Cisco Router Konfigurations-Standards (Templates): So baust du skalierbare Baselines

Konfigurations-Standards (Templates) sind der Unterschied zwischen „ein Router läuft“ und „ein Netz ist skalierbar“. Mit Baselines stellst du sicher, dass alle Router konsistent gehärtet sind, Monitoring liefern, gleiches Troubleshooting-Verhalten haben und Changes reproduzierbar bleiben. Gute Templates trennen stabile Standards (immer gleich) von standortspezifischen Variablen (IP, ASN, VLANs, Peers). Dieser Artikel zeigt, wie du Cisco Router Baselines aufbaust, welche Bausteine dazugehören und wie ein praxistaugliches Template aussehen kann.

Warum Templates im Enterprise unverzichtbar sind

In wachsenden Netzen ist „Handarbeit“ der größte Risikofaktor. Templates reduzieren Fehlkonfigurationen, beschleunigen Rollouts und machen Audits einfacher.

• Konsistenz: gleiche Security- und Betriebsstandards überall
• Wartbarkeit: schnelleres Troubleshooting, weniger Spezialfälle
• Compliance: nachvollziehbare Baselines und Abweichungen
• Automatisierung: Templates sind die Grundlage für IaC/Ansible

Template-Design: Standard vs. Variablen sauber trennen

Ein skalierbares Template enthält möglichst wenig standortspezifische Werte. Alles, was sich pro Gerät ändert, wird als Variable geführt (Hostname, Management-IP, NTP/Syslog-IPs, WAN-Parameter).

• Fix: Hardening, Logging-Format, QoS-Grundstruktur, CoPP-Policy
• Variabel: Hostname, Loopback, Site-Prefixe, ISP-Gateways, Peers
• Regel: „Änderungen am Standard = Template-Update, nicht Handedit“

Merker

Template = Baseline + Variablen

Baustein 1: Gerätegrundsetup (Identität, Zeit, Banner)

Identität und Zeit sind Basis für jede Auswertung. Ohne NTP sind Logs wertlos. Ohne saubere Hostnames sind Inventarisierung und Ticketing mühsam.

Empfohlene Inhalte

• Hostname-Konvention (z. B. R1-BER-EDGE-01)
• NTP + Zeitzone/Time-Source
• Log-Timestamps und optional Sequence Numbers
• Banner (Legal Notice)

Template-Snippet

hostname {{HOSTNAME}}
service timestamps log datetime msec localtime
service timestamps debug datetime msec localtime
service sequence-numbers
ntp server {{NTP1}} prefer

ntp server {{NTP2}}

ntp source loopback0
banner motd ^C

Unauthorized access prohibited. All activity may be monitored.

^C

Baustein 2: Management-Plane Baseline (SSH, AAA, VTY-ACL)

Management muss konsistent gehärtet sein. Standard: SSHv2, kein Telnet, VTY auf Admin-Netze begrenzen, AAA mit lokalem Fallback. Das reduziert Lockouts und Audit-Risiko.

Empfohlene Inhalte

• SSHv2, RSA 2048+
• VTY: login local oder AAA, transport input ssh
• VTY ACL (access-class) auf Jump Hosts/NOC-Netze
• Timeouts, Retries, optional Login-Blocking

Template-Snippet

ip domain-name {{DOMAIN}}
crypto key generate rsa modulus 2048
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 2
ip access-list standard VTY_MGMT

permit {{MGMT_NET}} {{MGMT_WC}}

deny any
line vty 0 15

login local

transport input ssh

access-class VTY_MGMT in

exec-timeout 10 0
username breakglass privilege 15 secret {{BREAKGLASS_SECRET}}

Baustein 3: Services minimieren (Hardening-Basics)

Templates sollten unnötige Services standardmäßig deaktivieren. Das reduziert Angriffsfläche und vermeidet „vergessene“ Defaults.

Empfohlene Inhalte

• HTTP/HTTPS Server aus (wenn nicht benötigt)
• CDP auf untrusted Ports aus
• Proxy ARP/Redirects in Client-VLANs aus (wenn nicht benötigt)
• Unbenutzte Interfaces shutdown

Template-Snippet

no ip http server
no ip http secure-server
interface {{UNTRUSTED_UPLINK}}

no cdp enable
interface {{USER_LAN_IF}}

no ip redirects

no ip proxy-arp

Baustein 4: Control-Plane Schutz (CoPP als Standard)

Ein skalierbares Enterprise-Template hat CoPP als Baseline. Ohne CoPP können Scans/Floods die CPU belasten, was Routing und Management beeinträchtigt.

Template-Snippet (Prinzip)

class-map match-any CM_CP_SSH
 match protocol ssh
class-map match-any CM_CP_ICMP
 match protocol icmp
policy-map PM_COPP

class CM_CP_SSH

police 64000 conform-action transmit exceed-action drop

class CM_CP_ICMP

police 32000 conform-action transmit exceed-action drop

class class-default

police 16000 conform-action transmit exceed-action drop
control-plane

service-policy input PM_COPP

Baustein 5: Observability (Syslog, SNMPv3, NetFlow)

Templates müssen Telemetrie standardisieren: Syslog für Events, SNMPv3 für Monitoring, NetFlow für Traffic-Analysen. Wichtig ist ein konsistentes Source-Interface (Loopback0).

Syslog Baseline

logging host {{SYSLOG1}}
logging host {{SYSLOG2}}
logging source-interface loopback0
logging trap warnings
logging buffered 16384 warnings

SNMPv3 Baseline (mit ACL)

ip access-list standard SNMP_MGMT
 permit {{NMS_IP}}
 deny any
snmp-server group NMS v3 priv access SNMP_MGMT

snmp-server user {{SNMP_USER}} NMS v3 auth sha {{SNMP_AUTH}} priv aes 128 {{SNMP_PRIV}}

snmp-server location {{SITE}}

snmp-server contact {{NOC_CONTACT}}

NetFlow Baseline (optional, nur wenn genutzt)

flow exporter EXP_NETFLOW
 destination {{NETFLOW_COLLECTOR}}
 source loopback0
 transport udp {{NETFLOW_PORT}}

Baustein 6: Backup/Change-Tracking (Archive)

Templates sollten lokale Versionierung aktivieren, damit du schnelle Rollbacks und Change-History hast. Für echte Enterprise-Backups ergänzt du zentrale Tools.

archive
 path flash:cfg-archive
 maximum 10
 write-memory

Baustein 7: Interface-Standards (Descriptions, MTU/MSS, QoS)

Interface-Standards sind Betriebsgold: konsistente Descriptions, klare Role-Namen (WAN/LAN/MGMT), und – wo nötig – MTU/MSS/QoS. Das macht Troubleshooting deutlich schneller.

• Beschreibungspflicht: Link-Ziel, Circuit-ID, Provider
• WAN: Shaping/QoS standardisiert, wenn Voice/Video relevant ist
• Overlays/VPN: MSS-Clamp standardisiert

Template-Snippet: Description und MSS (Beispiel)

interface {{WAN_IF}}
 description {{CIRCUIT_ID}} - {{ISP}} - {{SITE}}
 no shutdown
interface tunnel0

ip tcp adjust-mss 1360

Baustein 8: Rollenbasierte Templates (Edge vs. Branch vs. DC)

Ein einziges Template für „alles“ wird schnell unhandlich. Besser: pro Rolle ein Basistemplate und optionale Module (NAT, VPN, BGP, QoS), die nur dort inkludiert werden, wo sie benötigt werden.

• Core/Transit: minimal, stabil, wenig State
• Branch: Dual-WAN, VPN/DMVPN/SD-WAN, QoS
• Edge: BGP, NAT, ZBF/ACLs, CoPP stärker

Typische Pitfalls bei Templates

Templates scheitern selten an Technik, sondern an Design-Disziplin: zu viele Sonderfälle, unklare Variablen und kein Versionierungsprozess.

• Variablen sind „hart“ codiert (IPs/Secrets) → nicht skalierbar
• Kein Break-Glass-User → Lockout bei AAA-Problemen
• Zu viel in einem Template → unübersichtlich
• Keine Validierung/Tests vor Rollout → Massenfehler
• Keine Baseline-Dokumentation → Drift im Betrieb

Mini-Baseline Template (kompakt, Copy & Paste)

Dieses Template ist bewusst kompakt und zeigt die Struktur: Identität, Management, Observability und grundlegendes Hardening.

hostname {{HOSTNAME}}
service timestamps log datetime msec localtime
service timestamps debug datetime msec localtime
service sequence-numbers
interface loopback0

ip address {{LOOPBACK_IP}} 255.255.255.255
ntp server {{NTP1}} prefer

ntp source loopback0
no ip http server

no ip http secure-server
ip domain-name {{DOMAIN}}

crypto key generate rsa modulus 2048

ip ssh version 2

ip ssh time-out 60

ip ssh authentication-retries 2
username breakglass privilege 15 secret {{BREAKGLASS_SECRET}}
ip access-list standard VTY_MGMT

permit {{MGMT_NET}} {{MGMT_WC}}

deny any
line vty 0 15

login local

transport input ssh

access-class VTY_MGMT in

exec-timeout 10 0
logging host {{SYSLOG1}}

logging source-interface loopback0

logging trap warnings

logging buffered 16384 warnings
archive

path flash:cfg-archive

maximum 10

write-memory

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.