird typischerweise als Ethernet-Hand-off geliefert (L3), oft mit statischer IP oder eBGP. Der entscheidende Unterschied zu „Consumer Internet“ ist die planbare Übergabe und die Erwartung an Betrieb und Verfügbarkeit.
- Ethernet-Hand-off (meist L3), klare Provider-Gateway-IP
- Statische IPs oder BGP für Routing (abhängig von Vertrag/Design)
- SLA: Verfügbarkeit, Paketverlust, Latenz, Entstörzeiten
- Optionen: Dual-ISP, DDoS-Optionen, zusätzliche öffentliche Präfixe
Voraussetzungen: Welche Providerdaten vorliegen müssen
Das DIA-Setup steht und fällt mit vollständigen Übergabedaten. Klären Sie die Parameter vor dem Change-Fenster, sonst entstehen Verzögerungen und Fehlannahmen.
- WAN-IP/Subnetz, Provider-Gateway, ggf. zusätzliche statische Routen
- VLAN-Tagging ja/nein, ggf. QinQ
- MTU und Providerbesonderheiten
- Bandbreite/CIR und ggf. Policing-Verhalten
- BGP (falls genutzt): Peer-IP, Remote-ASN, Auth, max-prefix, akzeptierte Präfixe
Baseline: Security und Management (Pflicht vor produktiver Übergabe)
Ein DIA-Anschluss exponiert Ihr Edge-Device stärker. Daher ist Admin-Zugriffssicherheit Pflicht: SSH-only, Managementzugriff begrenzt, unnötige Services aus, Zeitstempel/Logs aktiv.
Beispiel: Hardening-Baseline (kompakt)
hostname R1-DIA-EDGE01
no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local
username netadmin privilege 15 secret
crypto key generate rsa modulus 2048
ip ssh version 2
ip access-list standard MGMT_ONLY
permit 10.30.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
login local
exec-timeout 10 0
WAN-Konfiguration: Interface, Default-Route und saubere Descriptions
Beim DIA-Hand-off ist Klarheit entscheidend: Interface-Description mit Circuit-ID, korrekte IP, korrekte Default-Route. Zusätzlich sollten Sie auf dem WAN-Interface unnötige Discovery-Funktionen deaktivieren.
Beispiel: WAN-Interface und Default-Route
interface GigabitEthernet0/0
description DIA-ISP-CID12345-PRIMARY
ip address 198.51.100.2 255.255.255.252
no cdp enable
ip nat outside
no shutdown
ip route 0.0.0.0 0.0.0.0 198.51.100.1
WAN-Verifikation
show ip interface brief
show ip route 0.0.0.0
show ip arp | include 198.51.100.1
ping 198.51.100.1NAT: Kontrolliert, dokumentiert, testbar
In vielen Unternehmen liegt NAT am Router (PAT/Overload). Wichtig ist, dass nur die vorgesehenen internen Netze NAT nutzen und dass VPN-/Private-WAN-Traffic (falls vorhanden) sauber per No-NAT ausgeschlossen wird.
Beispiel: NAT Overload für definierte Netze
ip access-list standard NAT_INSIDE
permit 10.30.20.0 0.0.1.255
permit 10.30.50.0 0.0.1.255
interface GigabitEthernet0/1
description LAN-UPLINK
ip nat inside
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload
NAT-Verifikation
show ip nat statistics
show ip nat translationsBasis-Policies: Guest und Management schützen (Minimum)
Auch beim DIA-Edge sollten interne Segmente geschützt sein. Gäste dürfen nicht ins interne Netz, und Management darf nicht aus Users/Guest erreichbar sein. Diese Policies sind minimal, aber hochwirksam.
Beispiel: Guest intern blockieren
ip access-list extended ACL-GUEST-IN
deny ip 10.30.50.0 0.0.1.255 10.0.0.0 0.255.255.255
deny ip 10.30.50.0 0.0.1.255 172.16.0.0 0.15.255.255
deny ip 10.30.50.0 0.0.1.255 192.168.0.0 0.0.255.255
permit ip 10.30.50.0 0.0.1.255 anyMonitoring: NTP, Syslog, IP SLA (DIA ohne Sichtbarkeit ist teuer)
DIA wird meist mit SLA verkauft – das können Sie nur prüfen, wenn Sie Latenz/Loss messen und Events zentral loggen. NTP und Syslog sind Pflicht, IP SLA ist der pragmatische Mindeststandard für Pfadüberwachung.
Beispiel: NTP + Syslog
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging host 192.0.2.20
logging trap informationalBeispiel: IP SLA für Pfadqualität (Path-Down Erkennung)
ip sla 10
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
frequency 5
timeout 1000
ip sla schedule 10 life forever start-time nowMonitoring-Verifikation
show ntp status
show logging | last 50
show ip sla statisticsOptional: BGP auf DIA (wenn eigenes ASN/Präfixe oder Dual-ISP)
BGP ist sinnvoll, wenn Sie eigene öffentliche Präfixe announcen, Inbound/Outbound steuern oder Dual-ISP sauber betreiben. Mindeststandard sind Outbound-Filter und Prefix-Limits, damit keine Routenleaks entstehen.
Beispiel: BGP-Gerüst mit Filterpflicht (Konzept)
ip prefix-list OUT-PFX seq 10 permit 203.0.113.0/24
ip prefix-list OUT-PFX seq 99 deny 0.0.0.0/0 le 32
route-map RM-OUT permit 10
match ip address prefix-list OUT-PFX
router bgp 65010
bgp log-neighbor-changes
neighbor 192.0.2.1 remote-as 65001
neighbor 192.0.2.1 description DIA-PEER
neighbor 192.0.2.1 route-map RM-OUT out
neighbor 192.0.2.1 maximum-prefix 100000 90 restart 5
Optional: Dual-DIA/Backup-Internet (Failover ohne Überraschungen)
Wenn DIA redundant ist (zweiter ISP oder LTE-Backup), definieren Sie Failover-Kriterien und testen Sie Link-Down und Path-Down. IP SLA/Tracking ist der Mindestbaustein, um „Link up, Internet down“ zu vermeiden.
Beispiel: Default-Route mit Tracking + Backup-Route
track 10 ip sla 10 reachability
ip route 0.0.0.0 0.0.0.0 198.51.100.1 track 10
ip route 0.0.0.0 0.0.0.0 203.0.113.1 200Abnahme: So prüfen Sie DIA objektiv (Pass/Fail)
Eine DIA-Abnahme umfasst Router-Health, Pfadtests und – je nach Vertrag – SLA-nahe Messungen. Dokumentieren Sie Outputs und Zeiten, damit Sie später gegenüber dem Provider argumentieren können.
- Gateway/Default ok, Internetpfad ok (Ping/Traceroute)
- NAT funktioniert (Translations sichtbar)
- IP SLA liefert Werte (RTT/Loss), keine Flaps
- Logs/NTP ok (Auditfähigkeit)
- Optional: BGP stabil (Neighbor up, Prefix-Limits ok)
Post-Checks (Mindestset)
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show ip sla statistics
show ntp status
show logging | last 50
ping 8.8.8.8 repeat 20
traceroute 1.1.1.1Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
