Eine Management-IP ist die Grundlage für zuverlässige Remote-Administration eines Cisco Switches (z. B. per SSH). Damit der Zugriff stabil funktioniert, müssen nicht nur IP-Adresse und Maske stimmen, sondern auch VLAN/SVI-Zustand, Default-Gateway (bei Layer-2-Switches) und die korrekte Port-Zuordnung. Dieses Tutorial zeigt Schritt für Schritt, wie du eine Management-IP sauber setzt und typische Fehlerquellen sofort vermeidest.
Grundkonzept: Wo liegt die Management-IP beim Cisco Switch?
Auf klassischen Layer-2-Switches wird die Management-IP nicht auf einem physischen Port konfiguriert, sondern auf einem SVI (Switch Virtual Interface), also interface vlan X. Dieses SVI gehört zu einem VLAN (z. B. Management-VLAN 99).
- Management-IP liegt auf
interface vlan <MGMT-VLAN> - SVI ist nur
up, wenn das VLAN aktiv ist (mindestens ein Port im VLAN up) - Für Routing in andere Netze braucht ein L2-Switch ein
ip default-gateway
Layer-2 vs. Layer-3: Default-Gateway oder Routing?
Ein Layer-2-Switch nutzt ein Default-Gateway für Management-Traffic in andere Netze. Ein Layer-3-Switch nutzt stattdessen Routing (z. B. statische Route oder dynamische Protokolle).
show ip interface brief
show ip route
show running-config | include ip default-gateway
Planung: Management-VLAN und IP-Adressierung festlegen
Nutze möglichst ein dediziertes Management-VLAN (nicht VLAN 1). Wähle ein eigenes Subnetz und dokumentiere Gateway, Switch-IP und erlaubte Admin-Quellnetze.
- Management-VLAN: z. B. VLAN 99
- Management-Subnetz: z. B. 192.168.99.0/24
- Gateway: z. B. 192.168.99.1
- Switch-IP: z. B. 192.168.99.10
Schritt-für-Schritt: Management-IP auf dem SVI konfigurieren
Die folgenden Schritte funktionieren für die meisten Cisco IOS Switches. Arbeite initial über die Konsole, damit du dich nicht aussperrst.
VLAN erstellen und benennen
enable
configure terminal
vlan 99
name MGMT
exit
end
SVI mit IP-Adresse konfigurieren und aktivieren
Setze IP-Adresse und Subnetzmaske auf dem SVI und aktiviere es mit no shutdown.
configure terminal
interface vlan 99
ip address 192.168.99.10 255.255.255.0
no shutdown
exit
end
Default-Gateway setzen (Layer-2-Switch)
Ohne Default-Gateway erreichst du Admin-Hosts in anderen Subnetzen nicht. Das gilt insbesondere, wenn dein Admin-PC nicht im gleichen VLAN/Subnetz ist.
configure terminal
ip default-gateway 192.168.99.1
end
Der häufigste Fehler: SVI bleibt down/down
Ein SVI wird nur dann up, wenn das VLAN „lebt“ – also mindestens ein Port in diesem VLAN aktiv ist (Link up). Ohne aktiven Port bleibt interface vlan 99 down/down und die Management-IP ist nicht erreichbar.
Mindestens einen Port ins Management-VLAN legen
Nutze z. B. einen dedizierten Admin-Port oder einen Uplink, der VLAN 99 transportiert (Trunk). Für einen einfachen Admin-Port ist Access-Konfiguration ideal.
configure terminal
interface gigabitEthernet 1/0/24
description MGMT-ACCESS
switchport mode access
switchport access vlan 99
spanning-tree portfast
exit
end
SVI-Status prüfen
show ip interface brief
show interfaces vlan 99
show vlan brief
Alternative: Management über Trunk/Uplink bereitstellen
Wenn das Management-VLAN über einen Uplink geführt wird, muss VLAN 99 auf dem Trunk erlaubt sein. Andernfalls bleibt das VLAN zwar lokal konfiguriert, aber Management-Traffic erreicht das Netz nicht.
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
switchport mode trunk
switchport trunk allowed vlan 10,20,99
exit
end
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
Erreichbarkeit testen: Ping, ARP und typische Checks
Teste zunächst das Default-Gateway und danach den Admin-Host. Wenn Ping im gleichen VLAN nicht klappt, liegt es meist an VLAN-Zuordnung, Verkabelung oder SVI-Status.
ping 192.168.99.1
show arp
show mac address-table vlan 99
Wenn Ping fehlschlägt: schnelle Ursachenanalyse
- SVI down: kein aktiver Port im VLAN 99
- Falsche Maske/Gateway: IP-Plan prüfen
- VLAN nicht erlaubt auf Trunk: Allowed VLANs prüfen
- ACL blockiert: Interface-/VTY-ACLs prüfen
- Port administrativ down:
show interfaces status
show interfaces status
show vlan brief
show ip interface brief
show access-lists
show logging | include VLAN|TRUNK|DENY
Management-Zugriff absichern: SSH statt Telnet
Nachdem die Management-IP erreichbar ist, solltest du den Remote-Zugriff sofort auf SSH umstellen und Telnet deaktivieren. Das ist ein schneller, sehr wirksamer Security-Schritt.
SSH aktivieren
configure terminal
ip domain-name corp.local
username admin privilege 15 secret <SICHERES_PASSWORT>
crypto key generate rsa modulus 2048
ip ssh version 2
end
VTY-Lines auf SSH-only setzen
configure terminal
line vty 0 15
login local
transport input ssh
exec-timeout 10 0
exit
end
SSH auf Admin-Netz begrenzen (empfohlen)
Erlaube Management-Zugriff nur aus definierten Admin-Quellnetzen. Das reduziert die Angriffsfläche deutlich.
configure terminal
ip access-list standard ACL-MGMT-SSH
permit 192.168.99.0 0.0.0.255
deny any
exit
line vty 0 15
access-class ACL-MGMT-SSH in
end
Konfiguration speichern und dokumentieren
Speichere die Konfiguration dauerhaft und dokumentiere Management-IP, VLAN, Gateway und Zugriffsregeln. Das verhindert spätere „mysteriöse“ Erreichbarkeitsprobleme.
copy running-config startup-config
show running-config | include interface vlan 99|ip default-gateway|ip ssh|access-class
Best Practices für zuverlässigen Management-Zugriff
Mit wenigen Standards erreichst du stabile Remote-Administration und reduzierst Fehler in Betrieb und Troubleshooting.
- Dediziertes Management-VLAN (nicht VLAN 1)
- SVI nur aktiv, wenn VLAN „lebt“: mindestens ein aktiver Port im MGMT-VLAN
- Default-Gateway auf L2-Switches setzen
- SSH-only, Telnet deaktivieren
- VTY-Zugriff per ACL auf Admin-Netze begrenzen
- Konfiguration sichern und versionieren (pre-/post-change)
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
