Cisco-Router-Konfiguration für ISP-Wechsel: Umstieg ohne Betriebsunterbrechung

Ein ISP-Wechsel ist eine der häufigsten Ursachen für ungeplante Betriebsunterbrechungen: neue IPs, andere MTU, VLAN-Tagging, neue Routing- und NAT-Logik sowie VPN-Änderungen treffen oft gleichzeitig zusammen. Ein Umstieg ohne Betriebsunterbrechung gelingt nur mit Parallelbetrieb, klarer Umschaltlogik und einem getesteten Rollback. Dieser Leitfaden zeigt ein praxiserprobtes Vorgehen für die Cisco-Router-Konfiguration beim Providerwechsel – von der Vorbereitung bis zur kontrollierten Umschaltung und Abnahme.

Was „ohne Betriebsunterbrechung“ realistisch bedeutet

In der Praxis heißt „ohne Unterbrechung“ meist: keine spürbare Downtime für Nutzer oder nur sehr kurze Umschaltzeiten im Sekundenbereich. Vollständig unterbrechungsfrei ist es typischerweise nur, wenn der neue ISP parallel zum alten betrieben werden kann (Dual-WAN) und Failover sauber getestet ist.

• Zero-Downtime: Parallelbetrieb (Alt-ISP + Neu-ISP) und kontrollierte Pfadpräferenz
• Mikrounterbrechung: kurze Konvergenzzeiten bei Umschaltung (ARP/Routing)
• Harte Downtime: wenn nur ein Link existiert und physisch umgepatcht werden muss

Voraussetzungen für einen Umstieg ohne Downtime

Wenn Sie den neuen ISP nicht parallel anbinden können, ist echte Downtime-Vermeidung kaum möglich. Planen Sie daher mindestens einen temporären Parallelpfad oder einen Backup-Uplink (z. B. LTE) für das Change-Fenster.

• Parallel-Uplink: zweiter WAN-Port/zweites Modem, temporäre Doppelanbindung
• Notfallzugang: Out-of-Band/Console oder Remote-Hands
• Dokumentierte Providerdaten: IP/Subnetz, Gateway, VLAN-Tag, MTU, PPPoE/DHCP
• Abnahme- und Rollback-Kriterien (Stop/Go) vor dem Cutover
• Monitoring aktiv (NTP/Syslog), damit Ereignisse korrelierbar sind

Phase: Ist-Zustand sichern (Pre-Checks und Backups)

Vor jeder ISP-Änderung benötigen Sie ein vollständiges Backup-Set: Config + Status-Snapshot. Das ist die Grundlage für Rollback und für die schnelle Diagnose, falls der neue Link „up“ ist, aber kein Internet liefert.

Pre-Check Snapshot (Mindestset)

show clock
show version
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show logging | last 80

VPN/Routing-Checks (wenn relevant)

show crypto ikev2 sa
show crypto ipsec sa
show bgp summary
show ip ospf neighbor

Pflicht: Letzten stabilen Zustand sichern

show running-config
copy running-config startup-config

Phase: Neuer ISP im Parallelbetrieb (Dual-WAN-Design)

Der neue ISP wird an einem zweiten Interface konfiguriert, ohne den alten Pfad zu stören. Ziel ist, dass Sie den neuen Pfad vollständig testen können, bevor Sie produktiven Traffic umlegen.

WAN-Interfaces vorbereiten (Alt-ISP und Neu-ISP)

interface GigabitEthernet0/0
 description WAN-ISP-ALT
 ip address 198.51.100.2 255.255.255.252
 no shutdown
interface GigabitEthernet0/2

description WAN-ISP-NEU

ip address 203.0.113.2 255.255.255.252

no shutdown

Typische Provider-Stolpersteine vor dem Test

• VLAN-Tagging/Encapsulation (z. B. dot1Q am WAN) korrekt?
• MTU weicht ab (PPPoE/Carrier), MSS-Clamping nötig?
• Gateway erreichbar (ARP vorhanden)?
• Provider-ACL/NAT beim ISP beeinflusst Inbound/Outbound?

Phase: Path-Monitoring und kontrollierte Umschaltung (IP SLA + Tracking)

Für einen unterbrechungsarmen Wechsel steuern Sie die Default-Route über Tracking. Damit bleibt Alt-ISP aktiv, solange er stabil ist, und Neu-ISP kann in einem kontrollierten Schritt bevorzugt werden. Wichtig ist die Überwachung des Internetpfads, nicht nur des Link-Status.

Beispiel: IP SLA für Alt-ISP und Tracking definieren

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now
track 10 ip sla 10 reachability

Beispiel: Default-Routen (Alt primär, Neu Backup)

ip route 0.0.0.0 0.0.0.0 198.51.100.1 track 10
ip route 0.0.0.0 0.0.0.0 203.0.113.1 200

Umschaltung auf Neu-ISP (kontrolliert über Priorität/Tracking)

Für den Cutover wird der Neu-ISP als primärer Pfad gesetzt. Das kann über Anpassung der Administrative Distance oder ein eigenes Tracking für den neuen Pfad erfolgen. Ziel ist eine saubere, reversible Umschaltung.

no ip route 0.0.0.0 0.0.0.0 203.0.113.1 200
ip route 0.0.0.0 0.0.0.0 203.0.113.1

Verifikation Tracking und Default

show ip sla statistics
show track
show ip route 0.0.0.0

NAT beim ISP-Wechsel: Häufigste Fehlerquelle

Beim Providerwechsel ändert sich oft die öffentliche IP. Wenn NAT auf dem Router erfolgt, müssen Outside-Interfaces korrekt gesetzt sein und die Overload-Regel muss auf das aktive WAN-Interface zeigen. Bei Dual-WAN braucht es klare NAT-Ownership pro Pfad.

Beispiel: NAT Overload auf Neu-ISP umstellen

ip access-list standard NAT_INSIDE
 permit 10.10.0.0 0.0.255.255
interface GigabitEthernet0/0

ip nat outside

interface GigabitEthernet0/2

ip nat outside

interface GigabitEthernet0/1

ip nat inside
no ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

ip nat inside source list NAT_INSIDE interface GigabitEthernet0/2 overload

Erwartete Ergebnisse

• Nach Cutover erscheinen NAT-Translations mit der neuen Outside-IP
• Internet funktioniert für interne Netze, Default-Route zeigt auf Neu-ISP
• Bestehende Sessions können abbrechen, neue Sessions laufen stabil

NAT-Checks (SOP)

show ip nat statistics
show ip nat translations

VPN beim ISP-Wechsel: Selektoren, Peers und No-NAT prüfen

VPN ist beim Providerwechsel oft der kritische Pfad, weil Peer-IPs und NAT-T sich ändern können. Prüfen Sie, ob der Tunnelendpunkt (Public IP) auf der Gegenstelle aktualisiert werden muss und ob No-NAT-Regeln weiterhin korrekt greifen.

• Peer-IP/FQDN: muss auf der Gegenstelle auf die neue öffentliche IP zeigen
• NAT-T: UDP/4500 muss durch Provider/Firewall möglich sein
• No-NAT für VPN-Traffic bleibt Pflicht (sonst „Tunnel up, kein Traffic“)
• MTU/MSS: häufige Ursache für instabile VPNs nach Providerwechsel

VPN-Checks (Runbook)

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

MTU/MSS: Der typische „Internet geht, aber langsam/komisch“-Effekt

Neue Provider nutzen häufig andere MTUs (z. B. PPPoE). Wenn PMTUD blockiert ist, entstehen Fragmentierung und sporadische Timeouts. MSS-Clamping ist ein pragmatischer Fix für viele Büro- und Filialszenarien.

Beispiel: MSS-Clamping (optional, aber oft sinnvoll)

interface GigabitEthernet0/1
 ip tcp adjust-mss 1360

Cutover-Checkliste: Schrittfolge im Change-Fenster

Die Umschaltung erfolgt in einem festen Ablauf: erst neue Leitung testen, dann Routing umstellen, danach NAT/VPN validieren und schließlich Monitoring/Logs prüfen. So behalten Sie Kontrolle und können jederzeit zurückrollen.

• Alt-Zustand snapshotten, Backups ablegen
• Neu-ISP physisch prüfen (Link up, Gateway ARP/Ping)
• Neu-ISP Pfad testen (Ping/Traceroute mit source-interface)
• Default-Route kontrolliert auf Neu-ISP umstellen
• NAT auf Neu-ISP umstellen (falls Router NAT-Owner)
• VPN testen und ggf. Gegenstelle aktualisieren
• Post-Checks protokollieren, Abnahme durch Fachbereich

Post-Checks (Mindestset)

show ip interface brief
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations
show logging | last 50
ping 8.8.8.8 repeat 10
traceroute 1.1.1.1

Rollback ohne Risiko: Wenn der Neu-ISP nicht stabil ist

Rollback muss vorab definiert sein: klare Trigger, klarer Rückweg auf Alt-ISP und sofortige Validierung. Bei Dual-WAN ist Rollback meist nur eine Routen-/NAT-Umschaltung; ohne Parallelbetrieb benötigen Sie einen Notfallplan mit Console/OOB.

• Trigger: Gateway nicht erreichbar, Internetpfad instabil, VPN kritisch down
• Rollback: Default-Route zurück auf Alt-ISP, NAT zurücksetzen
• Validierung: Standard-Checks, UAT-Pfadtests

Rollback-Beispiel: Default zurück auf Alt-ISP

no ip route 0.0.0.0 0.0.0.0 203.0.113.1
ip route 0.0.0.0 0.0.0.0 198.51.100.1

Übergabe und Dokumentation: Was nach dem ISP-Wechsel aktualisiert werden muss

Nach erfolgreichem Umstieg ist das Projekt erst fertig, wenn Dokumentation und Monitoring aktualisiert sind. Sonst sind spätere Störungen schwerer zu diagnostizieren.

• Providerdaten im Interface-/WAN-Plan (IPs, VLAN, MTU, Gateways)
• NAT-/VPN-Doku (Outside-IP geändert, Peer-Anpassungen)
• Monitoring: neue WAN-Interfaces, IP SLA Ziele, Alarmkatalog
• Backups: „post“-Konfigversion speichern und versionieren

Konfiguration final sichern (Pflicht)

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.