Cisco Router Golden Config: Erstellen, testen und Konsistenz sicherstellen

Eine Cisco Router Golden Config ist die verbindliche Referenzkonfiguration, die Sicherheit, Betriebsfähigkeit und Standardisierung über viele Geräte hinweg garantiert. Sie ist mehr als ein „Baseline-Snippet“: Eine Golden Config definiert Pflichtkontrollen (Management, AAA, Logging, NTP, Monitoring), modulare Erweiterungen (VPN, Dual-ISP, QoS, VRF) und klare Abnahmekriterien. Der größte Nutzen entsteht, wenn die Golden Config nicht nur erstellt, sondern auch getestet, versioniert und kontinuierlich auf Konsistenz geprüft wird – sonst entsteht Drift und der Standard verliert seine Wirkung. Dieser Leitfaden zeigt ein praxistaugliches Vorgehen zum Erstellen, Testen und Durchsetzen einer Golden Config für Cisco IOS/IOS XE.

Definition: Was eine Golden Config ist (und was nicht)

Eine Golden Config ist ein Standard, der „production-grade“ implementierbar und auditierbar ist. Sie umfasst Regeln, Templates und Evidence – nicht nur Konfigzeilen.

• Ist: Referenz für Baseline + Module, versioniert und überprüfbar
• Ist: Grundlage für Automatisierung, Audits, Drift-Control
• Ist nicht: eine einmalige „Best-Practice“-Konfiguration ohne Pflege
• Ist nicht: ein monolithischer Dump ohne Variablenmodell

Baustein 1: Scope festlegen (Geräteklassen und Pflichtkontrollen)

Beginnen Sie mit Geräteklassen. Eine Golden Config für Branch-Router unterscheidet sich von einer für DC-Edge. Definieren Sie Pflichtkontrollen pro Klasse.

• Geräteklassen: Branch-Edge, HQ-Edge, DC-Edge, VPN-Hub
• Pflichtkontrollen: SSH/MGMT-Only, AAA/Accounting, NTP, Syslog, Monitoring
• Optionalmodule: Dual-ISP/Tracking, VPN, QoS, VRF, BGP/OSPF

Baustein 2: Struktur – Baseline + Module + Variablen

Skalierbarkeit entsteht durch Trennung. Die Baseline bleibt stabil, Module werden je Standort/Use Case ergänzt, Variablen liefern die standortspezifischen Werte.

• Baseline: unverhandelbar, auf jedem Gerät identisch (bis auf Variablen)
• Module: klarer Scope und klare Abnahme (z. B. VPN-Modul)
• Variablen: SiteID, IPs, MGMT-Netze, Server-IPs, Providerparameter

Governance Header (Beispiel)

!
! GOLDEN-CONFIG: branch-edge
! VERSION: v1.0.0
! TEMPLATE: baseline + (modules)
! CHANGE-ID: CHG-2026-00XXXX
! SITE: BR012
!

Baustein 3: Golden Baseline – Pflichtkomponenten (praxisnah)

Diese Komponenten sind in den meisten Enterprise-Umgebungen Pflicht. Sie bilden den Kern Ihrer Golden Config und sind Grundlage für Auditability und Betrieb.

• Management Hardening: SSH-only, VTY MGMT-Only, Exec-Timeout
• AAA/Accounting: zentrale Identitäten + Audit Trail, Break-Glass geregelt
• NTP: Zeitsynchronisation als Go-Live Gate
• Syslog: zentral, Source-Interface gesetzt
• Monitoring: SNMPv3/Telemetry enablement, KPI-Sichtbarkeit

CLI: Baseline-Auszug (Template)

service timestamps log datetime msec
ip domain-name example.local

crypto key generate rsa modulus 2048

ip ssh version 2
ip access-list standard MGMT_ONLY

permit 10.10.10.0 0.0.0.255

deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0
aaa new-model

aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+
ntp server 192.0.2.10 prefer

ntp server 192.0.2.11
logging buffered 64000 informational

logging host 192.0.2.20

logging trap informational

logging source-interface GigabitEthernet0/1

Baustein 4: Testen der Golden Config – was „Test“ wirklich bedeutet

Testen ist mehr als „Konfig lädt“. Eine Golden Config muss funktional, sicher und operativ validiert werden. Nutzen Sie Tests auf drei Ebenen: Syntax, Funktion, Betrieb.

• Syntax/Kompatibilität: IOS/IOS-XE Versionen, Features/Lizenzen
• Funktion: Connectivity, Routing/VPN Module, Failover
• Operability: Logging/NTP/AAA funktionieren und sind sichtbar

CLI: Pre-/Post-Check Bundle (für Tests und Abnahme)

terminal length 0
show clock
show ntp status
show version
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip ssh
show running-config | include line vty|access-class|transport input|exec-timeout
show running-config | include aaa|accounting
show running-config | include logging host|logging source-interface
show logging | last 50
show processes cpu sorted

Testfälle für Module: Dual-ISP, VPN, QoS (Beispiele)

Module müssen eigene Abnahme-Tests besitzen. So verhindern Sie, dass ein Gerät „Baseline ok“ ist, aber Failover oder VPN im Go-Live versagt.

Dual-ISP/Tracking Tests

• Link-down Failover: ISP1 down → ISP2 übernimmt
• Path-down Failover: Upstream tot, Link up → Tracking muss umschalten
• Failback: Rückkehr ohne Ping-Pong

show ip sla statistics
show track
show ip route 0.0.0.0
show logging | include TRACK|IP_SLA

VPN Tests

• SA up und Traffic aktiv (Counter steigen)
• No-NAT korrekt (falls NAT genutzt)
• Stabilität: keine Flaps/Rekeys außerhalb erwarteter Parameter

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail
show ip nat statistics

QoS Tests

• Policy attached, Counter plausibel
• Queue Drops interpretieren (Engpass/Fehlkonfig)

show policy-map interface
show interfaces | include output drops|queue

Baustein 5: Konsistenz sicherstellen – Drift-Control als Dauerprozess

Eine Golden Config ist nur dann „golden“, wenn der Ist-Zustand regelmäßig gegen den Soll-Zustand geprüft wird. Drift entsteht durch Hotfixes, Vendor-Änderungen und lokale Workarounds.

• Regelmäßige Checks: täglich/wöchentlich je Kritikalität
• Diff-Reporting: Abweichungen nach Risiko klassifizieren
• Change Gates: keine Änderungen ohne Change-ID und Review
• Remediation: Abweichungen entweder zurückbauen oder in Golden aufnehmen

Compliance-Gates: Was vor dem Go-Live „grün“ sein muss

Definieren Sie harte Gates, die die Golden Config erzwingt. Diese Gates sind sowohl technisch als auch auditseitig relevant.

• NTP synchronized
• Syslog zentral aktiv, korrekte Source-Interface
• SSH-only und MGMT-Only auf VTY
• AAA/Accounting aktiv (oder Break-Glass Prozess dokumentiert)
• Monitoring enablement (SNMPv3/Telemetry) sichtbar

Versionierung und Change-Integration: Golden Config als „Produkt“

Behandeln Sie die Golden Config wie ein Produkt: Versionen, Releases, Changelog, und kontrollierte Rollouts. So bleibt sie stabil und akzeptiert.

• Versionen: semantisch (v1.0.0, v1.1.0), Changes dokumentiert
• Review: Vier-Augen-Prinzip für sicherheitskritische Bereiche
• Rollout: Pilot → Wellenrollout → Drift-Check
• Evidence: pro Rollout Pre/Post Checks und UAT-Protokoll

Standard Evidence Pack: Audit- und Ops-tauglich

Dieses Evidence Pack ist die praktische Brücke zwischen Golden Config und Abnahme/Audit. Es beweist, dass der Standard aktiv ist und funktioniert.

terminal length 0
show clock
show ntp status
show version
show ip interface brief
show interfaces counters errors
show ip route summary
show ip route 0.0.0.0
show ip ssh
show running-config | include line vty|access-class|transport input|exec-timeout
show running-config | include aaa|tacacs|radius|accounting
show running-config | include logging host|logging trap|logging source-interface
show logging | last 100
show processes cpu sorted
show snmp user

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.