March 4, 2026

Cisco-Router-Konfiguration für Büros mit 200+ Nutzern: High Availability und Policies

Büros mit 200+ Nutzern benötigen ein Design, das nicht nur „funktioniert“, sondern Ausfälle aktiv abfedert: High Availability am Default-Gateway, redundante WAN-Pfade, stabile Routing-Logik und Policies, die Segmentierung und Compliance zuverlässig durchsetzen. In dieser Größenordnung sind Downtime-Kosten hoch und Troubleshooting muss schnell und reproduzierbar sein. Dieser Leitfaden zeigt ein praxistaugliches Cisco-Router-Design für große Büros – mit HA-Bausteinen (HSRP/VRRP, Dual-WAN, Tracking), policy-getriebener Segmentierung und verifizierbarer Abnahme.

Zielbild: Verfügbarkeit, Kontrolle und Betriebssicherheit

Das Ziel ist eine Architektur, die bei Geräte- oder Providerproblemen automatisch weiterläuft und bei Security-Vorfällen klar begrenzt. Dazu gehört auch „Betriebsfähigkeit“: Monitoring, Runbooks und saubere Change-Methodik sind Pflicht.

  • HA am Default-Gateway (FHRP) und redundante Uplinks
  • Redundantes WAN (Dual-ISP) mit Path-Tracking (nicht nur Link-Down)
  • Policy-Driven Segmentierung (Users, Guest, Voice, IoT, Management)
  • Auditfähigkeit (NTP, Syslog, AAA/Accounting wenn möglich)
  • Standardisierung: Naming, Templates, Abnahmeprotokolle

Architektur für 200+: L3-Core/Distribution + redundanter Edge

In großen Büros sollte Inter-VLAN-Routing im LAN (L3-Switch/Core) stattfinden, nicht über Router-on-a-Stick. Die Router übernehmen Edge-Funktionen: WAN, NAT (falls Router-Owner), VPN, BGP/Tracking, Security am Rand. Dadurch skaliert das LAN besser und Failover wird klarer.

  • L3-Core: SVIs, Inter-VLAN-Routing, HSRP/VRRP pro VLAN
  • Edge-Router: WAN, NAT/VPN, Dual-ISP, Path-Monitoring
  • Redundanz: zwei Edge-Geräte, zwei Pfade zum Core, möglichst getrennte Stromversorgung

IP-Plan: Aggregierbar und erweiterbar

Mit 200+ Nutzern sind /23 oder /22 für Users sinnvoll, damit Wachstum nicht zum Re-Adressierungsprojekt wird. Rollen-VLANs bleiben konstant, Subnetze werden pro Rolle geplant und dokumentiert.

  • USERS: 10.30.20.0/23 (oder /22 bei sehr vielen Devices)
  • GUEST: 10.30.50.0/23 (abhängig von WLAN-Design)
  • VOICE: 10.30.30.0/24 (oder /23, wenn viele Phones)
  • IOT/PRN: 10.30.40.0/24
  • MGMT: 10.30.10.0/24

Subnetting-Hinweis: /22 als Wachstumsblock

Ein /22 liefert 1024 Adressen (1022 nutzbar) und kann als Standortblock dienen, um mehrere /24-Netze sauber zu bündeln.

210 = 1024

High Availability am Default-Gateway: HSRP/VRRP als Pflicht

Bei 200+ Nutzern ist Gateway-Redundanz Pflicht, weil ein Ausfall sonst ganze VLANs lahmlegt. In Cisco-dominierten Netzen ist HSRP häufig Standard; VRRP ist sinnvoll bei Multi-Vendor. Ergänzen Sie Tracking, damit bei Upstream-Ausfall der aktive Gateway wechselt.

Beispiel: HSRP pro VLAN (Core/L3-Switch oder Router-SVI)

interface Vlan20
 description VLAN20-USERS
 ip address 10.30.20.2 255.255.254.0
 standby 20 ip 10.30.20.1
 standby 20 priority 110
 standby 20 preempt
interface Vlan20
 description VLAN20-USERS
 ip address 10.30.20.3 255.255.254.0
 standby 20 ip 10.30.20.1
 standby 20 priority 100
 standby 20 preempt

Verifikation HSRP

show standby brief
show standby

WAN-Redundanz: Dual-ISP mit Path-Tracking (nicht nur „zweite Route“)

Für 200+ Nutzer ist Dual-ISP sehr häufig Pflicht, weil Cloud-Services geschäftskritisch sind. Entscheidend ist Path-Tracking, damit „Link up, Internet down“ erkannt wird. Die Umschaltung sollte dokumentiert und getestet sein.

Beispiel: IP SLA + Tracking als Path-Indikator

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now

track 10 ip sla 10 reachability

Beispiel: Default-Routen (Primary mit Tracking, Backup mit höherer AD)

ip route 0.0.0.0 0.0.0.0 198.51.100.1 track 10
ip route 0.0.0.0 0.0.0.0 203.0.113.1 200

Verifikation Dual-WAN

show ip sla statistics
show track
show ip route 0.0.0.0

Policies: Segmentierung als Kontrollinstrument (nicht als „ACL-Spaghetti“)

In großen Büros müssen Policies skalierbar bleiben. Das gelingt mit klarer Policy-Matrix und konsequenten Rollenregeln. In der Praxis sind Guest und IoT die wichtigsten Segmente für restriktive Policies.

  • Guest: nur Internet, interne RFC1918-Netze blockieren
  • IoT/PRN: nur definierte Ziele/Ports (DNS/NTP/Print/Management)
  • Users: Zugriff auf definierte Server/Services, kein Zugriff auf MGMT
  • Management: nur aus MGMT-Netz, SSH-only, AAA/Accounting

Beispiel: Guest intern blockieren

ip access-list extended ACL-GUEST-IN
 deny ip 10.30.50.0 0.0.1.255 10.0.0.0 0.255.255.255
 deny ip 10.30.50.0 0.0.1.255 172.16.0.0 0.15.255.255
 deny ip 10.30.50.0 0.0.1.255 192.168.0.0 0.0.255.255
 permit ip 10.30.50.0 0.0.1.255 any

Admin-Zugriffssicherheit: AAA, SSH-only, Audit (Pflichtstandard)

Je größer das Netz, desto wichtiger ist zentraler Nachweis: wer hat wann was geändert. AAA/Accounting ist daher in 200+ Umgebungen stark zu empfehlen, ergänzt um NTP/Syslog und strikte Management-Restriktion.

Beispiel: AAA mit TACACS+ (lokaler Fallback)

aaa new-model
tacacs server TACACS1
 address ipv4 10.30.10.10
 key <TACACS_KEY>

aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

Beispiel: SSH-only + Management-ACL

no ip http server
no ip http secure-server
ip ssh version 2

ip access-list standard MGMT_ONLY

permit 10.30.10.0 0.0.0.255

deny   any


line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

QoS: Voice/Video und Business-Apps unter Last stabil halten

Bei 200+ Nutzern ist WAN-Queueing unter Last sehr wahrscheinlich. QoS sollte daher standardisiert sein: Shaping am WAN-Egress und Priorität für Echtzeit. Das reduziert Jitter und gefühlte Latenz massiv.

Beispiel: Shaping + Priorisierung (WAN-Egress)

class-map match-any CM-VOICE
 match dscp ef

class-map match-any CM-VIDEO

match dscp af41

match dscp cs4


policy-map PM-WAN-QOS

class CM-VOICE

priority percent 10

class CM-VIDEO

bandwidth percent 25

class class-default

fair-queue


policy-map PM-WAN-PARENT

class class-default

shape average 200000000

service-policy PM-WAN-QOS


interface GigabitEthernet0/0

service-policy output PM-WAN-PARENT

Monitoring: Mindestumfang für große Büros

Bei 200+ Nutzern ist minimales Monitoring ohne SNMP/Telemetry nicht ausreichend. Mindestens NTP, Syslog und SNMPv3 sollten vorhanden sein, plus Alarme für WAN, Path-down, VPN/Routing und Ressourcen.

  • NTP synchronized + Log-Timestamps
  • Syslog zentral (informational als Baseline)
  • SNMPv3 Polling: Interfaces, Errors/Drops, CPU/Memory
  • Alarmkatalog: WAN down/flaps, Path-down, HSRP role change, CPU hoch

Monitoring-Checks (kompakt)

show ntp status
show logging | last 50
show interfaces counters errors
show processes cpu sorted
show standby brief
show ip sla statistics

Abnahme: HA und Policies müssen getestet werden (Pass/Fail)

In großen Büros ist Abnahme nicht verhandelbar. Testen Sie Failover (Gateway und WAN), Segmentierung und die wichtigsten Business-Flows. Ergebnisse gehören ins Abnahmeprotokoll.

  • HSRP/VRRP: Active/Standby korrekt, Failover bei Device-/Uplink-Ausfall
  • Dual-WAN: Link-Down und Path-Down Tests, Failback ohne Flapping
  • Policies: Guest intern blockiert, IoT nur definierte Ziele
  • QoS: Testcall/Meeting unter Last, QoS-Zähler plausibel
  • Monitoring: Syslog sichtbar, SNMP Polling ok, Alarme getestet

Post-Checks (Mindestset)

show standby brief
show ip sla statistics
show track
show ip route 0.0.0.0
show access-lists
show policy-map interface
show logging | last 50

Rollback und Change-Disziplin: Pflicht in 200+ Umgebungen

In dieser Größenordnung müssen Changes blockweise erfolgen, mit Pre-/Post-Checks und klaren Stop/Go-Kriterien. Rollback muss technisch möglich sein (OOB/Console) und dokumentiert vorliegen.

Konfiguration final sichern

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane