March 3, 2026

Change Management auf Routern: Pre-Checks, Rollback, Post-Checks (Praxis-Runbook)

Sauberes Change Management auf Routern verhindert die häufigsten Betriebsunfälle: Lockouts, Routing-Loops, „Internet down“ nach ACL/NAT-Änderungen oder VPN-Ausfälle nach Crypto-Updates. Ein praxisnahes Runbook arbeitet mit klaren Pre-Checks, einem definierten Rollback-Pfad und überprüfbaren Post-Checks. Entscheidend ist, dass du Messpunkte vor dem Change dokumentierst, Änderungen klein und kontrolliert ausrollst und jederzeit in einen bekannten, funktionierenden Zustand zurückkehren kannst.

Runbook-Setup: Scope, Risiko und Erfolgskriterien

Bevor du Kommandos ausführst, definierst du, was „erfolgreich“ bedeutet und was im Fehlerfall der Abbruchpunkt ist. Das macht den Change steuerbar.

  • Scope: welche Interfaces, welche Subnetze, welche Services betroffen?
  • Risiko: Management-Zugriff, Default Route, VPN, BGP/OSPF, NAT
  • Erfolgskriterien: konkrete Tests (Ping/Traceroute, BGP Summary, VPN Counters)
  • Rollback-Kriterium: ab wann wird zurückgerollt?

Pre-Checks: Ist das System stabil und messbar?

Pre-Checks liefern den „Baseline Snapshot“. Ohne diesen Snapshot weißt du später nicht, ob der Change wirklich die Ursache ist. Speichere Outputs in deinem Ticket/Runbook.

1) Management-Zugriff absichern (Lockout-Schutz)

  • Console/OOB bereit oder zweite SSH-Session offen halten
  • VTY-ACL/AAA prüfen, insbesondere bei ACL-Changes
  • Break-Glass-User vorhanden
show users
show ip ssh
show running-config | section line vty
show access-lists

2) Interface- und Link-Status baseline

show ip interface brief
show interfaces | include protocol|CRC|drops|error
show logging | last 50

3) Routing baseline (Default Route, IGP/BGP, CEF)

show ip route | include Gateway|0.0.0.0
show ip route summary
show ip cef <critical-destination-ip>
show ip ospf neighbor
show ip bgp summary

4) NAT/VPN/QoS baseline (wenn betroffen)

show ip nat statistics
show ip nat translations
show crypto isakmp sa
show crypto ipsec sa
show policy-map interface <wan-interface>

5) Konfig-Snapshot und Backup

Sichere vor dem Change die Running-Config (lokal und idealerweise remote). Zusätzlich ist ein „show run“ Snapshot im Ticket hilfreich.

show running-config
copy running-config startup-config
copy running-config scp:

Rollback-Plan: Wie kommst du schnell zurück?

Rollback muss vor dem Change klar sein. In der Praxis gibt es drei typische Rollback-Wege: (1) einzelne Kommandos zurücknehmen, (2) gespeicherte Konfig zurückkopieren, (3) Reload mit Startup-Config (wenn die Startup-Config bekannt gut ist).

  • Rollback A: Minimaler Undo (nur betroffene Zeilen zurück)
  • Rollback B: Konfig aus Backup zurückspielen (SCP/TFTP)
  • Rollback C: Reload ohne Speichern (wenn Running kaputt, Startup ok)

Rollback B: Backup zurück in Running (Merge)

copy scp: running-config

Rollback C: Reload ohne Speichern (Vorsicht)

reload
! Wenn gefragt wird, ob gespeichert werden soll: "no"

Change-Durchführung: Kleine Schritte, kontrollierte Aktivierung

Der sicherste Ansatz ist ein „incremental change“: du änderst in kleinen Schritten, prüfst nach jedem Schritt, und erst dann gehst du weiter. Bei ACLs und Routing ist das besonders wichtig.

  • Änderungen in Sequenzen (Named ACLs) statt „Rewrite“
  • Erst erlaubende Regeln/Absicherung setzen, dann restriktiv werden
  • Bei Routing: erst neue Pfade hinzufügen, dann alte entfernen

Änderung dokumentieren (Konfig-Diff-Ansatz)

show running-config | section <relevanter-bereich>
configure terminal
! Changes
end
show running-config | section <relevanter-bereich>

Post-Checks: Funktioniert es wirklich? (End-to-End)

Post-Checks müssen die zuvor definierten Erfolgskriterien abdecken. Prüfe zuerst Management-Stabilität, dann Routing/Forwarding und zuletzt Services/Apps.

1) Management-Postcheck

show users
show ip ssh
show logging | last 50

2) Link/Interface Postcheck

show ip interface brief
show interfaces <changed-interface> | include CRC|drops|error|rate

3) Routing/Forwarding Postcheck

show ip route | include Gateway|0.0.0.0
show ip cef <critical-destination-ip>
ping <critical-destination-ip> source <source-ip>
traceroute <critical-destination-ip> source <source-ip>

4) BGP/OSPF Postcheck (wenn betroffen)

show ip ospf neighbor
show ip bgp summary

5) NAT/VPN Postcheck (wenn betroffen)

show ip nat translations
show ip nat statistics
show crypto isakmp sa
show crypto ipsec sa

6) QoS Postcheck (wenn betroffen)

show policy-map interface <wan-interface>

Stabilitätsfenster: Beobachten statt sofort „fertig“

Viele Probleme treten erst nach einigen Minuten auf (Flaps, Timer, Rekey, Routing-Updates). Beobachte kurz Logs, Counter und CPU, bevor du den Change finalisierst.

  • Logs: neue Errors/Flaps?
  • Counter: Drops/CRC steigen?
  • CPU: ungewöhnliche Peaks nach Change?
show logging | last 100
show processes cpu sorted
show interfaces <wan-interface> | include drops|error

Change finalisieren: Speichern und Abschlussdokumentation

Erst wenn Post-Checks und kurze Beobachtung ok sind, speicherst du die Konfiguration. Danach dokumentierst du „Was wurde geändert“ und „Welche Tests waren erfolgreich“.

copy running-config startup-config

Praxis-Runbook: Copy & Paste Kommandos (kompakt)

Diese Sequenz deckt typische Router-Changes ab. Ergänze je nach Change NAT/VPN/QoS/IGP/BGP.

! PRE
show users
show ip interface brief
show interfaces | include CRC|drops|error|rate
show ip route | include Gateway|0.0.0.0
show ip ospf neighbor
show ip bgp summary
show ip access-lists
show ip nat statistics
show crypto isakmp sa
show crypto ipsec sa
show logging | last 50
copy running-config startup-config

! CHANGE

configure terminal

! ...

end


! POST

show ip interface brief

show ip route | include Gateway|0.0.0.0

show ip ospf neighbor

show ip bgp summary

show ip nat statistics

show crypto ipsec sa

show policy-map interface 

show logging | last 50


! SAVE

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)