Cisco-Router-Konfiguration: Beispiel für die gängigste Office-Netzwerkarchitektur

Die gängigste Office-Netzwerkarchitektur im Unternehmensalltag ist ein klares, wartbares Standarddesign: Internet-Edge (Cisco-Router) mit NAT und sicherem Management, ein Access-Switching-Layer mit VLANs, ein getrenntes WLAN (Corporate/Guest) und – falls vorhanden – ein Site-to-Site VPN zur Zentrale oder Cloud. Der Schlüssel ist nicht maximale Komplexität, sondern saubere Segmentierung (Users/Guest/IoT/Management), eindeutige IP-Pläne und ein minimaler Monitoring-Standard (NTP/Syslog). Dieses Beispiel zeigt eine typische Architektur inklusive IP-Schema, Rollen-VLANs und praxistauglichen Cisco-CLI-Bausteinen.

Referenz-Topologie: Das typische „Office Standard“-Bild

In vielen Büros besteht das Netzwerk aus einem Edge-Router zum ISP, einem (oder mehreren) Switch(es) für LAN und Access Points für WLAN. VLANs werden am Switch segmentiert, der Router stellt die Gateways als Subinterfaces bereit (Router-on-a-Stick) oder routet nur am Edge, wenn ein L3-Switch vorhanden ist.

• ISP/DIA → Cisco-Router (WAN, NAT, optional VPN) → Switch (VLANs) → Clients/APs
• WLAN: Corporate im Users-VLAN, Guest im Guest-VLAN (strikt isoliert)
• Optional: IoT/Printer VLAN und Voice VLAN
• Optional: VPN zur Zentrale (Hub-and-Spoke)

Rollen-VLANs: Minimal, aber vollständig

Die gängigste Struktur nutzt wenige Rollen, die überall gleich bleiben. Das macht Policies wiederverwendbar und reduziert Fehler bei Rollouts und Changes.

• VLAN10-MGMT: IT/Management (Adminzugriff, Monitoring)
• VLAN20-USERS: Corporate Clients
• VLAN50-GUEST: Gäste (nur Internet)
• Optional VLAN40-IOT: Drucker/IoT (restriktiv)
• Optional VLAN30-VOICE: VoIP (QoS-relevant)

IP-Plan-Beispiel: Einfach, standardisierbar, skalierbar

Für ein einzelnes Büro sind /24-Netze für Users und Guest üblich. Kleine Segmente wie IoT/Voice werden oft als /26 geführt, um Broadcast zu begrenzen und Rollen klar zu trennen.

• MGMT: 10.10.10.0/24, Gateway 10.10.10.1
• USERS: 10.10.20.0/24, Gateway 10.10.20.1
• GUEST: 10.10.50.0/24, Gateway 10.10.50.1
• IOT (optional): 10.10.40.0/26, Gateway 10.10.40.1

Subnetting-Orientierung: /26 als Rollenbaustein

Ein /26 liefert 64 Adressen (62 nutzbar) und eignet sich für viele IoT/Voice-Segmente in Office-Umgebungen.

$2^6=64$

Edge-Design: Cisco-Router als Internet-Gateway (NAT, Default-Route)

Der Router stellt den Internetzugang bereit, setzt NAT (wenn der Router NAT-Owner ist) und schützt das Management. Für ein Office ist die wichtigste technische Basis: saubere WAN-Übergabe, klare Default-Route und nachvollziehbare Descriptions.

Beispiel: WAN + Default-Route

interface GigabitEthernet0/0
 description WAN-ISP-CID12345
 ip address 198.51.100.2 255.255.255.252
 ip nat outside
 no cdp enable
 no shutdown
ip route 0.0.0.0 0.0.0.0 198.51.100.1

LAN-Design: Router-on-a-Stick mit VLAN-Gateways

In der gängigsten Office-Variante ist der Router per Trunk an den Switch angebunden. Pro VLAN existiert ein Subinterface mit Gateway-IP. Das ist kosteneffizient und leicht zu dokumentieren.

Beispiel: Trunk + VLAN-Subinterfaces

interface GigabitEthernet0/1
 description LAN-TRUNK-to-SW1-Gi1/0/48
 no shutdown
interface GigabitEthernet0/1.10

description VLAN10-MGMT

encapsulation dot1Q 10

ip address 10.10.10.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.20

description VLAN20-USERS

encapsulation dot1Q 20

ip address 10.10.20.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.50

description VLAN50-GUEST

encapsulation dot1Q 50

ip address 10.10.50.1 255.255.255.0

ip nat inside

NAT-Design: Whitelist statt „alles darf raus“

Die gängige Office-Variante nutzt PAT/Overload. Wichtig ist, dass nur die vorgesehenen Netze NAT nutzen. Das macht Verhalten vorhersehbar und verhindert unbeabsichtigte Internetfreigaben.

Beispiel: NAT Overload für Users und Guest

ip access-list standard NAT_INSIDE
 permit 10.10.20.0 0.0.0.255
 permit 10.10.50.0 0.0.0.255
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

Policies: Guest-Isolation als Pflichtregel

Die häufigste Sicherheitslücke in Offices ist ein ungetrenntes Guest-Netz. Die gängige Architektur setzt deshalb eine klare Guest-Policy: Internet erlaubt, interne Netze blockiert. Die ACL wird inbound am Guest-VLAN angewendet.

Beispiel: Guest intern blockieren

ip access-list extended ACL-GUEST-IN
 deny ip 10.10.50.0 0.0.0.255 10.0.0.0 0.255.255.255
 deny ip 10.10.50.0 0.0.0.255 172.16.0.0 0.15.255.255
 deny ip 10.10.50.0 0.0.0.255 192.168.0.0 0.0.255.255
 permit ip 10.10.50.0 0.0.0.255 any
interface GigabitEthernet0/1.50

ip access-group ACL-GUEST-IN in

Admin-Zugriffssicherheit: SSH-only und MGMT-Only

Im Office ist der Router oft „der“ zentrale Kontrollpunkt. Daher muss Managementzugang strikt beschränkt werden: SSH-only, MGMT-ACL, keine Web-Services, klare Zeitstempel.

Beispiel: SSH-only + Management-ACL

no ip http server
no ip http secure-server
no ip domain-lookup
ip domain-name example.local

crypto key generate rsa modulus 2048

ip ssh version 2
ip access-list standard MGMT_ONLY

permit 10.10.10.0 0.0.0.255

deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0

Minimal-Monitoring: NTP, Syslog und Pfadüberwachung

Die gängige Office-Architektur ist erst betriebsfähig, wenn Zeit und Logs stimmen. Ergänzend hilft IP SLA, „Link up, Internet down“ früh zu erkennen – besonders ohne 24/7 Vor-Ort-Team.

Beispiel: NTP + Syslog

service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational

Optional: IP SLA

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now

Optional: VPN zur Zentrale (typischer Office-Use-Case)

Viele Offices benötigen Zugriff auf zentrale Ressourcen. Dann ist ein Site-to-Site VPN (Hub-and-Spoke) die gängigste Erweiterung. Wichtig ist der Betriebsnachweis per Paketzählern, nicht nur „Tunnel up“.

VPN-Runbook-Checks

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

Abnahme: Was im Standardoffice nach Go-Live geprüft wird

Diese Prüfungen belegen, dass Architektur und Policies wie geplant wirken. Sie sind bewusst kurz und eignen sich als Post-Change-Checkliste für das Betriebsteam.

• Users: Internet/DNS ok, Business-Apps ok
• Guest: Internet ok, interne Netze blockiert
• Router: Default-Route ok, NAT-Translations sichtbar
• Monitoring: NTP synchronized, Syslog sichtbar

Post-Checks (Copy/Paste)

show ip interface brief
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show interfaces counters errors
show ntp status
show logging | last 50
ping 8.8.8.8 repeat 10
traceroute 1.1.1.1

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.