In Manufacturing/OT-Umgebungen sind Cisco-Router oft der kritische Übergang zwischen IT und OT: Sie verbinden Produktionsnetze (PLC, SCADA, Maschinen) mit IT-Services (AD, Patch-Server, Historian, Cloud) und ermöglichen Fernzugriff für Instandhaltung oder Hersteller. Die größten Risiken entstehen durch mangelnde Segmentierung und unkontrollierten Remote Access: Ein kompromittierter IT-Client darf nicht in OT „durchregieren“, und Fernzugriff darf nie direkt auf Maschinen führen. Ein professionelles Design setzt daher auf harte Trennung (VRF Lite/Zone-Modell), streng definierte Flows (Allow-List), auditierbaren Zugriffspfad (Bastion + MFA) und ein Betriebsmodell mit Logs, Retention und SOPs. Dieser Leitfaden zeigt praxistaugliche Design- und Konfigurationsprinzipien für IT/OT-Segmentierung und sicheren Remote Access mit Cisco-Routern.
OT-Spezifik: Warum IT-Standards allein nicht reichen
OT priorisiert Verfügbarkeit, deterministische Kommunikation und lange Lebenszyklen. Security muss deshalb besonders kontrolliert eingeführt werden: minimalinvasiv, mit klaren Ausnahmen und einem strengen Change-Prozess.
- Availability first: Produktionsausfälle sind teuer, Changes sind streng geplant
- Legacy-Protokolle: oft ohne starke Authentifizierung/Encryption
- Stabile Pfade: Latenz/Jitter/Packet Loss sind betriebskritisch
- Remote Access: häufig notwendig, aber hohes Risiko ohne Governance
Segmentierungszielbild: IT/OT als harte Boundary
Das Ziel ist eine klare Trennung: OT ist nicht „ein VLAN im LAN“, sondern eine eigenständige Routing-Domäne mit kontrollierten Übergängen. Router übernehmen die L3-Trennung, Firewalls/Policy-Engines setzen die tiefere Policy durch.
- IT: Office, User, Servers, Internet
- OT: PLC/SCADA, Maschinenzellen, Engineering Workstations
- DMZ/Shared: Historian, Jump Host, Patch-Proxy, Remote Access Gate
- MGMT: separater Zugriffspfad für Router/Switches (Bastion)
Design Pattern: VRF Lite für IT/OT und DMZ
VRF Lite ist in OT besonders wertvoll, weil es Routing-Tabellen strikt trennt und dadurch Route-Leaks und ungewollte Laterale Bewegungen reduziert. Inter-VRF-Verkehr wird explizit über definierte Gateways/Policies geführt.
- VRF-IT: Corporate Routing
- VRF-OT: Produktionsrouting, getrennte Defaults
- VRF-DMZ: kontrollierte Services (Historian, Jump, Patch)
- Regel: Inter-VRF nur über definierte Policy-Grenze (Firewall/Zone)
CLI: VRFs definieren (Muster)
vrf definition VRF-IT
rd 65010:10
address-family ipv4
exit-address-family
vrf definition VRF-OT
rd 65010:20
address-family ipv4
exit-address-family
vrf definition VRF-DMZ
rd 65010:30
address-family ipv4
exit-address-family
CLI: Interfaces in VRFs legen (Beispiel)
interface GigabitEthernet0/1.10
description IT-LAN
encapsulation dot1Q 10
vrf forwarding VRF-IT
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1.20
description OT-LAN
encapsulation dot1Q 20
vrf forwarding VRF-OT
ip address 10.20.20.1 255.255.255.0
interface GigabitEthernet0/1.30
description OT-DMZ
encapsulation dot1Q 30
vrf forwarding VRF-DMZ
ip address 10.30.30.1 255.255.255.0
Policy-Modell: Allow-List statt „Block-List“
OT-Segmentierung ist effektiv, wenn sie auf erlaubten Flows basiert. Statt „alles darf, außer …“ definieren Sie „nur diese Kommunikation ist erlaubt“. Das ist auditierbar und reduziert Risiko.
- OT → IT: nur notwendige Dienste (z. B. Historian, NTP, DNS über DMZ)
- IT → OT: grundsätzlich blockiert, Ausnahme nur über Jump/Bastion
- OT Zellen: Zelle-zu-Zelle nur wenn zwingend, sonst getrennt
- Logging: policy-relevante Denies selektiv loggen (keine Logflut)
Remote Access Zielbild: Kein direkter Zugriff in OT
Sicherer Remote Access bedeutet: Zugriff erfolgt über eine kontrollierte Kette (VPN/ZTNA → Bastion/Jump → OT), mit MFA, RBAC und Session-Nachvollziehbarkeit. Direkte VPNs in OT-Netze sind ein Anti-Pattern.
- Entry: VPN/ZTNA mit MFA (identitätsbasiert)
- Jump: Bastion in OT-DMZ, Session-Quelle und Auditpunkt
- Access: OT nur via Bastion, per Allow-List zu definierten Zielen/Ports
- Audit: AAA/Accounting, Syslog/SIEM, Ticketbindung (Change/Incident)
Management Plane Security: Router-Adminzugriff strikt isolieren
Router in OT-Umgebungen müssen besonders restriktiv gemanaged werden: kein Adminzugriff aus IT/OT, sondern aus einem dedizierten MGMT-Netz über Bastion. Alle Adminaktionen müssen auditierbar sein.
- SSH-only, VTY Access-Class (MGMT-Only)
- AAA/TACACS+ (oder RADIUS) mit Accounting
- NTP/Syslog zentral, Zeitstempel korrekt
- Optional: CoPP bei Exposition oder hohem Noise
CLI: MGMT-Only Zugriff (Muster)
ip access-list standard MGMT_ONLY
permit 10.10.99.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
exec-timeout 10 0
no ip http server
no ip http secure-server
OT-spezifische Betriebsanforderungen: NTP, Logs und Change Windows
Ohne korrekte Zeit sind OT-Incidents schwer analysierbar. Gleichzeitig sind Change Windows in OT strikt. Dokumentieren Sie daher SOPs, Evidence und Rollback pro Änderung.
- NTP: stabile Zeitquelle (idealerweise intern), NTP Status als Gate
- Syslog: zentrale Speicherung, Retention für Audits
- Change SOP: Pre-/Post-Checks, UAT, Rollback-Trigger
- Incident SOP: Quick Snapshot, Stabilisierung vor Root Cause
CLI: Logging/NTP Evidence
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational
show ntp status
show logging | last 100
Resilience: Produktionskritische Connectivity absichern
OT-Netze benötigen stabile, vorhersehbare Pfade. Wenn OT auf zentrale Services angewiesen ist, planen Sie Link-Redundanz und Path-Down-Erkennung, um Ausfälle zu minimieren.
- Dual-ISP/Dual-Link: bei kritischen Standorten
- IP SLA/Tracking: Path-Down erkennen (nicht nur Link-down)
- Routing stabil: keine aggressiven Timer ohne Messung
Troubleshooting-Grenzen: IT vs. OT sauber trennen
Im Incident muss klar sein, wo geprüft wird: Routing/Link (NetOps), Policy/Remote Access (SecOps) oder OT-Applikation (OT-Team). Ein gemeinsames Evidence-Paket reduziert Reibung.
- NetOps: Interface/Route/VRF/Tracking, Drops/Errors
- SecOps: Remote Access Pfad, MFA, Bastion Logs, SIEM
- OT: Applikationsstatus (SCADA/PLC), Prozess-Impact
CLI: VRF-aware Quick Snapshot
show clock
show ip interface brief
show ip route vrf VRF-IT 0.0.0.0
show ip route vrf VRF-OT 0.0.0.0
ping vrf VRF-OT 10.30.30.10 repeat 5
show interfaces counters errors
show logging | last 50UAT/Acceptance: Tests für IT/OT-Segmentierung und Remote Access
OT-Design gilt erst als abgenommen, wenn Isolation und kontrollierter Zugriff nachweisbar sind. Testen Sie bewusst auch „verbotene“ Pfade, um Policy-Leaks auszuschließen.
- Isolation: IT → OT direkt blockiert
- Allow-List: OT erreicht nur definierte DMZ/Services
- Remote Access: Zugriff nur via MFA → Bastion → definierte OT-Ziele
- Auditability: Logs und Accounting erzeugen Evidence (wer/was/wann)
CLI: Evidence-Set (Copy/Paste)
show ip route vrf VRF-OT
show ip route vrf VRF-DMZ
ping vrf VRF-OT 10.30.30.10 repeat 10
show access-lists
show ntp status
show logging | last 100Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.