March 4, 2026

Enterprise Cisco Router Configuration: Referenzarchitektur für Branch und HQ

Eine Enterprise-Referenzarchitektur für Branch und HQ verfolgt ein klares Ziel: standardisierte Standorte (Branches) mit minimaler Varianz und ein hochverfügbares, kontrollierbares HQ als Hub für Routing, Security und zentrale Services. Der Router ist dabei nicht nur „Internet-Gateway“, sondern Teil einer Governance-Architektur: definierte Segmentierung, reproduzierbare VPN-/Routing-Topologie, messbare Failover-Logik und auditfähiges Management. Dieser Leitfaden beschreibt eine praxistaugliche Referenzarchitektur inklusive IP-Plan-Logik, HA-Bausteinen und CLI-Referenzen für typische Konfigurationsblöcke.

Zielbild: Standardisierte Branches, resilienter HQ-Hub

Branches müssen schnell ausrollbar sein (Golden Config + Variablen), HQ muss Hochverfügbarkeit und kontrollierte Pfade liefern. Die Architektur sollte mit der Anzahl der Standorte skalieren, ohne dass das Betriebsmodell bricht.

  • Branch: standardisierte VLANs/Policies, WAN-Edge, Site-to-Site VPN, optional Dual-WAN
  • HQ: Dual-Hub, HA (FHRP), zentrale Services, Routing-Policies, Monitoring/SIEM-Anbindung
  • Governance: Naming, IP-Schema, Change-Prozess, Runbooks, KPI-Reporting

Topologie-Optionen: Hub-and-Spoke als Enterprise-Standard

Für viele Standorte ist Hub-and-Spoke der Standard, weil es linear skaliert und zentrale Governance ermöglicht. HQ betreibt einen oder mehrere Hubs; Branches bauen Tunnel zu diesen Hubs.

  • Single Hub: einfach, aber HQ wird Engpass/Single Point (nur für kleine Umgebungen)
  • Dual Hub (empfohlen): Redundanz, Lastverteilung, Wartungsfenster einfacher
  • Regional Hubs: sinnvoll bei globaler Verteilung oder strengen Latenzanforderungen

IP-Plan-Referenz: Standortblock + Rollen-VLANs

Enterprise-Standardisierung funktioniert nur mit einem berechenbaren IP-Plan. Üblich ist ein Standortblock (z. B. /22) und feste Rollen-VLANs, die überall gleich bleiben. So werden Summaries möglich und Policies wiederverwendbar.

  • Standortblock pro Branch: 10.<SiteID>.0.0/22 (Beispiel)
  • VLAN10-MGMT: 10.<SiteID>.10.0/24
  • VLAN20-USERS: 10.<SiteID>.20.0/24 (oder /23 bei großen Branches)
  • VLAN40-IOT/POS: 10.<SiteID>.40.0/26
  • VLAN50-GUEST: 10.<SiteID>.50.0/24

Subnetting-Orientierung: /22 als Standortblock

Ein /22 liefert 1024 Adressen (1022 nutzbar) und eignet sich als sauberer Standortblock für mehrere Rollen-Netze.

210 = 1024

Branch-Referenz: Standardrollen, Pflicht-Policies, Template-Fähigkeit

Branches werden als Templates betrieben: Baseline (Hardening/Logging), WAN (ISP), LAN (VLAN-Gateways), NAT (wenn Router NAT-Owner), Policies (Guest/IoT) und VPN zum HQ.

  • Management: SSH-only, Zugriff nur aus VLAN10-MGMT
  • Guest: nur Internet, interne Netze blockiert
  • IoT/POS: Whitelist zu DNS/NTP/Payment/Management
  • Monitoring: NTP/Syslog zentral, optional SNMPv3
  • VPN: IKEv2/IPsec, No-NAT, Traffic-Nachweis

Branch: Baseline Hardening (Auszug)

no ip domain-lookup
no ip http server
no ip http secure-server
ip ssh version 2

Branch: Guest-Isolation (Pflicht)

ip access-list extended ACL-GUEST-IN
 deny ip 10.<SiteID>.50.0 0.0.0.255 10.0.0.0 0.255.255.255
 deny ip 10.<SiteID>.50.0 0.0.0.255 172.16.0.0 0.15.255.255
 deny ip 10.<SiteID>.50.0 0.0.0.255 192.168.0.0 0.0.255.255
 permit ip 10.<SiteID>.50.0 0.0.0.255 any

HQ-Referenz: Hochverfügbarkeit und zentrale Kontrolle

HQ sollte nicht nur „größer“, sondern auch resilienter sein. Üblich sind zwei Edge-/Hub-Router, redundante Uplinks zum Core sowie eine klare Trennung zwischen Campus-Routing und WAN/VPN-Funktionen.

  • Dual Hub Router: zwei Geräte, getrennte Stromversorgung/Wege
  • Core: L3-Switching, Inter-VLAN-Routing, zentrale Services
  • HA am Gateway: HSRP/VRRP pro VLAN (im Core/Distribution)
  • WAN: Dual-ISP, Path-Tracking, definierte Failover-Tests

HQ: FHRP-Beispiel (HSRP am VLAN-Gateway)

interface Vlan20
 description HQ-USERS
 ip address 10.1.20.2 255.255.255.0
 standby 20 ip 10.1.20.1
 standby 20 priority 110
 standby 20 preempt

HQ: Verifikation HSRP

show standby brief

WAN-Design: Dual-ISP und Path-Tracking als Enterprise-Standard

Enterprise-Verfügbarkeit erfordert Failover nicht nur bei Link-Down, sondern auch bei Path-Down. IP SLA/Tracking ist dafür der pragmatische Standardbaustein, der zudem KPI-Messwerte liefert.

IP SLA + Tracking (Beispiel)

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now

track 10 ip sla 10 reachability

Default-Routen mit Tracking (Beispiel)

ip route 0.0.0.0 0.0.0.0 198.51.100.1 track 10
ip route 0.0.0.0 0.0.0.0 203.0.113.1 200

Routing-Referenz: Steuerbarkeit und Filterpflicht

Im Enterprise ist Routing nicht „nur reachability“, sondern Policy. Definieren Sie Standardprotokolle, Filterpflicht und Summarization. Für Internet-BGP sind Prefix-Lists und max-prefix Mindeststandard.

  • Branch: häufig statisch zum Hub oder dynamisch über Tunnel
  • HQ: zentrale Routing-Policies, Summaries, klare Default-Strategie
  • BGP: Outbound-Filter, Inbound-Policy (falls nötig), max-prefix

BGP-Policy-Gerüst (Auszug, Konzept)

ip prefix-list OUT-PFX seq 10 permit 203.0.113.0/24
ip prefix-list OUT-PFX seq 99 deny 0.0.0.0/0 le 32

route-map RM-OUT permit 10

match ip address prefix-list OUT-PFX

VPN-Referenz: Hub-and-Spoke mit Traffic-Nachweis

Branch-to-HQ VPNs müssen standardisiert sein: gleiches Kryptoprofil, No-NAT, stabile Rekey/DPD-Werte. Abnahme erfolgt über SA-Status und Paketzähler.

VPN-Checks (Pflicht)

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

QoS-Referenz: Priorität für Voice/UC und kontrolliertes WAN-Shaping

In Enterprise-Umgebungen ist QoS häufig Pflicht, wenn Voice/Video und geschäftskritische Apps über WAN laufen. Shaping am WAN-Egress sorgt für Queueing im Router statt beim Provider.

QoS-Verifikation (Auszug)

show policy-map interface

Management & Audit: AAA, Logging, Retention

Enterprise-Governance verlangt nachvollziehbare Admin-Aktionen, zentrale Logs und definierte Retention. Mindeststandard sind NTP und Syslog, ergänzt durch AAA/Accounting.

  • SSH-only, MGMT-ACL, keine Shared Accounts
  • NTP synchronized, Syslog zentral, Log-Level definiert
  • AAA/TACACS+ inkl. Accounting (Exec/Commands, wenn möglich)

Audit-Checks (Auszug)

show ntp status
show logging | last 50
show running-config | include aaa|tacacs|logging host|ntp server

Abnahme und KPIs: Wie Erfolg objektiv belegt wird

Eine Referenzarchitektur ist erst „Enterprise“, wenn sie messbar betrieben wird. Definieren Sie KPIs (Uptime, RTT/Loss, Failover-Zeit, SA-Flaps) und verankern Sie Pre-/Post-Checks als Standard.

  • Uptime: WAN-Path, VPN traffic-fähig, HA-Rollen stabil
  • Latenz/Loss: Median und 95. Perzentil zu festen Targets
  • Failover: Link-Down und Path-Down getrennt messen
  • Change-Qualität: Rollback-Rate, Change-Failure-Rate

Operability-Snapshot (Copy/Paste)

show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip sla statistics
show track
show crypto ikev2 sa
show crypto ipsec sa
show standby brief
show ntp status
show logging | last 100
show processes cpu sorted

Governance-Bausteine: Standards, Drift-Control, Change-Typen

Damit Branch und HQ langfristig stabil bleiben, müssen Standards gepflegt werden. Das gilt besonders bei vielen Standorten: Templates versionieren, Ausnahmen dokumentieren, Drift kontrollieren und in Wartungswellen remediaten.

  • Golden Config Versionierung + Peer-Review
  • Drift-Control: Soll/Ist-Diff, Exceptions mit Owner/Ablaufdatum
  • Change-Methodik: Standard/Normal/Emergency inkl. Pre-/Post-Checks
  • Handover/Runbooks als Pflichtdeliverables in jedem Projekt

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)