March 3, 2026

Cisco Switch Konfiguration sichern: Backup, Restore & Best Practices

Eine saubere Backup- und Restore-Strategie für Cisco Switches ist essenziell, um Konfigurationsfehler, Hardware-Ausfälle oder fehlgeschlagene Changes schnell zu beheben. In der Praxis zählt vor allem: reproduzierbare Sicherungen, geprüfte Wiederherstellung und klare Best Practices für Versionsstände, Zugriff und Sicherheit. Diese Anleitung zeigt dir die gängigen IOS-Workflows für Backup, Restore und Betrieb.

Grundlagen: Running-Config, Startup-Config und Speichermedien

Cisco IOS arbeitet mit zwei zentralen Konfigurationen: running-config (aktiv im RAM) und startup-config (persistiert im NVRAM). Änderungen wirken sofort in der Running-Config, werden aber erst nach dem Speichern dauerhaft.

show running-config
show startup-config
copy running-config startup-config

Typische Speicherorte auf dem Switch

Je nach Plattform sind u. a. flash:, bootflash: oder nvram: relevant. Backups sollten nicht nur lokal liegen, sondern extern versioniert werden.

dir flash:
show file systems

Backup per CLI: Schnell und zuverlässig sichern

Für Labs ist TFTP verbreitet, im Betrieb sind SCP/SFTP (SSH-basiert) meist die bessere Wahl. Entscheidend ist ein konsistentes Namensschema und das Sichern vor und nach Changes.

Backup auf einen TFTP-Server

TFTP ist einfach, aber unverschlüsselt. Nutze es primär in isolierten Netzen oder Trainingsumgebungen.

copy running-config tftp:
Address or name of remote host []? 192.168.99.50
Destination filename [SW-ACCESS-01-confg]? SW-ACCESS-01_2026-03-03_prechange.cfg

Backup per SCP (empfohlen)

SCP überträgt verschlüsselt und ist in professionellen Umgebungen üblich. Stelle sicher, dass SSH und ein Nutzerkonto konfiguriert sind.

show ip ssh
show running-config | include ip domain-name|username

configure terminal
ip domain-name corp.local
username backup privilege 15 secret <SICHERES_PASSWORT>
crypto key generate rsa modulus 2048
ip ssh version 2
end

copy running-config scp:
Address or name of remote host []? 192.168.99.60
Destination username [backup]? backup
Destination filename [running-config]? SW-ACCESS-01_2026-03-03_prechange.cfg

Backup in die lokale Flash (zusätzlich, nicht statt extern)

Ein lokales Backup hilft bei kurzfristigen Rollbacks, ersetzt aber kein externes, versioniertes Backup (z. B. Git/Backup-System).

copy running-config flash:SW-ACCESS-01_lastknown.cfg
dir flash:

Automatisierung und Regelmäßigkeit: Wiederholbare Backups

Manuelle Backups werden vergessen. In der Praxis setzt man auf zentrale Systeme (NMS/Backup-Tools), feste Intervalle und Change-getriebene Sicherungen.

  • Regelmäßig: z. B. täglich oder nach jeder erfolgreichen Änderung
  • Change-basiert: „pre-change“ und „post-change“ pro Change Request
  • Versionierung: Historie muss nachvollziehbar bleiben (Diffs, Tags, Rollback)
  • Integrität: Restore regelmäßig testen, nicht nur sichern

Namensschema für Backup-Dateien

Ein konsistentes Schema erleichtert Suche, Automatisierung und Audits. Bewährt sind Hostname, Datum, Kontext und optional Ticket-ID.

  • SW-ACCESS-01_2026-03-03_prechange_CHG12345.cfg
  • SW-ACCESS-01_2026-03-03_postchange_CHG12345.cfg
  • SW-CORE-01_2026-03-03_nightly.cfg

Restore-Strategien: Konfiguration sicher wiederherstellen

Beim Restore gibt es zwei typische Wege: in die Running-Config „merge“ (ergänzen) oder als Startup-Config „replace“ (ersetzen). Für saubere Rollbacks ist ein kontrolliertes Vorgehen wichtig.

Restore als Merge in die Running-Config

Diese Methode fügt Konfiguration hinzu. Sie ist schnell, kann aber Altlasten bestehen lassen, wenn du eigentlich „zurück auf Stand X“ willst.

copy tftp: running-config
Address or name of remote host []? 192.168.99.50
Source filename []? SW-ACCESS-01_2026-03-03_prechange.cfg

copy scp: running-config
Address or name of remote host []? 192.168.99.60
Source username []? backup
Source filename []? SW-ACCESS-01_2026-03-03_prechange.cfg

Restore als Replace über Startup-Config

Wenn du den Startup-Stand ersetzt, bootet der Switch nach Reload exakt mit dieser Konfiguration. Das ist für definierte Rollbacks häufig die sauberste Option.

copy tftp: startup-config
Address or name of remote host []? 192.168.99.50
Source filename []? SW-ACCESS-01_2026-03-03_prechange.cfg

reload

Konfiguration gezielt entfernen oder zurücksetzen

In Labs oder beim Re-Provisioning kann ein kompletter Reset sinnvoll sein. In produktiven Netzen nur mit Wartungsfenster und Plan.

write erase
delete flash:vlan.dat
reload

Verifikation nach Backup und nach Restore

Ein Backup ist nur dann wertvoll, wenn es konsistent und wiederherstellbar ist. Prüfe daher unmittelbar nach Sicherung/Restore die wichtigsten Punkte.

show running-config | include hostname|username|ip domain-name
show startup-config | include hostname|username|ip domain-name
show ip interface brief
show vlan brief
show interfaces trunk
show spanning-tree summary

Management-Erreichbarkeit testen

Nach Restore ist die Management-IP oder das Default-Gateway oft die erste Fehlerquelle. Verifiziere ARP und Ping.

show arp
ping 192.168.99.1
ping 192.168.99.60

Best Practices: Backup-Policy, Sicherheit und Betrieb

Professionelle Backups sind mehr als „copy running-config“. Es geht um Sicherheit, Nachvollziehbarkeit und schnelle Recovery-Zeiten.

  • Vor jeder Änderung: pre-change Backup erstellen
  • Nach erfolgreicher Änderung: post-change Backup erstellen
  • Backups extern speichern und versionieren (z. B. Git/Backup-Tool)
  • Backups verschlüsselt übertragen (SCP/SFTP statt TFTP)
  • Rollen trennen: dedizierter Backup-User mit minimal nötigen Rechten
  • Secrets schützen: keine Klartext-Passwörter in Dokumenten/Logs
  • Restore-Probe: regelmäßig in Lab/Staging testen
  • Standardisierung: Templates, Baselines, identische Namenskonventionen

Konfiguration „lesbar“ machen und vergleichen

Für Audits und schnelle Reviews ist es hilfreich, die Konfiguration strukturiert darzustellen und Unterschiede zu erkennen.

show running-config
show running-config | section interface
show running-config | section line vty
show running-config | include vlan|spanning-tree|ip ssh

Archivierung direkt auf dem Switch (Configuration Archive)

Einige IOS-Versionen unterstützen ein lokales Konfigurationsarchiv. Das ist als zusätzliche Historie nützlich, ersetzt aber kein zentrales Backup.

configure terminal
archive
 path flash:cfg-archive
 write-memory
exit
end

show archive
dir flash:cfg-archive

Rollback-Playbook: Praxisablauf für Changes

Ein kurzer, wiederholbarer Ablauf reduziert Risiko. Er ist besonders hilfreich für Einsteiger und Junior Engineers im Change-Prozess.

  • Baseline prüfen: show-Zustand dokumentieren (Interfaces, VLANs, Trunks, STP)
  • Pre-Change Backup erstellen und extern ablegen
  • Change umsetzen, anschließend Verifikation (Connectivity, VLAN, Logs)
  • Post-Change Backup erstellen
  • Bei Problemen: definierter Rollback (Merge oder Replace) und erneute Verifikation
show interfaces status
show vlan brief
show interfaces trunk
show spanning-tree summary
show logging

Häufige Fehler und wie du sie vermeidest

Viele Restore-Probleme sind vermeidbar: falscher Zielpfad, fehlende SSH-Parameter, IP-Connectivity oder nicht gespeicherte Änderungen.

  • Backup ohne Speichern: Running-Config gesichert, aber Startup bleibt alt
  • TFTP ohne Reachability: falsches Gateway/VLAN/ACL blockiert
  • SCP scheitert: SSH/Domain/RSA-Key fehlt oder User nicht korrekt
  • Merge statt Replace: Konfiguration „wächst“ und enthält Reste
  • VLAN-Datenbank: vlan.dat nicht berücksichtigt (plattformabhängig)
show ip route
show ip ssh
show running-config | section line vty
show file systems
dir flash:

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer