March 4, 2026

Cisco Router Golden Config: Erstellen, testen und Konsistenz sicherstellen

Eine Cisco Router Golden Config ist die verbindliche Referenzkonfiguration, die Sicherheit, Betriebsfähigkeit und Standardisierung über viele Geräte hinweg garantiert. Sie ist mehr als ein „Baseline-Snippet“: Eine Golden Config definiert Pflichtkontrollen (Management, AAA, Logging, NTP, Monitoring), modulare Erweiterungen (VPN, Dual-ISP, QoS, VRF) und klare Abnahmekriterien. Der größte Nutzen entsteht, wenn die Golden Config nicht nur erstellt, sondern auch getestet, versioniert und kontinuierlich auf Konsistenz geprüft wird – sonst entsteht Drift und der Standard verliert seine Wirkung. Dieser Leitfaden zeigt ein praxistaugliches Vorgehen zum Erstellen, Testen und Durchsetzen einer Golden Config für Cisco IOS/IOS XE.

Definition: Was eine Golden Config ist (und was nicht)

Eine Golden Config ist ein Standard, der „production-grade“ implementierbar und auditierbar ist. Sie umfasst Regeln, Templates und Evidence – nicht nur Konfigzeilen.

  • Ist: Referenz für Baseline + Module, versioniert und überprüfbar
  • Ist: Grundlage für Automatisierung, Audits, Drift-Control
  • Ist nicht: eine einmalige „Best-Practice“-Konfiguration ohne Pflege
  • Ist nicht: ein monolithischer Dump ohne Variablenmodell

Baustein 1: Scope festlegen (Geräteklassen und Pflichtkontrollen)

Beginnen Sie mit Geräteklassen. Eine Golden Config für Branch-Router unterscheidet sich von einer für DC-Edge. Definieren Sie Pflichtkontrollen pro Klasse.

  • Geräteklassen: Branch-Edge, HQ-Edge, DC-Edge, VPN-Hub
  • Pflichtkontrollen: SSH/MGMT-Only, AAA/Accounting, NTP, Syslog, Monitoring
  • Optionalmodule: Dual-ISP/Tracking, VPN, QoS, VRF, BGP/OSPF

Baustein 2: Struktur – Baseline + Module + Variablen

Skalierbarkeit entsteht durch Trennung. Die Baseline bleibt stabil, Module werden je Standort/Use Case ergänzt, Variablen liefern die standortspezifischen Werte.

  • Baseline: unverhandelbar, auf jedem Gerät identisch (bis auf Variablen)
  • Module: klarer Scope und klare Abnahme (z. B. VPN-Modul)
  • Variablen: SiteID, IPs, MGMT-Netze, Server-IPs, Providerparameter

Governance Header (Beispiel)

!
! GOLDEN-CONFIG: branch-edge
! VERSION: v1.0.0
! TEMPLATE: baseline + (modules)
! CHANGE-ID: CHG-2026-00XXXX
! SITE: BR012
!

Baustein 3: Golden Baseline – Pflichtkomponenten (praxisnah)

Diese Komponenten sind in den meisten Enterprise-Umgebungen Pflicht. Sie bilden den Kern Ihrer Golden Config und sind Grundlage für Auditability und Betrieb.

  • Management Hardening: SSH-only, VTY MGMT-Only, Exec-Timeout
  • AAA/Accounting: zentrale Identitäten + Audit Trail, Break-Glass geregelt
  • NTP: Zeitsynchronisation als Go-Live Gate
  • Syslog: zentral, Source-Interface gesetzt
  • Monitoring: SNMPv3/Telemetry enablement, KPI-Sichtbarkeit

CLI: Baseline-Auszug (Template)

service timestamps log datetime msec

ip domain-name example.local

crypto key generate rsa modulus 2048

ip ssh version 2


ip access-list standard MGMT_ONLY

permit 10.10.10.0 0.0.0.255

deny any


line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0


aaa new-model

aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+


ntp server 192.0.2.10 prefer

ntp server 192.0.2.11


logging buffered 64000 informational

logging host 192.0.2.20

logging trap informational

logging source-interface GigabitEthernet0/1

Baustein 4: Testen der Golden Config – was „Test“ wirklich bedeutet

Testen ist mehr als „Konfig lädt“. Eine Golden Config muss funktional, sicher und operativ validiert werden. Nutzen Sie Tests auf drei Ebenen: Syntax, Funktion, Betrieb.

  • Syntax/Kompatibilität: IOS/IOS-XE Versionen, Features/Lizenzen
  • Funktion: Connectivity, Routing/VPN Module, Failover
  • Operability: Logging/NTP/AAA funktionieren und sind sichtbar

CLI: Pre-/Post-Check Bundle (für Tests und Abnahme)

terminal length 0
show clock
show ntp status
show version
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip ssh
show running-config | include line vty|access-class|transport input|exec-timeout
show running-config | include aaa|accounting
show running-config | include logging host|logging source-interface
show logging | last 50
show processes cpu sorted

Testfälle für Module: Dual-ISP, VPN, QoS (Beispiele)

Module müssen eigene Abnahme-Tests besitzen. So verhindern Sie, dass ein Gerät „Baseline ok“ ist, aber Failover oder VPN im Go-Live versagt.

Dual-ISP/Tracking Tests

  • Link-down Failover: ISP1 down → ISP2 übernimmt
  • Path-down Failover: Upstream tot, Link up → Tracking muss umschalten
  • Failback: Rückkehr ohne Ping-Pong
show ip sla statistics
show track
show ip route 0.0.0.0
show logging | include TRACK|IP_SLA

VPN Tests

  • SA up und Traffic aktiv (Counter steigen)
  • No-NAT korrekt (falls NAT genutzt)
  • Stabilität: keine Flaps/Rekeys außerhalb erwarteter Parameter
show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail
show ip nat statistics

QoS Tests

  • Policy attached, Counter plausibel
  • Queue Drops interpretieren (Engpass/Fehlkonfig)
show policy-map interface
show interfaces | include output drops|queue

Baustein 5: Konsistenz sicherstellen – Drift-Control als Dauerprozess

Eine Golden Config ist nur dann „golden“, wenn der Ist-Zustand regelmäßig gegen den Soll-Zustand geprüft wird. Drift entsteht durch Hotfixes, Vendor-Änderungen und lokale Workarounds.

  • Regelmäßige Checks: täglich/wöchentlich je Kritikalität
  • Diff-Reporting: Abweichungen nach Risiko klassifizieren
  • Change Gates: keine Änderungen ohne Change-ID und Review
  • Remediation: Abweichungen entweder zurückbauen oder in Golden aufnehmen

Compliance-Gates: Was vor dem Go-Live „grün“ sein muss

Definieren Sie harte Gates, die die Golden Config erzwingt. Diese Gates sind sowohl technisch als auch auditseitig relevant.

  • NTP synchronized
  • Syslog zentral aktiv, korrekte Source-Interface
  • SSH-only und MGMT-Only auf VTY
  • AAA/Accounting aktiv (oder Break-Glass Prozess dokumentiert)
  • Monitoring enablement (SNMPv3/Telemetry) sichtbar

Versionierung und Change-Integration: Golden Config als „Produkt“

Behandeln Sie die Golden Config wie ein Produkt: Versionen, Releases, Changelog, und kontrollierte Rollouts. So bleibt sie stabil und akzeptiert.

  • Versionen: semantisch (v1.0.0, v1.1.0), Changes dokumentiert
  • Review: Vier-Augen-Prinzip für sicherheitskritische Bereiche
  • Rollout: Pilot → Wellenrollout → Drift-Check
  • Evidence: pro Rollout Pre/Post Checks und UAT-Protokoll

Standard Evidence Pack: Audit- und Ops-tauglich

Dieses Evidence Pack ist die praktische Brücke zwischen Golden Config und Abnahme/Audit. Es beweist, dass der Standard aktiv ist und funktioniert.

terminal length 0
show clock
show ntp status
show version
show ip interface brief
show interfaces counters errors
show ip route summary
show ip route 0.0.0.0
show ip ssh
show running-config | include line vty|access-class|transport input|exec-timeout
show running-config | include aaa|tacacs|radius|accounting
show running-config | include logging host|logging trap|logging source-interface
show logging | last 100
show processes cpu sorted
show snmp user

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane