Ein Cisco-Router-Migrationsplan ist die strukturierte Blaupause, um ein Altgerät sicher auf ein neues Gerät, ein neues Image (IOS/IOS XE) oder ein neues Design umzustellen – mit minimaler Downtime und maximaler Nachvollziehbarkeit. Der Plan besteht aus drei Kernen: Cutover-Strategie (wie wird umgeschaltet), Risk Register (was kann schiefgehen und wie wird es mitigiert) und Rollback (wie kommen Sie sicher zurück). In Enterprise-Umgebungen ist „Konfiguration kopieren und umstecken“ kein Plan: Ohne Pre-Checks, UAT, Evidence und klare Backout-Trigger wird aus einer Migration schnell ein P1-Incident. Dieser Leitfaden zeigt ein praxistaugliches Template für Migrationen inklusive Runbook-Struktur und CLI-Snapshots.
Migrationsscope: Welche Art von Migration planen Sie wirklich?
Cutover und Risiken hängen stark vom Scope ab. Klären Sie daher zuerst, ob es um Hardwaretausch, Softwarewechsel, Providerwechsel oder Designänderungen geht.
- Hardware-Refresh: Altrouter → Neurouter, gleiche Topologie
- IOS/IOS XE Upgrade: neues Image, ggf. neue Defaults/Features
- Designwechsel: Static → OSPF/BGP, Single-ISP → Dual-ISP, neue Segmentierung
- WAN/Provider: neue Übergabe (DIA/MPLS), neue IPs, neue MTU
- VPN/Remote Access: neue Peers, neue Krypto-Policy, neue Selektoren
Cutover-Strategien: Big Bang, Parallelbetrieb oder Stufenmigration
Die beste Strategie ist die, die Risiko und Downtime zur Businesskritikalität passt. Im Enterprise sind Parallelbetrieb und Stufenmigration oft bevorzugt, weil sie Backout leichter machen.
- Big Bang: kurz, aber riskanter; geeignet bei kleinem Scope
- Parallelbetrieb: Neurouter vorbereitet, Umschaltung gezielt; sehr auditfähig
- Stufenmigration: Features/Segmente in Wellen migrieren; minimaler Blast Radius
Daumenregel für Downtime-Risiko
Risiko ≈ Änderungsumfang × Unbekannte ÷ Testtiefe
Pre-Migration Phase: Assess, Discovery und Baseline
Die wichtigste Risikoreduktion passiert vor dem Change Window. Sammeln Sie Baselines, dokumentieren Sie Pfade, und stellen Sie sicher, dass die neue Plattform feature-ready ist.
- Ist-Zustand: Routing, VPN, NAT, ACL/QoS, Monitoring, Managementzugang
- Baseline KPIs: RTT/Loss, Drops/Errors, CPU/Memory, Route Counts
- Abhängigkeiten: DHCP/DNS/NTP/Syslog/AAA, Provider-Übergaben, VLANs
- Kompatibilität: IOS/IOS XE, Lizenzen, Images, Crypto/SNMP/QoS
CLI: Baseline Snapshot (Altgerät)
show version
show ip interface brief
show interfaces description
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip nat statistics
show ip nat translations
show crypto ikev2 sa
show crypto ipsec sa
show policy-map interface
show ntp status
show logging | last 100
show processes cpu sorted
show processes memory sortedBuild Phase: Neurouter vorbereiten (Staging) ohne Produktionsrisiko
Der Neurouter wird so weit wie möglich vorab gebaut: Baseline-Hardening, Management, Logging, Monitoring, Interfaces und Routing-Konzept. Je weniger im Cutover passiert, desto geringer das Risiko.
- Security Baseline: SSH/AAA/MGMT-ACL, NTP/Syslog, SNMPv3
- Interfaces: LAN/WAN Subinterfaces, Descriptions, MTU/MSS falls nötig
- Routing: Static/OSPF/BGP Templates, Summaries, passive-interface
- VPN: Peers/Policies, No-NAT, Verifikation-Checks vorbereitet
CLI: Device Readiness (Neugerät)
show version
show license summary
dir flash:
show boot
show ip interface brief
show ntp status
show logging | last 50Risk Register: Standardrisiken und Mitigations (Template)
Ein Risk Register ist kein Dokument für „Projektästhetik“, sondern ein operatives Werkzeug: Jede Zeile hat Trigger, Mitigation und Owner. Halten Sie es kurz, aber konkret.
- R1: Falsche MTU/MSS → Trigger: große Downloads brechen → Mitigation: DF-Ping Tests, MSS clamp vorbereitet
- R2: Default-Route falsch/fehlt → Trigger: Internet down → Mitigation: Pre-Validated Default, Tracking/IP SLA, Rollback
- R3: VPN up, kein Traffic (No-NAT) → Trigger: SA up, Counters 0 → Mitigation: No-NAT Policy geprüft, Traffic-Testplan
- R4: Routing Flaps (OSPF/BGP) → Trigger: Neighbor up/down → Mitigation: Timer/Policies geprüft, passive-interface, Backout
- R5: ACL blockt DNS/NTP → Trigger: Apps fail/Logs kaputt → Mitigation: Baseline-Service-Allows, staged ACLs
- R6: Monitoring blind → Trigger: NOC sieht Gerät nicht → Mitigation: SNMPv3/Syslog UAT vor Cutover
Cutover Runbook: Schrittfolge im Maintenance Window
Ein Cutover-Runbook ist eine Checkliste mit Stop/Go Kriterien. Jeder Schritt hat Evidence, sodass Sie jederzeit wissen, ob Sie weitergehen oder zurückrollen müssen.
- T-30: Pre-Checks Alt/Neu, PRE Backups, Go/No-Go
- T0: Umschaltung (Kabel/VLAN/VRF/Default), Routing/VPN initial prüfen
- T+10: Core-Services: DNS/NTP/Syslog/AAA, Internet/Inter-Site
- T+20: UAT: Business-Apps, Voice/Video (wenn relevant), Monitoring
- T+X: Commit (startup-config schreiben) erst nach Pass
- Rollback Reserve: feste Zeitbox, nicht „wenn noch Zeit ist“
CLI: Cutover Quick Checks (Copy/Paste)
show clock
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip nat translations
show crypto ipsec sa
show ip sla statistics
show track
show policy-map interface
show ntp status
show logging | last 100
show processes cpu sortedTraffic-Path-Validierung: UAT-Testfälle, die Migration beweisen
Nach dem Cutover müssen definierte Flows funktionieren. Validieren Sie nicht nur „ping“, sondern Pfade, Policies und Counter. Nutzen Sie feste Targets pro Standort.
- Internet: DNS + HTTPS aus Users, ggf. Guest separat
- Inter-Site/VPN: Zugriff auf zentrale Netze, Paketzähler steigen
- Segmentierung: Guest→RFC1918 blockiert, Users→MGMT blockiert
- QoS (wenn Scope): Echtzeitklassen sehen Traffic, keine Drops
CLI: Pfad- und Policy Evidence
traceroute 1.1.1.1
show ip route <DEST_IP>
show ip cef <DEST_IP> detail
show access-lists
show ip nat statistics
show crypto ipsec sa
show policy-map interfaceRollback-Plan: Backout Trigger, Schritte und Validierung
Rollback ist ein eigenständiger Plan, kein „wir gehen einfach zurück“. Definieren Sie Trigger, eine klare Schrittfolge und Checks, die bestätigen, dass der alte Zustand wieder stabil ist.
- Trigger: Internet down > X Minuten, VPN kritisch down, Routing Loop/Flaps, Managementverlust
- Backout: Rückumschaltung auf Altgerät (Kabel/VLAN/Default), alte Policies aktiv
- Validierung: Pre-Change KPIs wieder erreicht, Monitoring ok
CLI: Rollback Validation (Minimal)
show ip interface brief
show ip route 0.0.0.0
show ip route summary
show crypto ipsec sa
show ip nat translations
show ntp status
show logging | last 50Post-Cutover: Dokumentation, Evidence Pack und Handover
Ein erfolgreicher Cutover endet mit Handover an Betrieb/NOC: Versionen, Konfigstände, Monitoring-Status und bekannte Abweichungen. Ohne Handover sinkt Betriebssicherheit.
- POST Backups: running/startup, Boot/Image-Infos
- Evidence Pack: Pre-/Post-Checks, UAT-Protokoll, KPIs
- Monitoring: NOC/SIEM bestätigt Sichtbarkeit und Alarmstatus
- Risk Register Update: offene Risiken/Actions mit Owner und Termin
CLI: Post-Migration Evidence Pack (Copy/Paste)
show version
show boot
show running-config
show startup-config
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip nat statistics
show crypto ipsec sa
show ip sla statistics
show track
show ntp status
show logging | last 100
show processes cpu sortedKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.