Eine Cisco-Router-Configuration-Baseline ist der technische Mindeststandard, der aus „funktioniert heute“ ein dauerhaft betreibbares, auditierbares und skalierbares Netzwerk macht. Ohne Baseline entstehen Drift, Security-Lücken, schweres Troubleshooting und hohe MTTR – besonders bei vielen Standorten oder mehreren Teams. Eine production-grade Baseline ist bewusst modular: Sie enthält Pflichtkomponenten (Management, Logging, Hardening, Monitoring, Governance) und lässt projektspezifische Module (VPN, Dual-ISP, QoS, VRF) ergänzt werden. Dieser Leitfaden beschreibt die Pflichtkomponenten für Network Standardization und zeigt CLI-Bausteine, die als Template-Grundlage dienen können.
Baseline-Zielbild: Was Standardisierung liefern muss
Standardisierung ist ein Betriebs- und Sicherheitshebel. Eine gute Baseline reduziert Varianz, macht Changes reproduzierbar und liefert Evidence für Audits.
- Wiederholbarkeit: gleiche Struktur und gleiche Defaults auf jedem Router
- Sicherheit: reduzierte Angriffsfläche, kontrollierter Adminzugriff
- Auditability: nachvollziehbare Adminaktionen, korrelierbare Logs
- Operability: NOC-fähiges Monitoring, schnelle Incident-Triage
- Governance: Versionierung, Change-IDs, Drift-Control
Pflichtkomponente 1: Naming, Banner und Konfig-Header (Governance sichtbar machen)
Ein Baseline-Header verankert Ownership, Versionierung und Change-Referenzen direkt im Gerät. Das ist eine einfache, aber sehr wirksame Governance-Kontrolle.
- Hostname nach Standard (SiteID/Role/Nummer)
- Konfig-Header: Template-Version, Change-ID, Datum
- Login-Banner: rechtlicher Hinweis (je Policy)
CLI: Beispiel-Header
hostname R-BR-012
!
! TEMPLATE: baseline-router
! VERSION: v1.0.0
! CHANGE-ID: CHG-2026-00XXXX
! OWNER: NetOps
! DATE: 2026-03-04
!
banner login ^
UNAUTHORIZED ACCESS PROHIBITED.
ALL ACTIVITIES MAY BE MONITORED AND RECORDED.
^
Pflichtkomponente 2: Zeitbasis und Logging (Auditability)
Ohne NTP sind Logs nicht korrelierbar. Ohne zentrale Syslog-Ablage sind sie nicht auditfähig. Beides gehört in jede Baseline.
- NTP: mindestens zwei Server, Status als Go-Live Gate
- Syslog zentral: mindestens ein Collector/SIEM
- Source-Interface: stabile Quell-IP für Logs
- Timestamps: datetime msec
CLI: NTP + Syslog Baseline
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging buffered 64000 informational
logging host 192.0.2.20
logging trap informational
logging source-interface GigabitEthernet0/1
Pflichtkomponente 3: Sicheres Management (SSH-only, MGMT-Only, Session-Hygiene)
Managementzugriff muss minimal und kontrolliert sein. Die Baseline erzwingt SSH-only und begrenzt VTY-Zugriffe auf das Managementnetz oder eine Bastion.
- SSH-only, Telnet aus
- VTY Access-Class (MGMT-Only)
- Exec-Timeout und Logging von Sessions
- Deaktivieren unnötiger Management-Services (HTTP/HTTPS)
CLI: MGMT-Only Zugriff
ip access-list standard MGMT_ONLY
permit 10.10.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
exec-timeout 10 0
no ip http server
no ip http secure-server
Pflichtkomponente 4: AAA und Audit Trail (wenn zentral verfügbar)
Für Enterprise-Standardisierung ist AAA/Accounting ein Kernbaustein: individuelle Identitäten statt Shared Accounts. Wo AAA nicht verfügbar ist, muss ein Break-Glass Prozess definiert sein.
- AAA new-model
- Zentrale Auth (TACACS+/RADIUS) + local fallback
- Accounting: Exec und optional Commands
CLI: AAA/Accounting Baseline
aaa new-model
tacacs server TACACS1
address ipv4 10.10.10.10
key
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Pflichtkomponente 5: Hardening der Angriffsfläche
Reduzieren Sie unnötige Services und setzen Sie sichere Defaults. Hardening ist besonders wichtig bei Edge-Routern oder exponierten Standorten.
- Unnötige Services deaktivieren (HTTP/HTTPS, Legacy)
- Passwort-/Key-Policy gemäß Unternehmensstandard
- Optional: CoPP, wenn exponiert (Internet Edge, VPN Hub)
CLI: CoPP/Control Plane Checks (für Baseline-Verifikation)
show policy-map control-plane
show processes cpu sortedPflichtkomponente 6: Monitoring-Enablement (NOC-Readiness)
Standardisierung ist ohne Monitoring unvollständig. Die Baseline sollte mindestens SNMPv3 (oder Telemetrie) und eine klare Sichtbarkeit für KPIs liefern.
- SNMPv3 statt SNMPv2c
- KPIs: Interface Status, Errors/Drops, CPU/Memory
- Alarmkatalog: Interface down, CPU high, ggf. Track/VPN (Module)
CLI: Monitoring Evidence
show snmp user
show ip interface brief
show interfaces counters errors
show processes cpu sortedPflichtkomponente 7: Interface- und Routing-Hygiene (lesbar, standardisiert)
Lesbarkeit ist ein Betriebskriterium. Einheitliche Interface-Descriptions, konsistente IP-Plan-Konventionen und saubere Routing-Summaries reduzieren Fehler und beschleunigen Incidents.
- Interface descriptions nach Standard (ROLE, LINK, SITE)
- IP-Plan-Regeln dokumentiert (Gateways, Loopbacks, Summaries)
- Routing: keine unkontrollierte Redistribution
CLI: Readability Checks
show interfaces description
show ip interface brief
show ip route summaryPflichtkomponente 8: Backup/Versionierung (Config Management)
Ohne Backups ist Rollback nicht sicher. Baseline bedeutet: PRE/POST Backups sind Standard und Config-Changes sind versioniert (Change-ID, Repo/Tool).
- PRE/POST running-config und startup-config sichern
- Konfig-Export in zentrale Ablage/Repository
- Change-ID Pflicht pro Änderung
CLI: Backup Commands (operativ)
show running-config
show startup-config
show version
show bootBaselinemodule: Was bewusst nicht „Pflicht“ ist, aber häufig dazugehört
Damit die Baseline schlank bleibt, werden einige Themen als Module umgesetzt. So bleibt Standardisierung stabil, auch wenn Standorte unterschiedliche Anforderungen haben.
- Dual-ISP/Tracking (IP SLA, Track, Failover-UAT)
- VPN (Site-to-Site, Remote Access, No-NAT)
- QoS (WAN-Shaping, Echtzeitklassen, Counter-Verifikation)
- VRF Lite (IT/OT, Multi-Tenant, DMZ-Segmentierung)
Definition of Done für die Baseline: Abnahmekriterien
Eine Baseline ist erst standardisiert, wenn sie nachweisbar umgesetzt und überprüfbar ist. Diese Kriterien eignen sich als Abnahme-Checkliste für jedes neue Gerät.
- Management: SSH-only, MGMT-Only, Exec-Timeout aktiv
- Auditability: NTP synced, Syslog zentral sichtbar
- AAA: aktiv und getestet (oder Break-Glass Prozess dokumentiert)
- Monitoring: SNMPv3/Telemetry sichtbar, KPIs erfassbar
- Governance: Template-Version + Change-ID dokumentiert
CLI: Baseline Evidence Pack (Copy/Paste)
show version
show clock
show ntp status
show ip interface brief
show interfaces counters errors
show ip route summary
show ip ssh
show running-config | include line vty|access-class|transport input
show running-config | include aaa|tacacs|radius
show running-config | include logging host|logging trap|logging source-interface
show logging | last 100
show processes cpu sorted
show snmp userKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.