Ein schneller Rollout für 5 Standorte gelingt nur mit konsequenter Standardisierung: ein Golden Template (fixe Baseline), ein Variablenblatt pro Standort (SiteID, WAN-Parameter, Netze) und ein identischer Abnahmeprozess. Damit reduzieren Sie Konfigurationsdrift, verkürzen Change-Fenster und können Standorte wie „Copy/Paste mit Kontrolle“ ausrollen. Dieser Leitfaden zeigt ein praxistaugliches Template-Modell für Cisco-Router, inklusive IP-Schema, Standardparameter, Rollout-Ablauf und CLI-Bausteinen für Verifikation.
Rollout-Strategie: Golden Template + Standortvariablen
Für 5 Standorte ist der größte Zeitgewinn die Trennung in „immer gleich“ und „pro Standort unterschiedlich“. Alles, was gleich ist, gehört ins Golden Template. Alles, was sich ändert, kommt in ein Variablenblatt.
- Golden Template: Hardening, NTP/Syslog, Standard-VLANs, Standard-ACLs, Standard-Checks
- Variablen: Hostname, SiteID, WAN-IP/Gateway, VLAN-IP-Blöcke, VPN-Peer, optional Dual-WAN
- Versionierung: Template-Version + Standort-Version (pre/post) mit Ticket-ID
- Review: einmal Template reviewen, danach nur Variablen prüfen
IP-Plan-Standard: SiteID + Rollen-VLANs
Ein einfaches Schema beschleunigt Rollouts enorm. Für Filialen ist „10.<SiteID>.<VLAN>.0“ leicht zu merken und gut zu dokumentieren. So bleibt VLAN20 überall Users, VLAN50 überall Guest.
- VLAN10-MGMT: 10.<SiteID>.10.0/24, GW .1
- VLAN20-USERS: 10.<SiteID>.20.0/24, GW .1
- VLAN50-GUEST: 10.<SiteID>.50.0/24, GW .1
- Optional VLAN40-IOT: 10.<SiteID>.40.0/26, GW .1
Subnetting-Hinweis: /26 für IoT/Voice
Ein /26 liefert 64 Adressen (62 nutzbar) und ist für viele kleine Segmente ausreichend.
Standard-VLANs und Policies: Minimal, aber wirksam
Für 5 Standorte lohnt sich ein kleines Standardset. Wichtig ist, dass Guest überall gleich isoliert ist und Management überall gleich abgesichert ist. Dadurch wird Support standortübergreifend identisch.
- Guest: nur Internet, keine internen Netze
- Management: SSH-only, Zugriff nur aus VLAN10-MGMT
- Optional IoT: nur definierte Ziele/Ports
Golden Template: Security-Baseline (fix, überall gleich)
Hardening und Auditfähigkeit sind Pflichtbestandteile. Diese Konfiguration sollte in jedem Standort identisch sein. Werte wie Domain oder Syslog-IP sind nur dann variabel, wenn Sie unterschiedliche Systeme pro Standort haben.
Beispiel: Baseline (Template-Baustein)
no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local
username netadmin privilege 15 secret
crypto key generate rsa modulus 2048
ip ssh version 2
ip access-list standard MGMT_ONLY
permit 10.SITEID.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
login local
exec-timeout 10 0
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational
Golden Template: VLAN-Gateways (Router-on-a-Stick)
Wenn die Standorte klassische Filialnetze sind, ist Router-on-a-Stick häufig ausreichend. Der Trunk bleibt gleich, nur die IPs ändern sich pro SiteID.
Beispiel: VLAN-Gateways (Template mit SiteID-Platzhalter)
interface GigabitEthernet0/1
description LAN-TRUNK-to-SW1-SITE<SITEID>
no shutdown
interface GigabitEthernet0/1.10
description VLAN10-MGMT-SITE
encapsulation dot1Q 10
ip address 10..10.1 255.255.255.0
ip nat inside
interface GigabitEthernet0/1.20
description VLAN20-USERS-SITE
encapsulation dot1Q 20
ip address 10..20.1 255.255.255.0
ip nat inside
interface GigabitEthernet0/1.50
description VLAN50-GUEST-SITE
encapsulation dot1Q 50
ip address 10..50.1 255.255.255.0
ip nat inside
Standortvariablen: WAN und NAT (pro Standort unterschiedlich)
WAN ist fast immer variabel: IP/Gateway, VLAN-Tagging, MTU, PPPoE. NAT bleibt templatebasiert, aber die Quellnetze folgen dem SiteID-Schema und können automatisiert erzeugt werden.
Beispiel: WAN-Block (Variablen)
interface GigabitEthernet0/0
description WAN-ISP-SITE<SITEID>-CID<CIRCUITID>
ip address <WAN_IP> <WAN_MASK>
ip nat outside
no shutdown
ip route 0.0.0.0 0.0.0.0
Beispiel: NAT-Block (Template mit SiteID)
ip access-list standard NAT_INSIDE
permit 10.<SITEID>.20.0 0.0.0.255
permit 10.<SITEID>.50.0 0.0.0.255
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload
Policy-Baustein: Guest isolieren (Template)
Diese Policy ist in Filialen ein Pflichtstandard. Sie wird inbound am Guest-VLAN angewendet und blockiert interne Netze.
Beispiel: Guest-ACL (Template)
ip access-list extended ACL-GUEST-IN
deny ip 10.<SITEID>.50.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.<SITEID>.50.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.<SITEID>.50.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.<SITEID>.50.0 0.0.0.255 any
interface GigabitEthernet0/1.50
ip access-group ACL-GUEST-IN in
Optional: VPN zur Zentrale (wenn Standorte angebunden werden müssen)
Wenn die Standorte per Site-to-Site VPN an die Zentrale angebunden werden, ist Standardisierung noch wichtiger: gleiche Kryptoprofile, gleiche Checks, No-NAT verpflichtend. Die Peers und lokalen Netze sind variabel.
VPN-Checks (Runbook)
show crypto ikev2 sa
show crypto ipsec sa
show crypto session detailRollout-Ablauf: 5 Standorte in Wellen (praktisch)
Ein schneller Rollout gelingt, wenn Sie zuerst ein Pilot-Setup (1 Standort) vollständig abnehmen und erst dann die übrigen 4 Standorte in einer zweiten Welle ausrollen. So vermeiden Sie, dass ein Template-Fehler fünfmal repliziert wird.
- Welle 1 (Pilot): Standort 1 vollständig (Pre-/Post-Checks, UAT, Doku)
- Template-Freeze: Template-Version fixieren, Änderungen dokumentieren
- Welle 2: Standorte 2–5 nach identischer SOP
- Drift-Control: Soll/Ist-Abgleich je Standort nach Abschluss
Abnahme je Standort: Standard-Checkliste (Copy/Paste)
Jeder Standort wird mit dem gleichen Checkset abgenommen. Dadurch sind Ergebnisse vergleichbar und Support kann schneller Muster erkennen.
Post-Checks (Mindestset)
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show logging | last 50
show ntp status
ping 8.8.8.8 repeat 10
traceroute 1.1.1.1Dokumentation: Was nach dem Rollout pro Standort abgelegt wird
Der Rollout ist erst abgeschlossen, wenn die Artefakte pro Standort versioniert abgelegt sind. Das reduziert Incidents und macht spätere Changes sicher.
- Konfig pre/post (running/startup), Template-Version, Variablenblatt
- IP-/VLAN-Plan und Interface-Plan
- Abnahmeprotokoll (Outputs, UAT-Ergebnisse)
- Rollback-Plan und Notfallzugang
Finale Sicherung (Pflicht)
copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
