Enterprise-Router-Design ist weniger „ein Gerät konfigurieren“ und mehr „ein konsistentes Muster“: klare Rollen (Edge/Branch/DC), saubere Trennung von Underlay/Overlay, wiederholbare Templates und Security-by-Design. Gute Designs sind stabil unter Last, wartbar im Betrieb und robust gegen Fehlkonfigurationen. Dieser Überblick fasst Best Practices, typische Fallstricke (Pitfalls) und bewährte Patterns zusammen – so, dass du daraus direkt Design-Entscheidungen und Konfigurationsstandards ableiten kannst.
Rollenmodell: Router ist nicht immer „der Router“
In Enterprise-Netzen hat ein Router je nach Platzierung unterschiedliche Aufgaben. Wer alle Funktionen auf ein Gerät „draufpackt“, produziert unübersichtliche Policies und schweres Troubleshooting.
- Internet Edge: NAT, BGP, Security-Policy, DDoS-Resilienz, CoPP
- Branch Edge: WAN/ISP, VPN/SD-WAN, QoS, lokale Services (DHCP)
- Data Center Edge: BGP/EVPN-Anbindung, Segmentierung, Service-Chaining
- Transit/Core: Routing/Policy, hohe Verfügbarkeit, minimale State
Adressierung und Namenskonzept: Grundlage für Skalierung
Skalierbarkeit beginnt mit sauberem IP-Plan und konsistenten Namensregeln. Das reduziert Overlaps, beschleunigt Onboarding und vereinfacht Security-Policies.
- Hierarchischer IP-Plan (Region/Site/VLAN) statt „gewachsen“
- Loopbacks für Routing/Management (stabil, unabhängig von Interfaces)
- Summarization-fähige Prefixes (kleinere Routing-Tabellen)
Summarization-Idee (Beispiel)
Routing-Pattern: IGP innen, BGP außen – sauber getrennt
Ein häufiges Enterprise-Pattern ist: IGP (OSPF/IS-IS) für internes Underlay, BGP für Edge/Interconnects und Policy. So bleibt das Kernrouting stabil und BGP steuert Pfade, Summaries und Redundanz.
- IGP: schnelle Konvergenz im Underlay, geringe Policy-Komplexität
- BGP: Policy, Multi-Homing, Traffic Engineering, Internet
- Trennung: vermeidet „Policy im IGP“ und reduziert Fehler
Pitfall: Redistribute „wild“ ohne Filter
Ungefilterte Redistribution erzeugt Route-Leaks, Feedback-Loops und instabile Tabellen. Redistribution nur mit Prefix-Lists/Route-Maps und klarer Richtung.
High Availability: Redundanz ohne Instabilität
HA ist nicht nur „zwei Router“. Du brauchst deterministische Failover-Mechanismen: saubere Default-Gateway-Redundanz (HSRP/VRRP), Tracking, und Routing-Design ohne Asymmetrie.
- Dual-WAN + Tracking (IP SLA) statt nur Link-Status
- HSRP/VRRP für Gateway-Redundanz (Campus/Branch)
- ECMP bewusst nutzen oder bewusst vermeiden (je nach State/Firewall)
Pattern: Floating Static Route + Tracking
ip sla 1
icmp-echo 1.1.1.1 source-interface gigabitEthernet0/1
frequency 5
ip sla schedule 1 life forever start-time now
track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 203.0.113.1 track 1
ip route 0.0.0.0 0.0.0.0 198.51.100.1 10
Security-by-Design: Management, Control Plane, Data Plane
Enterprise-Hardening ist mehrschichtig: Management-Zugriff streng begrenzen, Control Plane gegen Floods schützen, Data Plane mit klaren Policies segmentieren. Router sind keine „Firewall-Ersatzmaschinen“, aber sie sind Policy-Enforcer im Routing.
- Management Plane: SSH-only, VTY ACL, AAA, Timeouts
- Control Plane: CoPP/CPPr, Rate-Limits für CPU-Traffic
- Data Plane: ACL/ZBF, Segmentierung, uRPF wo passend
Pattern: VTY absichern
ip ssh version 2
ip access-list standard VTY_MGMT
permit 10.255.0.0 0.0.255.255
deny any
line vty 0 15
login local
transport input ssh
access-class VTY_MGMT in
exec-timeout 10 0NAT, Firewalls und Zonen: klare Grenzen setzen
Ein typischer Pitfall ist „NAT überall“. In Enterprise-Designs solltest du NAT möglichst am Edge terminieren und intern sauber routen. Für Security-Policies sind Zonenmodelle (ZBF) oft klarer als viele Interface-ACLs.
- NAT am Internet Edge, nicht im Core
- Port-Forwarding immer mit Outside-ACL/Policy koppeln
- Komplexe Policies: Zonen statt „ACL-Spaghetti“
VPN/Overlay-Patterns: IPsec, GRE over IPsec, DMVPN, SD-WAN
Für Enterprise-WAN ist die Wahl des Overlays entscheidend. Klassisches Site-to-Site IPsec ist ok für wenige Sites. DMVPN skaliert Hub-and-Spoke. GRE over IPsec ist gut für dynamisches Routing. SD-WAN bringt zentrale Policy und Orchestrierung.
- Wenige Sites: statisches IPsec (einfach, schnell)
- Viele Branches: DMVPN oder SD-WAN (Templates, Skalierung)
- Dynamisches Routing/Multicast: GRE over IPsec
- Pitfall: MTU/MSS nicht angepasst → „Webseiten hängen“
Pattern: MSS-Clamping im Overlay
interface tunnel0
ip tcp adjust-mss 1360QoS-Pattern: WAN ist der Engpass, dort wird priorisiert
QoS wirkt dort, wo Congestion entsteht – typischerweise am WAN-Uplink. Ein bewährtes Pattern ist Parent-Shaping auf reale Provider-Rate und darunter LLQ für Voice. Das verhindert, dass Congestion beim Provider entsteht, wo du nicht mehr priorisieren kannst.
- Shaping am WAN-Egress (Upload) als Basis
- LLQ für Voice (limitiert), Rest CBWFQ/Default
- Pitfall: QoS am falschen Interface/inbound ohne Wirkung
Pattern: Shaper + LLQ (Prinzip)
class-map match-any CM_VOICE
match dscp ef
policy-map PM_CHILD
class CM_VOICE
priority 1000
class class-default
fair-queue
policy-map PM_PARENT
class class-default
shape average 9500000
service-policy PM_CHILD
interface gigabitEthernet0/1
service-policy output PM_PARENT
Observability: SNMP, Syslog, NetFlow als Mindeststandard
Ohne Telemetrie ist Enterprise-Betrieb blind. Best Practice ist ein Minimum aus Syslog (Events), SNMP (Health/Graphs) und NetFlow/Telemetry (Traffic-Komposition). Wichtig: Management über Loopback und ACLs absichern.
- Syslog zentral + NTP (korrekte Zeit)
- SNMPv3 für Monitoring, Zugriff per ACL begrenzen
- NetFlow/Flexible NetFlow für Top-Talker und Incident-Triage
Pattern: Syslog und Source-Interface
service timestamps log datetime msec localtime
logging host 10.255.0.20
logging source-interface loopback0
logging trap warningsKonfig-Management: Templates, Versionierung, Rollback
Im Enterprise zählt Wiederholbarkeit. Standard-Templates reduzieren menschliche Fehler. Versionierung (Git) und automatisierte Backups ermöglichen schnelle Rollbacks und Audits.
- „Golden Config“ Templates pro Rolle (Edge/Branch/DC)
- Automatisierte Backups (SCP, Tools wie Oxidized/RANCID)
- Change-Prozess: testen, deployen, verifizieren, dokumentieren
Typische Pitfalls (die du aktiv vermeiden solltest)
Diese Muster tauchen in echten Netzen regelmäßig auf und führen zu instabilen Designs oder Security-Risiken.
- Keine klare Rollen-/Zonen-Trennung (alles auf einem Interface-ACL-Haufen)
- Redistribution ohne Filter (Route-Leaks, Loops)
- NAT im Core (Debug-Hölle, VPN/Apps brechen)
- Kein CoPP (CPU-Floods legen Management/Routing lahm)
- Keine MTU/MSS-Strategie in Overlays
- Keine Telemetrie (Syslog/SNMP/Flows fehlen)
Quick-Reference: Enterprise „Baseline“ als Mini-Template
Dieses Snippet zeigt typische Baseline-Bausteine, die du in Templates wiederfindest.
! Management
ip ssh version 2
service timestamps log datetime msec localtime
logging source-interface loopback0
! Control Plane (Prinzip)
control-plane
service-policy input PM_COPP
! Interfaces (Beispiel)
interface loopback0
ip address 10.255.255.1 255.255.255.255
! Observability
logging host 10.255.0.20
logging trap warnings
Konfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
