Cisco-Router-Konfiguration für Büros mit 20–50 Nutzern: Praxistaugliches Design

Ein Büro mit 20–50 Nutzern braucht ein Design, das stabil, sicher und leicht zu betreiben ist – ohne Enterprise-Komplexität. In der Praxis bedeutet das: saubere Segmentierung (mindestens Users, Guest, Management), ein deterministischer Internetpfad mit NAT, optional ein Site-to-Site VPN zur Zentrale, sowie Mindest-Monitoring (NTP/Syslog) und ein Rollback-fähiges Change-Vorgehen. Dieser Leitfaden zeigt eine praxistaugliche Cisco-Router-Konfiguration als Referenzdesign inklusive IP-Plan, Policies und Abnahmechecks.

Zielbild für 20–50 Nutzer: Einfach, aber nicht „flach“

Die größte Falle kleiner Büros ist ein einziges Netz für alles. Das ist zwar schnell, aber unsicher und schwer zu supporten. Für 20–50 Nutzer reichen wenige VLANs, wenn sie konsequent umgesetzt werden.

• VLAN20-USERS: Mitarbeitergeräte
• VLAN50-GUEST: Gäste (nur Internet)
• VLAN10-MGMT: Management/IT (optional, aber empfehlenswert)
• Optional: VLAN30-VOICE und VLAN40-IOT, wenn VoIP/IoT relevant sind

IP-Plan: Übersichtlich und standardisierbar

Für ein einzelnes Büro ist ein /24 für Users und Guest in der Regel ausreichend. Kleine Segmente wie Voice/IoT können als /26 geplant werden, um Broadcast-Last zu begrenzen und Strukturen klar zu halten.

• MGMT: 10.10.10.0/24, Gateway 10.10.10.1
• USERS: 10.10.20.0/24, Gateway 10.10.20.1
• GUEST: 10.10.50.0/24, Gateway 10.10.50.1
• VOICE (optional): 10.10.30.0/26, Gateway 10.10.30.1
• IOT (optional): 10.10.40.0/26, Gateway 10.10.40.1

Subnetting-Hinweis: /26 als Praxisbaustein

Ein /26 liefert 64 Adressen (62 nutzbar) und ist für viele Voice/IoT-Segmente in kleinen Büros ausreichend.

$2^6=64$

Architektur: Router-on-a-Stick als praxistauglicher Standard

Für 20–50 Nutzer ist Router-on-a-Stick oft ideal: ein Trunk zum Switch, Subinterfaces pro VLAN. Das ist kosteneffizient, leicht zu dokumentieren und funktioniert zuverlässig, wenn Trunking sauber ist.

Voraussetzungen am Switch (konzeptionell)

• Uplink zum Router als 802.1Q Trunk
• VLANs auf dem Trunk erlaubt (20, 50, optional 10/30/40)
• Access-Ports pro Endgerät in passendem VLAN

Security-Baseline: Sichere Administration (Pflicht)

Auch im kleinen Büro ist Managementschutz Pflicht: SSH-only, Zugriff nur aus dem Managementnetz und saubere Zeitstempel/Logs. Das reduziert Angriffsfläche und erleichtert Audits.

Beispiel: SSH-only, NTP und Syslog

hostname R1-OFFICE-EDGE01
no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local

username netadmin privilege 15 secret 

crypto key generate rsa modulus 2048

ip ssh version 2
ip access-list standard MGMT_ONLY

permit 10.10.10.0 0.0.0.255

deny   any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0
service timestamps log datetime msec

ntp server 192.0.2.10 prefer

logging host 192.0.2.20

logging trap informational

LAN-Konfiguration: VLAN-Gateways (Subinterfaces)

Die VLAN-Gateways laufen auf Subinterfaces. Jede Rolle erhält ein Gateway und kann bei Bedarf DHCP-Relay nutzen. Für kleine Büros ist die Trennung Users/Guest bereits ein großer Gewinn.

Beispiel: Trunk + VLAN-Gateways

interface GigabitEthernet0/1
 description LAN-TRUNK-to-SW1
 no shutdown
interface GigabitEthernet0/1.10

description VLAN10-MGMT

encapsulation dot1Q 10

ip address 10.10.10.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.20

description VLAN20-USERS

encapsulation dot1Q 20

ip address 10.10.20.1 255.255.255.0

ip nat inside
interface GigabitEthernet0/1.50

description VLAN50-GUEST

encapsulation dot1Q 50

ip address 10.10.50.1 255.255.255.0

ip nat inside

Internet/WAN: Default-Route und NAT (Online gehen)

Für Büro-Internet sind ein korrektes WAN-Interface, eine Default-Route und NAT Overload entscheidend. NAT-ACLs sollten nur die Netze enthalten, die Internetzugang erhalten sollen.

Beispiel: WAN + Default-Route

interface GigabitEthernet0/0
 description WAN-ISP
 ip address 198.51.100.2 255.255.255.252
 ip nat outside
 no shutdown
ip route 0.0.0.0 0.0.0.0 198.51.100.1

Beispiel: NAT Overload für Users/Guest (MGMT optional)

ip access-list standard NAT_INSIDE
 permit 10.10.20.0 0.0.0.255
 permit 10.10.50.0 0.0.0.255
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

Basis-Policies: Guest isolieren (muss sein)

Für 20–50 Nutzer ist die Guest-Isolation der wichtigste Policy-Baustein. Gäste sollen Internet nutzen können, aber keine internen Netze erreichen.

Beispiel: Guest intern blockieren

ip access-list extended ACL-GUEST-IN
 deny ip 10.10.50.0 0.0.0.255 10.10.0.0 0.0.255.255
 permit ip 10.10.50.0 0.0.0.255 any
interface GigabitEthernet0/1.50

ip access-group ACL-GUEST-IN in

Optional, aber häufig sinnvoll: Site-to-Site VPN zur Zentrale

Wenn das Büro auf zentrale Ressourcen zugreifen muss, ist ein Site-to-Site VPN sinnvoll. In kleinen Umgebungen sollten Sie den VPN-Teil templatebasiert umsetzen und No-NAT verpflichtend berücksichtigen.

VPN-Checks (Runbook)

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

Minimal-Monitoring: Das muss vorhanden sein

Für kleine Büros reichen NTP und Syslog als Pflichtbasis. Ergänzend ist eine einfache Pfadüberwachung (IP SLA) hilfreich, um „Link up, Internet down“ zu erkennen.

Optional: IP SLA für Pfadüberwachung

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now

Abnahme: Was Sie nach der Umsetzung testen müssen

Auch ein kleines Büro braucht eine saubere Abnahme. Das reduziert spätere Störungen und ist die Basis für eine wartbare Dokumentation.

• Users: DHCP/DNS ok, Internet ok, Business-Apps ok
• Guest: Internet ok, interne Netze blockiert
• Router: NAT-Translations sichtbar, Default-Route korrekt, keine Errors/Drops
• Monitoring: NTP synchronized, Syslog sichtbar

Post-Checks (Mindestset)

show ip interface brief
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show interfaces counters errors
show ntp status
show logging | last 50
ping 8.8.8.8 repeat 10
traceroute 1.1.1.1

Rollback-Sicherheit: Kleine Büros brauchen klare Rückwege

Im kleinen Büro fehlt oft ein Vor-Ort-Team. Daher ist Rollback besonders wichtig: Backup vor Change, klare Trigger und ein Notfallzugang (Console/OOB oder Remote-Hands).

Konfiguration final sichern

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.