Ab 20 Standorten kippt der Aufwand: Manuelle Einzelkonfigurationen führen zwangsläufig zu Drift, inkonsistenten Policies und langen Incident-Zeiten. Ein professionelles Cisco-Router-Setup für 20+ Standorte braucht daher zwei Dinge als Standard: konsequente Standardisierung (Golden Config + Variablenmodell) und Automatisierung (Template-Rendering, versionierte Deployments, Soll/Ist-Abgleich). Dieser Leitfaden zeigt praxistaugliche Bausteine, mit denen Sie Rollouts skalieren, Betriebskosten senken und Änderungen sicher ausrollen.
Warum 20+ Standorte ohne Standardisierung teuer werden
Mit jeder Ausnahme steigt Komplexität nicht linear, sondern exponentiell: andere VLANs, andere Namen, andere VPN-Parameter, andere Failover-Logik. Standardisierung reduziert diese Varianz und macht Support reproduzierbar.
- Drift: gleiche Rolle, andere Konfig → Incidents dauern länger
- Change-Risiko: Updates sind nicht „einmal“ testbar, weil jeder Standort anders ist
- Audit/Compliance: Nachweise fehlen oder sind nicht vergleichbar
- Skalierung: Onboarding neuer Standorte wird zum manuellen Projekt
Standardmodell: Golden Config + Standortvariablen
Das Ziel ist eine Konfiguration, die überall gleich aussieht – bis auf wenige definierte Variablen. Alles, was sicherheits- oder betriebsrelevant ist, gehört in die Golden Config und ist nicht verhandelbar.
- Golden Config (fix): Hardening, NTP/Syslog, Monitoring, Naming, Standard-Checks
- Golden Config (fix): Standard-VLANs, Standard-ACLs, Standard-QoS (wenn genutzt)
- Variablen (pro Standort): Hostname, SiteID, WAN-IP/GW, lokale Netze, VPN-Peer
- Optionen: Dual-WAN, spezielle VLANs, BGP/OSPF-Profile (als „Feature Flags“)
IP-Plan-Standardisierung: Standort-ID und aggregierbare Blöcke
Automatisierung funktioniert nur, wenn der IP-Plan „berechenbar“ ist. Für Filialnetze ist ein Schema nach dem Muster 10.<SiteID>.<VLAN>.0 sehr praktikabel. Für größere Standorte sollten Sie Standortblöcke reservieren, um summarization-fähig zu bleiben.
Beispiel-Schema (Filialstandard)
- VLAN10-MGMT: 10.<SiteID>.10.0/24
- VLAN20-USERS: 10.<SiteID>.20.0/24
- VLAN50-GUEST: 10.<SiteID>.50.0/24
- Optional VLAN40-IOT: 10.<SiteID>.40.0/26
Subnetting-Hinweis: /22 als Standortblock
Ein /22 liefert 1024 Adressen (1022 nutzbar) und eignet sich als sauberer Block pro Standort, aus dem mehrere /24-/26-Netze abgeleitet werden können.
Naming-Standard: Maschinenlesbar und supportbar
Mit 20+ Standorten ist Naming nicht „Doku“, sondern Betrieb. Hostname, Interface-Descriptions und Objekt-Namen müssen standardisiert sein, damit Monitoring und Logs zuverlässig korrelieren.
- Hostname: R<Nr>-<SITE>-EDGE<Nr> (z. B. R1-FIL12-EDGE01)
- Interfaces: WAN-ISP1-PRIMARY-CIDxxx, LAN-TRUNK-to-SW1
- ACLs: ACL-GUEST-IN, ACL-IOT-IN, MGMT_ONLY
- Route-Maps/Prefix-Lists: RM-ISP1-IN/OUT, PL-ISP1-OUT
Standard-Security: Pflichtbaseline für alle Standorte
Security muss „default“ sein, sonst wird sie in Rollouts vergessen. Die Baseline umfasst SSH-only, Management-Restriktion, NTP/Syslog und Deaktivierung unnötiger Services.
Beispiel: Hardening-Baseline (Template-Baustein)
no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2
ip access-list standard MGMT_ONLY
permit 10..10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
login local
exec-timeout 10 0
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational
Standard-Policies: Segmentierung mit wiederverwendbaren ACL-Bausteinen
Die wichtigste Policy im Filialmaßstab ist Guest-Isolation. Diese Regel ist überall gleich, nur das Subnetz ist variabel. Dadurch können Sie Policies automatisch generieren und per Template ausrollen.
Beispiel: Guest-ACL als Template
ip access-list extended ACL-GUEST-IN
deny ip 10.<SiteID>.50.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.<SiteID>.50.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.<SiteID>.50.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.<SiteID>.50.0 0.0.0.255 anyStandard-VPN: Template-Parameter statt Einzelkonfiguration
Bei 20+ Standorten müssen VPN-Parameter standardisiert sein, sonst werden Rekey/DPD, No-NAT und MTU/MSS zu einem Dauerproblem. Nutzen Sie ein einheitliches Kryptoprofil und prüfen Sie per Paketzähler.
- IKEv2/IPsec Standardprofile (Cipher/Hash/DH/PFS) einheitlich
- No-NAT als Pflichtregel, wenn VPN-Traffic über NAT läuft
- MSS-Clamping als Standardbaustein, wenn Provider/Overhead es erfordert
- Runbook: SA-Checks und Logs in jedem Standort identisch
VPN-Runbook-Checks (SOP)
show crypto ikev2 sa
show crypto ipsec sa
show crypto session detailAutomatisierung: Von „Template“ zu „Deployment“
Automatisierung bedeutet nicht nur „pushen“, sondern kontrolliert deployen: Rendern aus Variablen, Validieren, dann ausrollen. Wichtig ist, dass jeder Standort einen eindeutig versionierten Zustand hat.
- Source of Truth: Standortvariablen als strukturierte Daten (z. B. CSV/YAML)
- Template-Rendering: Golden Config + Variablen → Standort-Config
- Pre-Validation: Syntax-Checks, Diff gegen Ist-Zustand, Peer-Review
- Deployment: gestaffelt (Wellen), mit Stop/Go und Rollback
- Post-Validation: Pre-/Post-Checks automatisiert sammeln und ablegen
Drift-Control: Soll/Ist-Abgleich als Pflichtprozess
Bei 20+ Standorten ist Drift unvermeidlich, wenn sie nicht aktiv kontrolliert wird. Drift-Control bedeutet: regelmäßig prüfen, ob Konfigurationen vom Template abweichen, und Abweichungen bewusst genehmigen oder korrigieren.
- Ist-Zustand regelmäßig exportieren (running-config)
- Diff gegen Golden Config + genehmigte Exceptions
- Exceptions dokumentieren (Owner, Zweck, Ablaufdatum)
- Regelmäßige Remediation-Wellen statt „Feuerwehr“
Rollout-Plan: Pilot, Template-Freeze, Wellen
Der schnellste Weg zu einem stabilen Rollout ist ein Pilot, gefolgt von einem Template-Freeze. Danach rollen Sie in Wellen aus, damit ein Fehler nicht 20-mal repliziert wird.
- Pilot: 2–3 Standorte mit vollständiger Abnahme (inkl. VPN/Failover)
- Template-Freeze: Version markieren, Änderungen nur per Change Request
- Wellen: z. B. 5 Standorte pro Change-Fenster
- Nach jeder Welle: Abnahmeprotokolle prüfen, Lessons Learned einarbeiten
Minimal-Monitoring: Standardisiert und zentral
Automatisierung ohne Monitoring erzeugt schnelleres Chaos. Mindestens NTP, Syslog und IP SLA sollten überall gleich implementiert sein, optional SNMPv3/Telemetry für zentrale Sichtbarkeit.
- NTP synchronized, Log-Timestamps aktiv
- Syslog zentral (informational als Baseline)
- IP SLA für Path-Down Erkennung
- Optional: SNMPv3 Polling (Interfaces, Errors/Drops, CPU/Memory)
Beispiel: IP SLA Standardbaustein
ip sla 10
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
frequency 5
timeout 1000
ip sla schedule 10 life forever start-time nowAbnahme und UAT: Einheitliche Checkliste für alle Standorte
Einheitliche Checks sind der Schlüssel zur Skalierung. Jeder Standort wird mit demselben Checkset abgenommen, und die Outputs werden als Artefakt abgelegt (pre/post).
Standard-Post-Checks (Copy/Paste)
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show crypto ikev2 sa
show crypto ipsec sa
show ip sla statistics
show logging | last 50
show processes cpu sortedMinimaler Template-Auszug: So sieht „standardisiert“ in der CLI aus
Dieser Auszug zeigt, wie ein Template in der Praxis aufgebaut ist: feste Baseline, Variablen als Platzhalter, klare Namen. IPs und SiteID sind Platzhalter.
hostname R1-FIL<SiteID>-EDGE01
no ip domain-lookup
no ip http server
no ip http secure-server
ip ssh version 2
ip access-list standard MGMT_ONLY
permit 10..10.0 0.0.0.255
deny any
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational
ip sla 10
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
frequency 5
timeout 1000
ip sla schedule 10 life forever start-time now
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
