Unternehmens-Standardkonfigurationen für Cisco-Router sind die Grundlage für stabile Betriebsprozesse: weniger Konfigurationsdrift, schnellere Rollouts, bessere Auditfähigkeit und deutlich kürzere Incident-Zeiten. „Best Practices“ bedeuten dabei nicht möglichst viele Features, sondern eine wiederholbare Baseline mit klaren Standards für Managementzugriff, Logging/Monitoring, Routing/NAT/VPN, Segmentierung, Change-Methodik und Dokumentation. Dieser Leitfaden zeigt ein praxistaugliches Standardset, das Sie als Golden Config und Template in Büro-, Filial- und Enterprise-Umgebungen einsetzen können.
Standardprinzipien: Was eine gute Golden Config ausmacht
Eine Standardkonfiguration ist nur dann wertvoll, wenn sie überall gleich ist und Abweichungen bewusst genehmigt werden. Der Kern ist daher ein „Default Secure“-Ansatz mit messbaren Abnahmekriterien.
- Standardisierung: Golden Config + Variablenmodell (SiteID, WAN, Netze)
- Least Privilege: minimaler Zugriff, minimaler erlaubter Traffic
- Auditierbarkeit: Zeitstempel, zentrale Logs, nachvollziehbare Changes
- Reproduzierbarkeit: gleiche Runbooks, gleiche Pre-/Post-Checks
- Rollback-Fähigkeit: stabiler Rückweg ist Pflicht, nicht Option
Baseline 1: Naming-Standard und Interface-Descriptions (Pflicht für Betrieb)
Mit konsistentem Naming werden Monitoring, Ticketing und Troubleshooting schneller. Interface-Descriptions sind in Unternehmen kein „Doku-Extra“, sondern Pflichtstandard.
- Hostname: R<Nr>-<SITE>-<ROLE><Nr> (z. B. R1-FIL12-EDGE01)
- WAN-Description: Provider + Circuit-ID + Rolle (PRIMARY/BACKUP)
- LAN-Description: Switchname/Port + Trunk/Uplink
- Objekte: ACL-GUEST-IN, MGMT_ONLY, PL-ISP1-OUT, RM-ISP1-IN
CLI: Interface-Descriptions als Standard
interface GigabitEthernet0/0
description WAN-ISP1-PRIMARY-CID12345
interface GigabitEthernet0/1
description LAN-TRUNK-to-SW1-Gi1/0/48Baseline 2: Admin-Zugriffssicherheit (SSH, AAA, RBAC)
Admin-Zugriffssicherheit ist der wichtigste Standardblock. Er schützt vor Scans/Brute Force, verhindert offene Managementflächen und sorgt für nachvollziehbare Änderungen.
- SSH-only, Telnet deaktiviert, HTTP/HTTPS deaktiviert (wenn nicht benötigt)
- VTY-Zugriff per Access-Class auf Managementnetz begrenzen
- Individuelle Accounts, keine Shared Credentials
- AAA/Accounting (wenn Infrastruktur vorhanden) mit lokalem Fallback
CLI: Hardening-Minimum (Template)
no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2
ip access-list standard MGMT_ONLY
permit 10.10.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
login local
exec-timeout 10 0
Baseline 3: Logging und Zeit (NTP + Syslog als Pflicht)
Ohne korrekte Zeitstempel und zentrale Logs sind Betrieb und Audit blind. NTP und Syslog gehören daher in jede Standardkonfiguration – unabhängig vom Standorttyp.
CLI: NTP + Syslog Baseline
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging buffered 64000 informational
logging host 192.0.2.20
logging trap informational
Baseline 4: Minimal-Monitoring (SNMPv3/Telemetry und Pfadchecks)
Unternehmensbetrieb braucht Metriken: Interface-Status, Errors/Drops, CPU/Memory. Ergänzend ist IP SLA ein starker Standardbaustein gegen „Link up, Internet down“.
- SNMPv3 (oder gleichwertige Telemetrie) für Interfaces/CPU/Memory
- Alarmkatalog: WAN down/flaps, Path-down, Neighbor down, CPU hoch
- IP SLA als Pfadüberwachung (insbesondere bei Dual-WAN)
CLI: IP SLA (Standardbaustein)
ip sla 10
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
frequency 5
timeout 1000
ip sla schedule 10 life forever start-time nowBaseline 5: WAN-Grundgerüst (Default-Route, Tracking, Failover)
Unternehmensstandards definieren nicht nur „Internet geht“, sondern auch Failover-Verhalten. Selbst ohne BGP sollten Path-Down-Szenarien berücksichtigt werden, insbesondere bei kritischen Standorten.
- Klare Default-Route, Gateway-Verifikation
- Tracking für Path-Down, nicht nur Interface-Down
- Backup-Route mit höherer Administrative Distance (wenn Backup-Link existiert)
CLI: Default mit Tracking + Backup-Default
track 10 ip sla 10 reachability
ip route 0.0.0.0 0.0.0.0 198.51.100.1 track 10
ip route 0.0.0.0 0.0.0.0 203.0.113.1 200Baseline 6: NAT-Standards (Ownership, Whitelisting, No-NAT)
NAT ist eine der häufigsten Fehlerquellen. Standardisieren Sie Ownership und Whitelisting. Wenn VPNs im Spiel sind, ist No-NAT verpflichtend.
- NAT-Owner schriftlich festlegen (Router vs. Firewall)
- NAT nur für definierte Quellnetze (kein „permit any“)
- No-NAT für VPN-Subnetze (Pflicht bei Site-to-Site)
- Portforwards nur dokumentiert (Owner, Zweck, Ticket-ID)
CLI: NAT Overload (Standardmuster)
ip access-list standard NAT_INSIDE
permit 10.10.20.0 0.0.0.255
permit 10.10.50.0 0.0.0.255
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload
Baseline 7: Segmentierung und Mindest-Policies (Guest/IoT/MGMT)
Enterprise-Standards setzen Policies durch Rollen um. Minimal müssen Guest und IoT restriktiv sein, und Management muss strikt begrenzt bleiben. Policies werden möglichst inbound am Quellsegment angewendet.
- Guest: nur Internet, RFC1918 blockieren
- IoT: Whitelist auf notwendige Ziele/Ports, interne Netze blockieren
- Users: definierte Server/Services, kein Zugriff auf MGMT
CLI: Guest-Policy (Standardbaustein)
ip access-list extended ACL-GUEST-IN
deny ip 10.10.50.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.10.50.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.10.50.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.10.50.0 0.0.0.255 anyBaseline 8: VPN-Standards (wenn VPN genutzt wird)
VPNs müssen standardisiert sein, sonst sind Rekey/DPD und „Tunnel up, kein Traffic“ Dauerprobleme. Die Standardkonfiguration definiert Kryptoprofile, No-NAT, MTU/MSS und Runbook-Checks.
- IKEv2/IPsec Standardprofile (Cipher/Hash/DH/PFS) einheitlich
- No-NAT für VPN-Traffic
- MSS-Clamping, wenn PPPoE/VPN-Overhead relevant ist
- Paketzähler-basierte Abnahme (SA up reicht nicht)
CLI: VPN-Runbook-Checks
show crypto ikev2 sa
show crypto ipsec sa
show crypto session detailBaseline 9: QoS-Standards (wenn WAN Engpass ist)
QoS ist kein Selbstzweck, aber in vielen Unternehmen Pflicht für Voice/Video. Standardisieren Sie mindestens WAN-Shaping und eine klare Klassifizierung (DSCP) statt individueller Regeln pro Standort.
- WAN-Shaping: Queueing im Router, nicht beim Provider
- Voice/Video priorisieren (EF/AF41), Business-Apps definieren
- Verifikation über policy-map Zähler
CLI: QoS-Verifikation
show policy-map interface
show interfaces | include output drops|queueBaseline 10: Change-Methodik und Abnahme als Standardprozess
Unternehmensstandards sind nicht nur Konfig, sondern Prozess. Pre-/Post-Checks, UAT und Rollback müssen verbindlich sein, sonst werden Änderungen riskant und schwer auditierbar.
- Pre-Checks: Baseline sichern (Interfaces, Routing, CPU, Logs)
- Post-Checks: gleiche Kommandos + Pfadtests
- UAT: Business-Apps, VPN, Segmentierung, Failover (wenn vorhanden)
- Rollback: Trigger, Schritte, Notfallzugang (Console/OOB)
Standard-Pre-/Post-Checks (Copy/Paste)
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip nat statistics
show crypto ikev2 sa
show crypto ipsec sa
show ip sla statistics
show logging | last 50
show processes cpu sortedBaseline 11: Dokumentation und Handover (Definition of Done)
Standardkonfigurationen müssen mit standardisierten Deliverables enden. Sonst entsteht „Tribal Knowledge“. Definieren Sie daher eine feste Übergabestruktur, die bei jedem Standort gleich ist.
- Konfig pre/post (running/startup), Template-Version, Ticket-ID
- IP-/VLAN-Plan und Interface-Plan
- Policy-Matrix (Quelle/Ziel/Ports/Owner)
- Monitoring-Setup und Alarmkatalog
- Abnahmeprotokoll inkl. CLI-Outputs und UAT-Ergebnisse
- Rollback-Plan und Runbook/SOP
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
