In kritischen Infrastrukturen (KRITIS) sind Cisco-Router nicht „nur Netzwerkgeräte“, sondern Teil der Betriebssicherheit: Ausfälle wirken sich unmittelbar auf Versorgung, Produktion oder Sicherheit aus. Entsprechend müssen Availability (Redundanz und schnelle Convergence), Auditability (nachvollziehbare Adminaktionen, zentrale Logs, Retention) und strikte SOPs (Change-/Incident-Prozesse, UAT, Rollback) als Mindeststandard umgesetzt werden. Entscheidend ist dabei nicht einzelne Features, sondern ein kontrolliertes Betriebsmodell: Standardkonfigurationen, klare Rollen, reproduzierbare Runbooks und regelmäßige Evidence-Erzeugung für interne Audits. Dieser Leitfaden beschreibt praxistaugliche Baselines und SOPs für Cisco-Router in hochkritischen Umgebungen.
Zielbild: KRITIS-Anforderungen in technische Kontrollen übersetzen
KRITIS verlangt keine „magische“ Konfiguration, sondern nachweisbare technische Kontrollen: Verfügbarkeit, Zugriffssicherheit, Protokollierung und kontrollierte Änderungen. Definieren Sie diese Kontrollen als Go-Live-Gates.
- Availability: keine Single Points of Failure, definierte Failover-Zeiten
- Auditability: wer/was/wann, zentrale Logs, Retention und Zugriffskontrolle
- SOPs: Change Windows, UAT, Rollback, Incident-Runbooks, Periodic Reviews
Availability: Redundanzdesign für minimale Downtime
Verfügbarkeit beginnt mit echter Diversität: doppelte Router, doppelte Links, idealerweise duale Provider und getrennte Stromversorgung. Zusätzlich müssen Path-Down-Fälle erkannt werden, nicht nur Link-down.
- Geräte-Redundanz: Edge-Paar (Active/Standby oder Active/Active)
- Link-Redundanz: diverse Trassen, separate Übergabepunkte
- Provider-Redundanz: Dual-ISP oder alternative Transportwege
- Path-Down-Erkennung: IP SLA/Tracking, nicht nur Interface-Status
CLI: Failover-Readiness (Tracking)
show ip sla statistics
show track
show ip route 0.0.0.0Routing-Convergence: Stabilität vor aggressiven Timern
In KRITIS-Umgebungen ist Stabilität wichtiger als „extrem schnelle“ Timer. Aggressive Einstellungen erhöhen Flaps und CPU-Risiko. Messen Sie Failover-Zeiten und optimieren Sie kontrolliert.
- Routing-Design: klar (Static+Tracking für Branches, BGP am Edge, OSPF intern)
- Policy-Schutz: Prefix-Filter, max-prefix, Summaries ohne Blackholes
- Convergence-KPIs: Detection + Routing-Umschaltung + Service-Recovery
CLI: Routing-Stabilität (Evidence)
show ip route summary
show ip ospf neighbor
show bgp summary
show logging | include OSPF|BGP|LINEPROTO|LINK-Control Plane Schutz: CoPP als KRITIS-Standard (bei Exposition)
Wenn Router WAN-exponiert sind oder viele Segmente „Noise“ erzeugen, ist Control Plane Protection in KRITIS meist Pflicht. Ziel ist, CPU-Overload zu verhindern, der Routing und Management destabilisiert.
- Managementzugriff restriktiv (MGMT-Only) als Minimum
- CoPP: klassifizieren, erlauben und rate-limiten (ROUTING, MGMT, ICMP)
- Monitoring: CoPP Drops und CPU-Spikes als Alarm
CLI: CoPP/CPU Evidence
show policy-map control-plane
show processes cpu sortedAuditability: Zeit, Logs und nachvollziehbare Adminaktionen
Auditability ist der Kern der Nachweispflicht. Ohne NTP sind Logs nicht korrelierbar, ohne zentrale Syslog/Retention sind sie nicht auditfähig, und ohne AAA/Accounting fehlt die Identität.
- NTP: mindestens zwei Zeitquellen, Status als Go-Live Gate
- Syslog zentral: Collector/SIEM, Source-Interface gesetzt
- AAA: TACACS+/RADIUS mit RBAC, local fallback als Break-Glass
- Accounting: Exec (und ggf. Commands) für „wer tat was“
CLI: NTP/Syslog Baseline
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging host 192.0.2.20
logging trap informational
logging source-interface GigabitEthernet0/1
CLI: AAA/Accounting Baseline
aaa new-model
tacacs server TACACS1
address ipv4 10.10.10.10
key
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
CLI: Audit Evidence
show ntp status
show logging | last 100
show running-config | include logging host|logging source-interface|ntp server
show running-config | include aaa|tacacsStrikte Adminzugriffssicherheit: Bastion, MFA, MGMT-Only
In KRITIS ist direkter Adminzugriff aus User-Netzen oder aus dem Internet nicht akzeptabel. Nutzen Sie ein dediziertes Managementnetz und einen kontrollierten Zugangspfad (Bastion/Jump Host) mit MFA.
- MGMT-Netz separat (idealerweise VRF oder physisch getrennt)
- VTY Access-Class nur MGMT/Bastion, SSH-only
- MFA vorgelagert (VPN/ZTNA/Bastion), Router via AAA auditierbar
- Break-Glass: lokal vorhanden, streng verwaltet und rotiert
CLI: MGMT-Only Zugriff (Auszug)
ip access-list standard MGMT_ONLY
permit 10.10.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
exec-timeout 10 0
Standardkonfigurationen: Templates als KRITIS-Kontrolle
In hochkritischen Umgebungen ist Standardisierung eine Sicherheitskontrolle: Sie reduziert Human Error und Drift. Jede Abweichung muss als Ausnahme dokumentiert und befristet sein.
- Golden Baseline: Hardening, Logging/NTP, AAA/RBAC, Monitoring
- Module: WAN, Routing, VPN, Segmentierung, CoPP
- Versionierung: Change-ID, Peer-Review, Release-Wellen
- Drift-Control: Soll/Ist-Abgleich, Periodic Review
SOPs für Changes: Pre-Checks, UAT und Rollback als Pflichtteile
KRITIS-Changes müssen standardisiert ablaufen: feste Maintenance Windows, klare Pass/Fail Kriterien und eine getestete Rückfalloption. „Write memory“ erst nach Abnahme.
- Pre-Checks: Baseline-Snapshot (Routing, VPN, CPU, Errors, Logs)
- UAT: definierte Testfälle pro Service (Internet, VPN, Routing, Segmentierung)
- Rollback: Trigger, Schrittfolge, Validierung und OOB-Zugang
- Post-Checks: KPI-Vergleich, Monitoring-Sicht, Evidence Pack
CLI: Pre-/Post-Change Evidence Pack
show clock
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip ospf neighbor
show bgp summary
show crypto ipsec sa
show ip sla statistics
show track
show ntp status
show logging | last 100
show processes cpu sortedIncident SOPs: Triage, Stabilisierung, Root Cause, PIR
In KRITIS muss Incident Response vorher geübt sein. Ein gutes SOP trennt schnelle Stabilisierung (Containment) von Root Cause und definiert Evidence und Eskalation.
- Triage: Quick Snapshot, Impact bestimmen, P1 Trigger
- Containment: Instabilitätsquelle isolieren (Flaps/Loops/CPU)
- Eskalation: Provider/SOC/NetEng mit Minimum Evidence
- PIR: Ursachen, Prävention, Template-/Monitoring-Updates
CLI: Incident Quick Snapshot
show clock
show ip interface brief
show interfaces counters errors
show ip route summary
show processes cpu sorted
show logging | last 100Periodic Controls: Regelmäßige Nachweise und Reviews
KRITIS-Compliance ist kontinuierlich. Definieren Sie regelmäßige Kontrollen, damit Drift früh erkannt wird: Audit-Snapshots, Backup-Checks, Failover-Tests und Access-Reviews.
- Monatlich: CPU/Memory Trends, Errors/Drops, Routing/VPN Flaps
- Quartalsweise: Access Review (AAA/RBAC), Log-Retention Proof, Drift-Control
- Halbjährlich/Jährlich: Failover-UAT (Link/Path), Restore-Test (Backups)
CLI: Compliance Snapshot (minimal)
show version
show running-config | include line vty|access-class|aaa|tacacs|logging host|ntp server
show ntp status
show logging | last 100
show ip route summary
show policy-map control-planeKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.