Cisco-Router-Setup für Büro & Unternehmen: Was ist enthalten?

Ein Cisco-Router-Setup für Büro und Unternehmen umfasst deutlich mehr als „Internet läuft“. Neben der reinen Grundkonfiguration gehören Sicherheit, saubere Segmentierung, stabile WAN-Anbindung, Remote-Zugriff, Monitoring sowie eine nachvollziehbare Dokumentation dazu. Wer die enthaltenen Bausteine kennt, kann Anforderungen präzise formulieren, Angebote besser vergleichen und den späteren Betrieb deutlich vereinfachen.

Was bedeutet „Cisco-Router-Setup“ im Unternehmensumfeld?

Im Business-Kontext ist ein Router-Setup ein vollständiges Inbetriebnahme- und Betriebsgrundlagenpaket: Der Router wird so konfiguriert, dass er zuverlässig routet, sicher erreichbar ist, Ausfälle abfangen kann und sich in bestehende Prozesse (Monitoring, Logging, Change-Management) integriert.

Je nach Umgebung (Filiale, Zentrale, Hybrid Cloud, MPLS/Internet) kommen unterschiedliche Funktionen hinzu, etwa BGP zum Provider, IPsec-VPNs oder Quality of Service für VoIP.

Grundkonfiguration: Das muss immer enthalten sein

Die Basiskonfiguration stellt sicher, dass das Gerät eindeutig identifizierbar, administrierbar und betriebssicher ist. Sie bildet die Grundlage für alle weiteren Module.

• Hostname, Domain-Name, Zeit/Zeitzone, NTP
• Management-Zugriff per SSH (statt Telnet), lokale oder zentrale Authentifizierung
• Benutzer- und Rechtekonzept (Privilege-Level, AAA)
• Konfigurationssicherung (Backup-Strategie, Versionierung)
• Grundlegende Hardening-Settings (z. B. Deaktivieren unnötiger Dienste)

Beispiel: Management-Basis (SSH, Benutzer, NTP)

hostname R1-OFFICE
no ip domain-lookup
ip domain-name example.local
username netadmin privilege 15 secret 
crypto key generate rsa modulus 2048

ip ssh version 2

line vty 0 4

transport input ssh

login local

exec-timeout 10 0
ntp server 192.0.2.10 prefer

WAN/Internet-Anbindung: Stabil, sicher und nachvollziehbar

Der WAN-Teil entscheidet über Erreichbarkeit und Performance. Ein professionelles Setup berücksichtigt Provider-Parameter, MTU/MSS, Failover und saubere Default-Routing-Logik.

• WAN-Interface-Konfiguration (Ethernet, PPPoE, DHCP oder statisch)
• Default-Route und Tracking (z. B. mit IP SLA)
• Dual-WAN-Failover (Primär/Backup, Lastverteilung nach Bedarf)
• MTU/MSS-Anpassung zur Vermeidung von Fragmentierung (besonders bei VPN)

Beispiel: Statische WAN-IP und Default-Route

interface GigabitEthernet0/0
 description WAN-ISP
 ip address 198.51.100.2 255.255.255.252
 no shutdown
ip route 0.0.0.0 0.0.0.0 198.51.100.1

LAN-Design & Segmentierung: VLANs, Subnetze und Routing

Im Büro- und Unternehmensnetz ist Segmentierung zentral: Mitarbeiter, Gäste, VoIP, Drucker/IoT und Server sollten getrennt werden. Das erhöht Sicherheit, reduziert Broadcast-Domänen und erleichtert Policies.

• IP-Adressplan (z. B. pro Abteilung/VLAN)
• Inter-VLAN-Routing (Router-on-a-Stick oder L3-Uplinks)
• DHCP-Relay (ip helper-address) oder lokaler DHCP (szenarioabhängig)
• IPv6 (Dual-Stack) bei Bedarf

Beispiel: Router-on-a-Stick für VLANs

interface GigabitEthernet0/1
 description LAN-Trunk-to-Switch
 no shutdown
interface GigabitEthernet0/1.10

description VLAN10-Users

encapsulation dot1Q 10

ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1.20

description VLAN20-Guest

encapsulation dot1Q 20

ip address 10.10.20.1 255.255.255.0

Subnetting kompakt: Warum kleinere Netze sinnvoll sind

Statt ein einziges großes /24 für alles zu nutzen, werden oft kleinere Netze je VLAN vergeben. Ein /26 bietet 64 Adressen (62 nutzbar) und eignet sich gut für kleine Segmente.

26 = 64

Routing: Statisch oder dynamisch?

In kleinen Büros reicht oft statisches Routing. Sobald mehrere Standorte, redundante Uplinks oder Provider-Routing (z. B. BGP) ins Spiel kommen, sind dynamische Protokolle und klare Policy-Regeln sinnvoll.

• Statische Routen: Einfach, aber bei Wachstum unübersichtlich
• OSPF: Häufig für Unternehmensstandorte und Backbone-Designs
• BGP: Typisch bei Provider-Anbindungen, Multi-Homing, SD-WAN-Edge

Beispiel: OSPF-Basis mit passiven Interfaces

router ospf 10
 router-id 10.255.255.1
 passive-interface default
 no passive-interface GigabitEthernet0/1
 network 10.10.0.0 0.0.255.255 area 0

Sicherheit: Zugriffskontrolle, Firewalling und Hardening

Ein Unternehmens-Setup muss den Datenverkehr kontrollieren und Angriffsflächen reduzieren. Dazu gehören Filterregeln (ACLs), zonenbasierte Firewall-Konzepte und Schutz der Control Plane.

• ACLs für Management und Segmentgrenzen (Least Privilege)
• Zone-Based Firewall (ZBFW) für stateful Policies (szenarioabhängig)
• Schutz des Management-Zugangs (SSH-only, Trusted Sources, AAA)
• Control Plane Protection/Policing (CoPP) gegen unnötige Last

Beispiel: Management-Zugriff auf SSH begrenzen

ip access-list standard MGMT_SSH
 permit 10.10.10.0 0.0.0.255
 deny   any
line vty 0 4

access-class MGMT_SSH in

transport input ssh

NAT/PAT: Internetzugang für interne Netze

In vielen Büroumgebungen wird NAT benötigt, damit private RFC1918-Netze ins Internet gelangen. Ein gutes Setup dokumentiert „Inside/Outside“-Grenzen und berücksichtigt Ausnahmen (z. B. VPN-Interessent Traffic).

• NAT/PAT (Overload) für Standard-Internet
• Ausnahmen/No-NAT für Site-to-Site-VPNs
• Portweiterleitungen (DNAT) nur bei klarer Notwendigkeit

Beispiel: NAT Overload mit ACL

interface GigabitEthernet0/0
 ip nat outside
interface GigabitEthernet0/1
 ip nat inside
ip access-list standard NAT_INSIDE

permit 10.10.0.0 0.0.255.255
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

VPN & Remote-Zugriff: Standorte sicher verbinden

Für Unternehmen ist VPN häufig ein Kernbestandteil: Standortkopplung (Site-to-Site) oder abgesicherter Zugriff für IT/Service. Hier sind konsistente Kryptopolicies, sauberes Routing und MTU/MSS besonders wichtig.

• Site-to-Site IPsec (IKEv2) für Filialen/Zentralen
• GRE over IPsec für dynamisches Routing über Tunnel
• DMVPN/Hub-and-Spoke (szenarioabhängig)
• Split-Tunneling und Zugriffsprofile für Remote Access (falls eingesetzt)

Check-Befehle für VPN-Status

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

QoS: Priorisierung für VoIP, Video und kritische Anwendungen

QoS ist oft enthalten, wenn Sprache/Video oder ERP/VDI stabil laufen müssen. Entscheidend ist, dass QoS end-to-end gedacht wird: Markierung, Klassifizierung und Shaping am WAN sind typische Bausteine.

• Klassifizierung (z. B. DSCP) und Markierung
• Priorisierung (LLQ) für Voice
• Shaping am WAN-Uplink zur Vermeidung von Provider-Drops

Monitoring, Logging und Betrieb: Ohne Sichtbarkeit kein stabiles Netz

Ein professionelles Setup liefert nicht nur Konfiguration, sondern Betriebsfähigkeit. Dazu gehören Logs, Metriken, Alarme und eine Standardstruktur, die auch im Fehlerfall schnell Orientierung gibt.

• Syslog an zentralen Server (Level, Facility, Zeitstempel)
• SNMPv3 (statt SNMPv2c) für sichere Abfragen
• NetFlow/IPFIX für Traffic-Transparenz (optional)
• IP SLA für Pfadüberwachung und Failover-Trigger

Beispiel: Syslog und Basis-Logging

service timestamps log datetime msec
logging buffered 64000 informational
logging host 192.0.2.20
logging trap informational

Dokumentation & Übergabe: Was Sie erwarten sollten

„Enthalten“ bedeutet im Unternehmensumfeld auch: nachvollziehbar übergeben. Eine saubere Doku spart bei Erweiterungen, Audits und Störungen erheblich Zeit.

• Interface- und IP-Plan (WAN/LAN, VLANs, Gateways)
• Routing-Design inkl. Failover-Logik und Tracking
• NAT-Übersicht inkl. Ausnahmen (No-NAT) und Portweiterleitungen
• VPN-Matrix (Peers, Netze, Kryptoparameter)
• Abnahmetests (Pre-/Post-Checks) und Betriebshinweise
• Backup- und Rollback-Konzept (vor/nach Change)

Praktische Post-Checks: Schnellprüfung nach dem Setup

Nach der Umsetzung sollten Basisprüfungen dokumentiert und reproduzierbar sein. Das reduziert Diskussionen („war vorher auch so“) und beschleunigt Störungsanalysen.

show ip interface brief
show interfaces counters errors
show ip route
show ip arp summary
show logging | last 50
ping 8.8.8.8 source GigabitEthernet0/1
traceroute 1.1.1.1

Typische optionale Erweiterungen im Unternehmens-Setup

Je nach Reifegrad und Compliance kommen zusätzliche Bausteine hinzu, die nicht immer „Standard“ sind, aber in vielen Umgebungen sinnvoll oder erforderlich werden.

• VRF-Segmentierung (z. B. Trennung Office/OT/Guest)
• Zertifikatsbasierte VPNs (PKI) statt Pre-Shared Keys
• Automatisierung (Templates, Ansible, Git-basierte Konfigverwaltung)
• Hochverfügbarkeit (HSRP/VRRP, Dual-Router-Design)
• Security-Audit-Hardening (CIS-orientierte Baselines, Policy-Reviews)

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.