March 4, 2026

Cisco-Router für kritische Infrastrukturen: Availability, Auditability und strikte SOPs

In kritischen Infrastrukturen (KRITIS) sind Cisco-Router nicht „nur Netzwerkgeräte“, sondern Teil der Betriebssicherheit: Ausfälle wirken sich unmittelbar auf Versorgung, Produktion oder Sicherheit aus. Entsprechend müssen Availability (Redundanz und schnelle Convergence), Auditability (nachvollziehbare Adminaktionen, zentrale Logs, Retention) und strikte SOPs (Change-/Incident-Prozesse, UAT, Rollback) als Mindeststandard umgesetzt werden. Entscheidend ist dabei nicht einzelne Features, sondern ein kontrolliertes Betriebsmodell: Standardkonfigurationen, klare Rollen, reproduzierbare Runbooks und regelmäßige Evidence-Erzeugung für interne Audits. Dieser Leitfaden beschreibt praxistaugliche Baselines und SOPs für Cisco-Router in hochkritischen Umgebungen.

Zielbild: KRITIS-Anforderungen in technische Kontrollen übersetzen

KRITIS verlangt keine „magische“ Konfiguration, sondern nachweisbare technische Kontrollen: Verfügbarkeit, Zugriffssicherheit, Protokollierung und kontrollierte Änderungen. Definieren Sie diese Kontrollen als Go-Live-Gates.

  • Availability: keine Single Points of Failure, definierte Failover-Zeiten
  • Auditability: wer/was/wann, zentrale Logs, Retention und Zugriffskontrolle
  • SOPs: Change Windows, UAT, Rollback, Incident-Runbooks, Periodic Reviews

Availability: Redundanzdesign für minimale Downtime

Verfügbarkeit beginnt mit echter Diversität: doppelte Router, doppelte Links, idealerweise duale Provider und getrennte Stromversorgung. Zusätzlich müssen Path-Down-Fälle erkannt werden, nicht nur Link-down.

  • Geräte-Redundanz: Edge-Paar (Active/Standby oder Active/Active)
  • Link-Redundanz: diverse Trassen, separate Übergabepunkte
  • Provider-Redundanz: Dual-ISP oder alternative Transportwege
  • Path-Down-Erkennung: IP SLA/Tracking, nicht nur Interface-Status

CLI: Failover-Readiness (Tracking)

show ip sla statistics
show track
show ip route 0.0.0.0

Routing-Convergence: Stabilität vor aggressiven Timern

In KRITIS-Umgebungen ist Stabilität wichtiger als „extrem schnelle“ Timer. Aggressive Einstellungen erhöhen Flaps und CPU-Risiko. Messen Sie Failover-Zeiten und optimieren Sie kontrolliert.

  • Routing-Design: klar (Static+Tracking für Branches, BGP am Edge, OSPF intern)
  • Policy-Schutz: Prefix-Filter, max-prefix, Summaries ohne Blackholes
  • Convergence-KPIs: Detection + Routing-Umschaltung + Service-Recovery

CLI: Routing-Stabilität (Evidence)

show ip route summary
show ip ospf neighbor
show bgp summary
show logging | include OSPF|BGP|LINEPROTO|LINK-

Control Plane Schutz: CoPP als KRITIS-Standard (bei Exposition)

Wenn Router WAN-exponiert sind oder viele Segmente „Noise“ erzeugen, ist Control Plane Protection in KRITIS meist Pflicht. Ziel ist, CPU-Overload zu verhindern, der Routing und Management destabilisiert.

  • Managementzugriff restriktiv (MGMT-Only) als Minimum
  • CoPP: klassifizieren, erlauben und rate-limiten (ROUTING, MGMT, ICMP)
  • Monitoring: CoPP Drops und CPU-Spikes als Alarm

CLI: CoPP/CPU Evidence

show policy-map control-plane
show processes cpu sorted

Auditability: Zeit, Logs und nachvollziehbare Adminaktionen

Auditability ist der Kern der Nachweispflicht. Ohne NTP sind Logs nicht korrelierbar, ohne zentrale Syslog/Retention sind sie nicht auditfähig, und ohne AAA/Accounting fehlt die Identität.

  • NTP: mindestens zwei Zeitquellen, Status als Go-Live Gate
  • Syslog zentral: Collector/SIEM, Source-Interface gesetzt
  • AAA: TACACS+/RADIUS mit RBAC, local fallback als Break-Glass
  • Accounting: Exec (und ggf. Commands) für „wer tat was“

CLI: NTP/Syslog Baseline

service timestamps log datetime msec

ntp server 192.0.2.10 prefer

ntp server 192.0.2.11


logging host 192.0.2.20

logging trap informational

logging source-interface GigabitEthernet0/1

CLI: AAA/Accounting Baseline

aaa new-model

tacacs server TACACS1

address ipv4 10.10.10.10

key 


aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

CLI: Audit Evidence

show ntp status
show logging | last 100
show running-config | include logging host|logging source-interface|ntp server
show running-config | include aaa|tacacs

Strikte Adminzugriffssicherheit: Bastion, MFA, MGMT-Only

In KRITIS ist direkter Adminzugriff aus User-Netzen oder aus dem Internet nicht akzeptabel. Nutzen Sie ein dediziertes Managementnetz und einen kontrollierten Zugangspfad (Bastion/Jump Host) mit MFA.

  • MGMT-Netz separat (idealerweise VRF oder physisch getrennt)
  • VTY Access-Class nur MGMT/Bastion, SSH-only
  • MFA vorgelagert (VPN/ZTNA/Bastion), Router via AAA auditierbar
  • Break-Glass: lokal vorhanden, streng verwaltet und rotiert

CLI: MGMT-Only Zugriff (Auszug)

ip access-list standard MGMT_ONLY
 permit 10.10.10.0 0.0.0.255
 deny any

line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

Standardkonfigurationen: Templates als KRITIS-Kontrolle

In hochkritischen Umgebungen ist Standardisierung eine Sicherheitskontrolle: Sie reduziert Human Error und Drift. Jede Abweichung muss als Ausnahme dokumentiert und befristet sein.

  • Golden Baseline: Hardening, Logging/NTP, AAA/RBAC, Monitoring
  • Module: WAN, Routing, VPN, Segmentierung, CoPP
  • Versionierung: Change-ID, Peer-Review, Release-Wellen
  • Drift-Control: Soll/Ist-Abgleich, Periodic Review

SOPs für Changes: Pre-Checks, UAT und Rollback als Pflichtteile

KRITIS-Changes müssen standardisiert ablaufen: feste Maintenance Windows, klare Pass/Fail Kriterien und eine getestete Rückfalloption. „Write memory“ erst nach Abnahme.

  • Pre-Checks: Baseline-Snapshot (Routing, VPN, CPU, Errors, Logs)
  • UAT: definierte Testfälle pro Service (Internet, VPN, Routing, Segmentierung)
  • Rollback: Trigger, Schrittfolge, Validierung und OOB-Zugang
  • Post-Checks: KPI-Vergleich, Monitoring-Sicht, Evidence Pack

CLI: Pre-/Post-Change Evidence Pack

show clock
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip ospf neighbor
show bgp summary
show crypto ipsec sa
show ip sla statistics
show track
show ntp status
show logging | last 100
show processes cpu sorted

Incident SOPs: Triage, Stabilisierung, Root Cause, PIR

In KRITIS muss Incident Response vorher geübt sein. Ein gutes SOP trennt schnelle Stabilisierung (Containment) von Root Cause und definiert Evidence und Eskalation.

  • Triage: Quick Snapshot, Impact bestimmen, P1 Trigger
  • Containment: Instabilitätsquelle isolieren (Flaps/Loops/CPU)
  • Eskalation: Provider/SOC/NetEng mit Minimum Evidence
  • PIR: Ursachen, Prävention, Template-/Monitoring-Updates

CLI: Incident Quick Snapshot

show clock
show ip interface brief
show interfaces counters errors
show ip route summary
show processes cpu sorted
show logging | last 100

Periodic Controls: Regelmäßige Nachweise und Reviews

KRITIS-Compliance ist kontinuierlich. Definieren Sie regelmäßige Kontrollen, damit Drift früh erkannt wird: Audit-Snapshots, Backup-Checks, Failover-Tests und Access-Reviews.

  • Monatlich: CPU/Memory Trends, Errors/Drops, Routing/VPN Flaps
  • Quartalsweise: Access Review (AAA/RBAC), Log-Retention Proof, Drift-Control
  • Halbjährlich/Jährlich: Failover-UAT (Link/Path), Restore-Test (Backups)

CLI: Compliance Snapshot (minimal)

show version
show running-config | include line vty|access-class|aaa|tacacs|logging host|ntp server
show ntp status
show logging | last 100
show ip route summary
show policy-map control-plane

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane