Ein Cisco Switch ist oft das erste aktive Netzwerkgerät, das man in Laboren, kleinen Büros oder Campus-Netzen konfiguriert. Damit die Inbetriebnahme sauber, sicher und nachvollziehbar gelingt, führt diese Anleitung Schritt für Schritt durch die Grundkonfiguration eines Cisco IOS Switches – von der ersten Konsolenverbindung bis zu VLANs, Trunks, Management-IP und SSH-Zugriff.
Voraussetzungen und Vorbereitung
Für die Erstkonfiguration benötigst du Zugriff über die Konsole, da ein neuer Switch meist noch keine Management-IP oder Remote-Zugänge hat. Arbeite idealerweise in einer Testumgebung (Lab), bevor du Änderungen produktiv übernimmst.
- Hardware: Cisco Switch (z. B. Catalyst), Konsolenkabel (RJ-45/USB), PC/Laptop
- Software: Terminalprogramm (z. B. PuTTY, Tera Term), optional TFTP/FTP/SCP-Server
- Grundwissen: CLI-Modi, VLAN-Grundlagen, IP-Adressierung
Konsolenverbindung herstellen
Verbinde den PC mit dem Console-Port. Übliche serielle Einstellungen sind 9600 baud, 8 data bits, no parity, 1 stop bit, no flow control (9600 8N1). Danach siehst du die IOS-Konsole.
Erster Start und Basis-Absicherung
Nach dem Booten kannst du den Setup-Assistenten überspringen und die Konfiguration kontrolliert per CLI vornehmen. Das ist in Trainings und im Betrieb der Standardweg.
enable
configure terminal
Hostname, Passwortschutz und Banner
Ein eindeutiger Hostname erleichtert Betrieb und Fehlersuche. Passwörter und ein Login-Banner sind Basismaßnahmen gegen Fehlbedienung und unautorisierten Zugriff.
hostname SW-ACCESS-01
enable secret <SICHERES_ENABLE_SECRET>
service password-encryption
banner motd ^C
Unbefugter Zugriff verboten. Nutzung wird protokolliert.
^C
Lokalen Benutzer anlegen
Für SSH solltest du einen lokalen Benutzer mit Privilegien definieren. Nutze dafür ein Secret (gehasht), nicht ein Klartext-Passwort.
username admin privilege 15 secret <SICHERES_PASSWORT>
Grundlegende Management-Konfiguration
Damit du den Switch im Netz verwalten kannst, brauchst du eine Management-IP auf einem SVI (Switch Virtual Interface) und ein Default-Gateway für Management-Traffic in andere Netze.
Management-VLAN auswählen oder erstellen
In vielen Umgebungen wird ein dediziertes Management-VLAN genutzt (z. B. VLAN 99). Für Lernumgebungen geht auch VLAN 1, empfohlen ist aber ein separates VLAN.
vlan 99
name MGMT
exit
SVI (Interface VLAN) mit IP-Adresse konfigurieren
Die IP-Adresse liegt im Management-Subnetz. Aktiviere das SVI und setze das Gateway, damit der Switch Remote-Admins erreichen kann.
interface vlan 99
ip address 192.168.99.10 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.99.1
Management-Port einem VLAN zuweisen
Mindestens ein Access-Port muss im Management-VLAN sein, sonst bleibt das SVI down/down. Weise z. B. Port Gi1/0/24 als Management-Uplink oder Admin-Port zu.
interface gigabitEthernet 1/0/24
description MGMT-ACCESS
switchport mode access
switchport access vlan 99
spanning-tree portfast
exit
SSH statt Telnet aktivieren
Telnet überträgt Zugangsdaten im Klartext. Für Einsteiger ist es wichtig, früh auf SSH zu setzen. Dazu braucht IOS einen Domain-Namen und RSA-Schlüssel.
ip domain-name lab.local
crypto key generate rsa modulus 2048
ip ssh version 2
VTY-Lines auf SSH einschränken
Erlaube nur SSH und nutze lokale Benutzerkonten. Optional kann ein Login-Timeout gesetzt werden.
line vty 0 4
transport input ssh
login local
exec-timeout 10 0
exit
Optional: Management-Zugriff per ACL begrenzen
Beschränke SSH auf Admin-IPs oder Admin-Netze. Das reduziert die Angriffsfläche deutlich.
ip access-list standard ACL-MGMT-SSH
permit 192.168.99.0 0.0.0.255
deny any
exit
line vty 0 4
access-class ACL-MGMT-SSH in
exit
VLANs für Clients und Dienste einrichten
VLANs segmentieren das Layer-2-Netz und trennen Broadcast-Domänen. In typischen Szenarien gibt es mindestens VLANs für Clients, Voice und Server.
vlan 10
name CLIENTS
exit
vlan 20
name VOICE
exit
vlan 30
name SERVER
exit
Access-Ports korrekt konfigurieren
Access-Ports gehören genau einem VLAN. Für Endgeräte empfiehlt sich PortFast, um schnelle Link-Up-Zeiten zu erreichen.
interface range gigabitEthernet 1/0/1 - 12
description CLIENT-PORTS
switchport mode access
switchport access vlan 10
spanning-tree portfast
spanning-tree bpduguard enable
exit
Voice-VLAN für IP-Telefone (optional)
Wenn ein IP-Telefon mit dahinterliegendem PC genutzt wird, werden Daten- und Voice-VLAN getrennt. Das Telefon taggt Voice, der PC bleibt untagged im Data-VLAN.
interface range gigabitEthernet 1/0/13 - 16
description IP-PHONE+PC
switchport mode access
switchport access vlan 10
switchport voice vlan 20
spanning-tree portfast
spanning-tree bpduguard enable
exit
Trunk zu einem anderen Switch oder Router konfigurieren
Ein Trunk transportiert mehrere VLANs über einen Link. Das ist notwendig zwischen Switches (Uplinks) oder zu Router/L3-Switch (Inter-VLAN-Routing).
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
exit
Native VLAN bewusst wählen
Die Native VLAN ist untagged auf dem Trunk. In vielen Designs wird sie auf ein ungenutztes VLAN gesetzt und konsequent dokumentiert, um Fehlkonfigurationen zu vermeiden.
interface gigabitEthernet 1/0/48
switchport trunk native vlan 999
exit
vlan 999
name NATIVE-UNUSED
exit
Spanning Tree: Basis-Einstellungen für Einsteiger
Spanning Tree verhindert Layer-2-Schleifen. Für Access-Ports sind PortFast und BPDU Guard bewährte Standardmaßnahmen.
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
Warum PortFast und BPDU Guard?
PortFast beschleunigt die Aktivierung von Endgeräte-Ports. BPDU Guard deaktiviert Ports, die unerwartet BPDUs empfangen (z. B. durch einen angeschlossenen Switch) und verhindert so typische Loop-Probleme.
Port-Security für mehr Zugriffskontrolle
Port-Security hilft, die Anzahl erlaubter MAC-Adressen pro Port zu begrenzen. Das ist eine einfache Schutzschicht gegen ungewollte Gerätewechsel.
interface gigabitEthernet 1/0/5
description CLIENT-SECURE
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address sticky
spanning-tree portfast
spanning-tree bpduguard enable
exit
Violation-Modi kurz erklärt
- protect: verwirft nur unerlaubte Frames, keine Logs/Counter-Erhöhung
- restrict: verwirft Frames und erhöht Counter, optional Logging
- shutdown: setzt den Port in err-disabled (striktestes Verhalten)
Konfiguration sichern und prüfen
Nach jeder sinnvollen Änderung solltest du prüfen, ob der Zustand passt, und anschließend speichern. Unsgespeicherte Konfiguration geht nach einem Neustart verloren.
show running-config
show ip interface brief
show vlan brief
show interfaces trunk
show spanning-tree summary
Konfiguration speichern
copy running-config startup-config
Typische Fehlerquellen und schnelle Diagnose
Viele Probleme entstehen durch VLAN-Mismatch, fehlende Management-VLAN-Zuweisung oder Trunk-Fehler. Mit wenigen Show-Befehlen lässt sich das schnell eingrenzen.
- Management-SVI bleibt down: mindestens ein Port muss im Management-VLAN aktiv sein
- Kein SSH: Domain-Name oder RSA-Key fehlt, VTY nicht auf SSH eingeschränkt oder ACL blockt
- VLANs kommen nicht über den Uplink: Trunk erlaubt VLAN nicht oder Trunk ist gar nicht aktiv
- Port err-disabled: BPDU Guard oder Port-Security hat ausgelöst
show interface status
show interfaces gigabitEthernet 1/0/48 switchport
show ip ssh
show access-lists
show errdisable recovery
show port-security interface gigabitEthernet 1/0/5
Beispiel: Minimal-Konfiguration für ein kleines Lab
Wenn du schnell starten willst, reicht oft eine kompakte Basis: Hostname, Enable-Secret, Management-VLAN + SVI, Default-Gateway und SSH.
enable
configure terminal
hostname SW-LAB-01
enable secret <SICHERES_ENABLE_SECRET>
service password-encryption
username admin privilege 15 secret <SICHERES_PASSWORT>
vlan 99
name MGMT
exit
interface vlan 99
ip address 192.168.99.10 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.99.1
interface gigabitEthernet 1/0/24
switchport mode access
switchport access vlan 99
spanning-tree portfast
exit
ip domain-name lab.local
crypto key generate rsa modulus 2048
ip ssh version 2
line vty 0 4
transport input ssh
login local
exec-timeout 10 0
exit
end
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
