Branch Office Blueprint: Kleine Filiale mit Internet-NAT, DHCP und ACL

In diesem Artikel werden wir das Design und die Konfiguration eines kleinen Filialnetzwerks mit Internet-NAT, DHCP und ACLs detailliert durchgehen. Das Ziel ist, eine einfache, aber sichere und funktionale Netzwerkinfrastruktur für eine Branch Office Umgebung zu erstellen, die den Internetzugang ermöglicht und gleichzeitig grundlegende Sicherheitsrichtlinien wie Zugangskontrollen und Netzwerkadressübersetzungen (NAT) umsetzt.

1. Design des Netzwerks

Bevor Sie mit der Konfiguration beginnen, sollten Sie das Design des Netzwerks planen. Die Filiale wird mit einer einfachen Netzwerktopologie ausgestattet, die ein NAT-Gateway für den Internetzugang, einen DHCP-Server für die dynamische IP-Adresszuweisung und ACLs für die Zugriffskontrolle umfasst.

• Internet-Gateway (Router) für NAT und Routing.
• Ein Switch für interne Geräte.
• Ein DHCP-Server für die automatische IP-Adresszuweisung innerhalb des internen Netzwerks.
• ACLs zum Schutz des Netzwerks und zum Begrenzen des Zugriffs auf bestimmte Ressourcen.

2. VLANs und IP-Adressierung

Da es sich um eine kleine Filiale handelt, können wir ein einfaches IP-Adressierungsschema verwenden. Ein VLAN wird für das interne Netzwerk eingerichtet, während das NAT für den Internetzugang zuständig ist.

• Internes Netzwerk: 192.168.1.0/24
• VLAN-ID für das interne Netzwerk: VLAN 10
• Gateway-Adresse: 192.168.1.1

Subnetting Beispiel

Das interne Netzwerk nutzt den IP-Bereich 192.168.1.0/24. Die Subnetzmaske für alle Geräte im VLAN 10 lautet 255.255.255.0. Alle Geräte erhalten ihre IP-Adressen über DHCP.

ip address 192.168.1.1 255.255.255.0

3. Konfiguration des NAT-Gateways

Der Router wird so konfiguriert, dass er NAT für das interne Netzwerk durchführt, um den Internetzugang zu ermöglichen. Dies erfolgt, indem die private IP-Adresse des internen Netzwerks auf eine öffentliche IP-Adresse für die Kommunikation mit dem Internet abgebildet wird.

• Aktivierung von NAT auf dem Router:

ip nat inside source list 1 interface GigabitEthernet 0/0 overload

• Definition der ACL für das NAT:

access-list 1 permit 192.168.1.0 0.0.0.255

• Markierung der Interfaces für NAT:

interface GigabitEthernet 0/0
ip nat outside

interface GigabitEthernet 0/1
ip nat inside

4. DHCP-Server Konfiguration

Der DHCP-Server sorgt dafür, dass alle Geräte im internen Netzwerk automatisch eine IP-Adresse, Subnetzmaske, Standardgateway und DNS-Server erhalten. Die Konfiguration des DHCP-Servers kann direkt auf dem Router oder einem dedizierten Server erfolgen.

• Konfiguration des DHCP-Scopes:

ip dhcp pool OFFICE
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8

• Exklusion von Adressen, die nicht vom DHCP-Server vergeben werden sollen:

ip dhcp excluded-address 192.168.1.1 192.168.1.10

5. Access Control Lists (ACLs) zur Zugriffskontrolle

ACLs werden verwendet, um den Datenverkehr im Netzwerk zu steuern und Sicherheitsrichtlinien durchzusetzen. In diesem Beispiel werden wir eine einfache ACL konfigurieren, die den Zugang zum Internet für das interne Netzwerk ermöglicht und gleichzeitig den Zugriff auf spezifische Geräte im Netzwerk einschränkt.

• Erstellung einer ACL für den Zugriff auf das Internet:

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

• Erstellung einer ACL für den Zugriff auf einen Server im internen Netzwerk:

access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.50 eq 80

• Anwenden der ACL auf die Schnittstelle:

interface GigabitEthernet 0/1
ip access-group 100 in

6. Tests und Verifikation

Nachdem die Konfiguration abgeschlossen ist, ist es wichtig, die Netzwerkinfrastruktur zu testen, um sicherzustellen, dass alle Komponenten wie erwartet funktionieren. Dies umfasst die Überprüfung der NAT-Funktion, der DHCP-Verfügbarkeit und der ordnungsgemäßen Anwendung von ACLs.

• Verifikation der NAT-Übersetzung:

show ip nat translations

• Überprüfung der DHCP-Adressvergabe:

show ip dhcp binding

• Testen der Connectivity:

ping 192.168.1.50

7. Troubleshooting

Falls Probleme auftreten, sollten folgende Punkte überprüft werden:

• Ist das NAT korrekt konfiguriert und angewendet?
• Wird die IP-Adresse korrekt vom DHCP-Server zugewiesen?
• Sind die ACLs korrekt angewendet und verhindern sie ungewollte Verbindungen?

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.