Cisco-Router-Konfiguration für Büros mit 50–200 Nutzern: Skalierbarkeit und Kontrolle

Ein Büro mit 50–200 Nutzern liegt in einem Bereich, in dem „einfach nur Internet“ nicht mehr reicht: mehr VLANs, mehr Endgeräte, mehr Anwendungen (VoIP/UC), mehr Sicherheitsanforderungen und deutlich höhere Betriebserwartungen. Das Design muss skalierbar sein (Adressplan, Routing, Templates), gleichzeitig Kontrolle liefern (Segmentierung, Policies, Monitoring, Change-Disziplin). Dieser Leitfaden zeigt eine praxistaugliche Cisco-Router-Konfiguration und Architekturentscheidungen, die für diesen Größenbereich typischerweise funktionieren.

Zielbild: Skalierbarkeit durch Standardisierung und klare Rollen

Für 50–200 Nutzer ist die wichtigste Designentscheidung: klare Rollen-VLANs mit wiederverwendbaren Policies und ein IP-Schema, das Wachstum erlaubt. Das reduziert Drift und macht Support reproduzierbar.

• Rollen-VLANs: Users, Guest, Voice, IoT/Printer, Management
• Konsequentes Naming (Hostname/Interfaces/ACLs) für Betrieb und Monitoring
• Templates: Golden Config + Standortvariablen (IP-Blöcke, WAN-Parameter)
• Mindest-Monitoring: NTP, Syslog, SNMPv3, Path-Checks

Architekturentscheidung: Router-on-a-Stick vs. Layer-3-Switch

Mit 50–200 Nutzern wächst der Ost-West-Traffic (Clients ↔ Server ↔ WLAN ↔ VoIP). Wenn viel Inter-VLAN-Verkehr im LAN passiert, ist ein Layer-3-Switch (SVIs) häufig effizienter als Router-on-a-Stick. Der Router bleibt dann Edge für WAN, NAT, VPN, Dual-ISP und Security-Policies am Rand.

• Router-on-a-Stick: ausreichend bei moderatem Inter-VLAN-Traffic, wenige VLANs
• Layer-3-Switch: empfehlenswert bei vielen VLANs, hoher LAN-Traffic, VoIP/Video
• Praxis: L3-Switch routet intern, Router übernimmt WAN/NAT/VPN/Failover

IP-Plan: Wachstum ohne Chaos (Standards statt Sonderfälle)

Für 50–200 Nutzer sind /24-Netze pro Hauptrolle meist sinnvoll. Für Voice und IoT sind kleinere Netze (/26) oft ausreichend. Wichtig: ein fester Standard für Gateways (z. B. immer .1) und klare Reserven für Expansion.

• MGMT: 10.20.10.0/24, GW 10.20.10.1
• USERS: 10.20.20.0/23 (für Wachstum) oder 10.20.20.0/24 + Reserve
• GUEST: 10.20.50.0/24
• VOICE: 10.20.30.0/26
• IOT/PRN: 10.20.40.0/26

Subnetting-Hinweis: /23 für wachsende User-Netze

Ein /23 liefert 512 Adressen (510 nutzbar) und ist für 200 Nutzer plus Gerätewachstum oft komfortabler als ein knappes /24.

29 = 512

Segmentierung: Policies, die wirklich Kontrolle bringen

Ab 50 Nutzern ist Segmentierung nicht mehr „nice to have“. Mindestens Guest und IoT müssen klar getrennt sein. Voice sollte priorisiert werden, und Management darf ausschließlich aus dem MGMT-Netz erfolgen.

• Guest: nur Internet, keine internen Netze
• IoT/Printer: nur definierte Ziele/Ports (DNS/NTP/Print/Management)
• Users: Zugriff auf definierte Server/Services, nicht auf MGMT
• Management: SSH-only, Access-Class, optional AAA/Accounting

Security-Baseline: Admin-Zugriffssicherheit als Pflichtstandard

Mit wachsender Nutzerzahl steigt das Risiko von lateralem Movement und Fehlkonfigurationen. Daher müssen Hardening, Logging und klare Admin-Regeln immer Bestandteil des Designs sein.

Beispiel: SSH-only, NTP und Syslog Baseline

hostname R1-OFFICE200-EDGE01
no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local

username netadmin privilege 15 secret 

crypto key generate rsa modulus 2048

ip ssh version 2
ip access-list standard MGMT_ONLY

permit 10.20.10.0 0.0.0.255

deny   any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0
service timestamps log datetime msec

ntp server 192.0.2.10 prefer

logging host 192.0.2.20

logging trap informational

WAN-Edge: Default-Route, NAT und optional Dual-WAN

Für 50–200 Nutzer ist WAN-Betrieb häufig kritisch, weil viele Dienste cloudbasiert sind. Definieren Sie daher einen stabilen Internetpfad, NAT-Ownership und – wenn verfügbar – Dual-WAN mit Path-Tracking.

Beispiel: WAN + Default-Route

interface GigabitEthernet0/0
 description WAN-ISP
 ip address 198.51.100.2 255.255.255.252
 ip nat outside
 no shutdown
ip route 0.0.0.0 0.0.0.0 198.51.100.1

Beispiel: NAT Overload für definierte Netze

ip access-list standard NAT_INSIDE
 permit 10.20.20.0 0.0.1.255
 permit 10.20.50.0 0.0.0.255
interface GigabitEthernet0/1

ip nat inside
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

Optional: Path-Tracking für „Link up, Internet down“

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now
track 10 ip sla 10 reachability

QoS: Kontrolle über Echtzeit (Voice/Teams/Zoom) im Mittelstand

In Büros dieser Größe sind VoIP/UC oft geschäftskritisch. QoS sollte daher nicht optional sein, wenn es Engpässe am WAN gibt. Der wichtigste Schritt ist WAN-Shaping, damit Queueing im Router statt beim Provider passiert.

Beispiel: QoS-Basis (Shaping + Voice/Video)

class-map match-any CM-VOICE
 match dscp ef
class-map match-any CM-VIDEO

match dscp af41

match dscp cs4
policy-map PM-WAN-QOS

class CM-VOICE

priority percent 10

class CM-VIDEO

bandwidth percent 25

class class-default

fair-queue
policy-map PM-WAN-PARENT

class class-default

shape average 95000000

service-policy PM-WAN-QOS
interface GigabitEthernet0/0

service-policy output PM-WAN-PARENT

VPN zur Zentrale/Cloud: Standardisiert statt individuell

Für 50–200 Nutzer ist Site-to-Site VPN zur Zentrale oder zu Cloud-Hubs häufig. Entscheidend ist Standardisierung: IKEv2/IPsec, No-NAT, MTU/MSS-Strategie und Paketzähler-basierte Abnahme.

VPN-Checks (Runbook)

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

Minimales Monitoring: Mehr Kontrolle, weniger Incidents

Ab dieser Größe sollte Monitoring mindestens NTP, Syslog und SNMPv3 umfassen. Ergänzend sind Alarme für WAN, Path-down, VPN und CPU/Errors Pflicht, damit Störungen nicht erst durch Nutzer gemeldet werden.

• NTP synchronized, Logs zentral (Syslog)
• SNMPv3 Polling: Interfaces, Errors/Drops, CPU/Memory
• Alarmkatalog: WAN down/flaps, Path-down, VPN down, Neighbor down

Monitoring-Checks (kompakt)

show ntp status
show logging | last 50
show interfaces counters errors
show processes cpu sorted

Abnahme: Was bei 50–200 Nutzern zwingend getestet werden muss

Je größer das Büro, desto wichtiger ist UAT. Neben Internet und DNS müssen Business-Apps, VPN und Voice/Video (falls relevant) geprüft werden. Bei Redundanz sind Failover-Tests Pflicht.

• Users: DHCP/DNS ok, SaaS und Business-Apps funktionieren
• Guest: Internet ok, interne Netze blockiert
• VPN: Zugriff auf zentrale Ressourcen, Paketzähler steigen
• QoS: Testcall/Meeting unter Last, QoS-Zähler plausibel
• Failover: Link-Down und Path-Down (wenn Dual-WAN/HA)

Post-Checks (Mindestset)

show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show crypto ipsec sa
show policy-map interface
show ntp status
show logging | last 50

Rollback und Change-Disziplin: Kontrolle statt Überraschungen

Bei 50–200 Nutzern ist Downtime teurer. Daher sind Pre-Backups, klare Stop/Go-Kriterien und ein Notfallzugang Pflicht. Änderungen sollten blockweise erfolgen und nach jedem Block geprüft werden.

Konfiguration final sichern

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.