Config Parsing: Dokumentation aus Cisco/Juniper/Arista Configs generieren

Config Parsing – also das strukturierte Auslesen von Informationen aus Cisco-, Juniper- und Arista-Konfigurationen – ist einer der effizientesten Wege, um Netzwerkdokumentation automatisch zu erzeugen und als Living Documentation aktuell zu halten. Während SNMP und Telemetry vor allem den Ist-Zustand (Status, Metriken, Nachbarschaften) liefern, steckt der eigentliche Architektur-Intent häufig in den Konfigurationen: VRFs, Routing-Policies, BGP-Sessions, Access-Listen, NAT-Regeln, Interface-Rollen, QoS-Klassen, Security-Zonen oder Management-Zugriffspfade. Genau hier setzt Config Parsing an: Sie generieren aus Device-Configs wiederverwendbare Artefakte wie IPAM-Updates, Segmentierungsübersichten, Routing-Topologien, Policy-Kataloge oder „Drift-Reports“ – und reduzieren damit manuelle Dokumentationsarbeit drastisch. Gleichzeitig hat Config Parsing klare Grenzen: Vendor-Syntax ist heterogen, Konfigurationen enthalten Ausnahmen und historische Altlasten, und ohne Datenmodell entsteht schnell „Dokumentationsrauschen“. Dieser Artikel zeigt, wie Sie aus Cisco IOS/XE/XR, Juniper Junos und Arista EOS Konfigurationen belastbare Dokumentation erzeugen: mit einem robusten Parsing-Ansatz, sinnvoller Normalisierung, Source-of-Truth-Anbindung, Qualitätschecks und einer Governance, die verhindert, dass automatisierte Doku zur nächsten „Wahrheitsquelle“ neben der Realität wird.

Warum Config Parsing als Dokumentationsquelle so stark ist

Konfigurationen sind die letzte Instanz der technischen Wahrheit: Sie definieren, was Geräte tatsächlich tun. Für Dokumentation bedeutet das drei entscheidende Vorteile:

• Intent-Nähe: Segmentierung, Policies, Routing-Entscheidungen und Kontrollpunkte stehen (zumindest indirekt) in der Config – nicht nur in Köpfen oder Tickets.
• Vollständigkeit: Configs enthalten auch „unsichtbare“ Details, die in Diagrammen oft fehlen (z. B. Communities, Prefix-Lists, ACL-Reihenfolgen, NAT-Ausnahmen).
• Reproduzierbarkeit: Aus derselben Quelle lassen sich wiederholt dieselben Artefakte erzeugen (Drift-Erkennung, Audit-Nachweise, Change-Diffs).

Der zentrale Punkt: Config Parsing ersetzt keine Architekturentscheidungen, aber es macht Architektur-Intent überprüfbar. Damit wird Dokumentation belastbarer – besonders für Troubleshooting, Audits und Vendor-Übergaben.

Ist-Zustand vs. Soll-Zustand: Parsing ist nicht automatisch „Source of Truth“

Ein häufiger Fehler ist, aus geparsten Konfigurationen eine neue „Wahrheit“ zu machen. In reifen Setups gilt: Config Parsing ist ein Input für eine Source of Truth, nicht die Source of Truth selbst. Die Source of Truth (z. B. NetBox oder eine CMDB) hält kanonische Objekte, Ownership, Lifecycle und Naming. Parsing liefert Fakten und Ableitungen, die validiert und dann übernommen oder als Abweichung gemeldet werden.

• Parsing liefert: Interfaces, IPs, VRFs, BGP Peers, Policies, ACLs, NAT, QoS, Routing-Maps, Service-Insertions.
• SoT liefert: kanonische Namen, Device Roles, Standort/Rack, Ownership, Statusmodelle, reservierte Prefixe, Circuit-Referenzen.
• Governance verbindet: welche Felder dürfen automatisch aktualisiert werden, welche nur per Review.

Welche Dokumentationsartefakte sich aus Configs sinnvoll generieren lassen

Config Parsing ist am stärksten, wenn Sie konkrete Ausgaben definieren. „Wir parsen mal Configs“ führt selten zu Nutzen. Bewährte Artefakte sind:

• IPAM-Extrakte: Interface-IPs, Loopbacks, VRF-Zuordnung, Summaries (als Input für IPAM, nicht als Ersatz).
• Routing-Dokumentation: IGP Areas/Levels, BGP Sessions, Policies, Communities, Route-Maps/Policy-Statements.
• Segmentierungsnachweis: VRFs, Zonen, ACLs/Firewall-Regeln (kategorisiert), „deny-by-default“-Indikatoren.
• Management Access: AAA/TACACS/RADIUS, Management-VRF, erlaubte Management-Quellen, Jump-Hosts (sofern abbildbar).
• Drift-Reports: Abweichungen zwischen SoT-Intent und Config-Ist (z. B. fehlende NTP-Server, abweichende SNMPv3-Settings).
• Change-Diffs mit Kontext: nicht nur „Zeilen geändert“, sondern „BGP Peer hinzugefügt“, „Policy erweitert“.

Für tiefergehende, vendor-neutrale Analysen kann ein Validierungstool wie Batfish hilfreich sein, das Konfigurationen in ein neutrales Modell überführt und Fragen zu Routing/Forwarding/ACLs beantworten kann. Einstieg: Batfish Übersicht und Batfish Dokumentation.

Parsing-Ansätze: Regex, Template, AST – und warum „schnell“ nicht immer „stabil“ ist

Config Parsing lässt sich grob in drei Ansätze einteilen. Der richtige Ansatz hängt von Ihrer Zielausgabe und Ihrer Vendor-Landschaft ab.

Regex Parsing (schnell, fragil)

• Stärken: schnell implementiert, gut für einfache Felder (z. B. Hostname, NTP Server, SNMP Community – sofern stabil).
• Schwächen: bricht bei Syntaxvarianten, Zeilenumbrüchen, Context-Blöcken und Vendor-Unterschieden; Wartungskosten steigen stark.

Template Parsing (mittel, kontrollierbar)

• Stärken: strukturierter als Regex, bessere Wiederverwendbarkeit, geeignet für „konfigurationsartige“ Muster.
• Schwächen: immer noch anfällig für Varianten; Templates müssen gepflegt und getestet werden.

AST/Model-driven Parsing (robust, aufwändiger)

• Stärken: sauberer Kontext, bessere Validierung, vendor-neutrale Abstraktion möglich.
• Schwächen: höhere Einstiegskosten, Tooling- und Modellentscheidungen nötig.

In Multivendor-Umgebungen lohnt sich häufig ein hybrider Ansatz: „kleine“ Dinge per Template/Regex, komplexe Logik über modellbasierte Tools oder vendor-spezifische Libraries.

Vendor-spezifische Stärken nutzen, ohne Lock-in zu erzeugen

Cisco, Juniper und Arista haben jeweils unterschiedliche Stärken in Bezug auf programmatische Auswertung. Best Practice ist, strukturierte Outputs und offizielle SDKs zu nutzen, wo es Sinn ergibt – und parallel ein neutrales Zielmodell zu definieren, damit Ihre Dokumentation nicht an einer Plattform hängt.

Cisco: pyATS/Genie als Parser- und Modell-Ökosystem

Im Cisco-Umfeld sind pyATS und Genie besonders relevant, weil sie viele „show“-Outputs und Zustandsinformationen in strukturierte Daten überführen können. Das ist für Dokumentation nützlich, wenn Sie Config Parsing mit verifiziertem Ist-Zustand kombinieren wollen (z. B. „Config sagt BGP Peer, State sagt Established“). Referenzen: Genie Dokumentation (Cisco DevNet) und der Parser-Hinweis im Genie Parser Repository.

• Best Practice: Config-Intent aus Configs, Verifikation über strukturierte States (Session up/down, Interfaces, VRF-State).
• Grenze: Genie ist primär für Outputs/States, nicht „Config als AST“ – für Config Parsing braucht es zusätzliche Logik oder Tools.

Juniper: Junos PyEZ Tables/Views für strukturierte Daten und Config-Objekte

Junos hat traditionell starke Möglichkeiten, Daten strukturiert zu betrachten. Junos PyEZ bietet Tables und Views, um Daten (auch Konfiguration) programmatisch zu extrahieren oder zu modellieren. Referenzen: Juniper: Tables and Views Overview sowie Beispiele zur Nutzung in PyEZ Table & View Doku und zur Definition von Config Tables in Juniper: Configuration Tables definieren.

• Best Practice: Config Parsing nicht nur „Text“, sondern als strukturierte Ressourcen (wo möglich), um Variationen zu reduzieren.
• Grenze: Tabellen/Views müssen gepflegt werden; Multi-Release-Varianten brauchen Tests.

Arista: eAPI und JSON als „Structured First“

Arista EOS bietet mit eAPI die Möglichkeit, CLI-Kommandos abzusetzen und JSON-Antworten zu erhalten. Das ist für Dokumentation wertvoll, weil „state“ und bestimmte Konfig-/Show-Outputs maschinenlesbar sind. Referenzen: Arista eAPI Whitepaper und ergänzend Arista EOS SDK eAPI Referenz.

• Best Practice: Dokumentation aus strukturierten JSON-Outputs erzeugen (z. B. Interface-/BGP-/Routing-Zustände), Config Parsing für Intent ergänzen.
• Grenze: Auch bei Arista bleibt der Intent nicht vollständig „aus State“ ableitbar (Policies, Gründe, Ownership).

Der zentrale Schritt: Normalisierung in ein neutrales Zielmodell

Wenn Sie Configs aus Cisco/Juniper/Arista parsen, müssen Sie irgendwann entscheiden, wie Ihre Dokumentation „spricht“. Best Practice ist, ein neutrales Zielmodell festzulegen, das Vendor-Syntax in gemeinsame Konzepte übersetzt. Beispiele:

• Interfaces: role (uplink/access/mgmt), type (physical/svi/tunnel), speed, description
• IPAM: vrf, prefix, interface-ip, gateway, reserved ranges
• Routing: protocol (OSPF/ISIS/BGP), neighbors, policies, communities
• Security: zones/segments, allow-categories, exceptions

Dieses Zielmodell ist das Bindeglied zu Ihrer Source of Truth (z. B. NetBox) oder CMDB. Ohne Zielmodell entsteht ein Sammelsurium aus Vendor-Feldern, das im Betrieb kaum nutzbar ist.

NetBox als Ziel für geparste Daten: Was passt gut, was nicht?

Viele Teams nutzen NetBox als technische Source of Truth für IPAM/DCIM. Für Config Parsing gilt: Nicht alles, was Sie aus Configs extrahieren können, sollte automatisch nach NetBox geschrieben werden. Best Practice ist eine klare Feldstrategie:

• Gut geeignet: Interface-IPs, VRF-Zuordnung, Prefixe (nach Review), Circuit-Referenzen, Interface-Descriptions (wenn Standards existieren), Device Facts (Model/Serial, wenn verlässlich).
• Mit Vorsicht: VLAN-Details, komplexe Policies, ACLs in voller Tiefe (häufig besser als verlinkte Artefakte/Reports).
• Nicht geeignet: rein temporäre Konfigs, historische Altlasten ohne Lifecycle-Entscheidung.

Wenn Sie NetBox anbinden, sollten Sie die API als festen Integrationspunkt nutzen. Referenz: NetBox REST API Dokumentation.

Qualitätssicherung: Wie Sie aus Parsing-Ergebnissen verlässliche Dokumentation machen

Parsing produziert schnell „scheinbar präzise“ Daten. Ohne Checks kann das gefährlich sein. Eine praxistaugliche Qualitätssicherung besteht aus vier Schichten:

• Syntax-Validierung: Konfig-Dateien sind vollständig, korrekt dekodiert, ohne abgeschnittene Blöcke.
• Semantik-Validierung: Plausibilitätschecks (z. B. IP gehört zum Prefix, VRF existiert, Interface-Name plausibel).
• SoT-Abgleich: Abweichungen werden als Drift gemeldet, nicht still überschrieben.
• Review-Workflow: Änderungen werden wie Code reviewed (PR/MR), bevor sie „offiziell“ werden.

Für komplexe, vendor-neutrale Checks (z. B. „kann dieser Flow passieren?“, „welche ACL greift?“) ist Batfish besonders geeignet, weil es Konfigurationen analysiert und Fragen zu Policies und Forwarding beantwortet. Einstieg: Getting Started mit Batfish.

Was Config Parsing nicht kann (und was Sie zusätzlich brauchen)

Config Parsing hat Grenzen, die Sie früh akzeptieren sollten – sonst bauen Sie Erwartungen auf, die das System nicht erfüllen kann.

• Kein „Warum“: Die Config sagt selten, warum eine Policy existiert. Dafür brauchen Sie Decision Records, Change-Notizen und Ownership.
• Keine garantierte Laufzeit-Wahrheit: Eine Config kann korrekt sein, aber der Zustand ist kaputt (Session down, Link flapping). Dafür brauchen Sie State/Telemetry.
• Keine vollständige Service-Sicht: Applikationsabhängigkeiten (DNS, IdP, DB) sind nur teilweise in Netzwerkconfigs sichtbar. Dafür brauchen Sie Service Maps/DFDs.
• Vendor-Edge-Cases: Sonderfeatures, Feature-Flags, verschiedene Release-Syntax – hier ist Testing Pflicht.

Der beste Ansatz ist daher „Config + State + Intent“: Config Parsing liefert Policies und Designfakten, strukturierte Outputs/Telemetry liefern Verifikation, und Architektur-/Governance-Doku liefert Kontext.

Security: Config Parsing als hochprivilegierte Pipeline behandeln

Konfigurationen enthalten sensible Informationen (z. B. IP-Pläne, ACLs, teilweise Schlüssel/PSKs, interne Namen). Ein Parsing-Setup ist daher ein Security-System. Best Practices:

• Secrets scrubben: Konfig-Backups müssen Secrets entfernen oder sicher verschlüsseln (PSKs, SNMP communities, private keys).
• Zugriff minimieren: Parser/Repos nur für berechtigte Teams, klare Rollen, Audit Trail.
• Retention: wie lange werden Config-Snapshots gespeichert, wo, und wer darf sie exportieren?
• Transport absichern: beim Einsammeln (SSH/SCP/API) und beim Speichern (verschlüsselte Storage/Backups).

Ein pragmatischer Startplan: Von „Configs liegen irgendwo“ zu „Doku aus Configs“

Damit das Thema nicht im Tooling steckenbleibt, starten Sie mit klaren, kleinen Outputs und erweitern iterativ.

• Phase 1: Gerätestammdaten (Hostname, Modell, Seriennummer wenn verlässlich), Management-IPs, Interface-Liste, VRF-Liste.
• Phase 2: IPAM-Extrakte (Prefixe, Interface-IPs), BGP Neighbor-Inventory, Standard-NTP/DNS/AAA Compliance.
• Phase 3: Policy-Kataloge (Route-Maps/Policy-Statements, Prefix-Lists), Segmentierungsindikatoren (Zonen/ACL-Kategorien).
• Phase 4: Validierung & Drift (SoT-Abgleich, Batfish-Analysen, automatisierte Reports), Integration in Change-Prozess.

Wichtig ist, in jeder Phase zu definieren, was „genug“ ist, damit Teams den Output wirklich nutzen (z. B. für Audits, Onboarding, Incident).

Checkliste: Dokumentation aus Cisco/Juniper/Arista Configs generieren

• Der Use Case ist klar: IPAM-Updates, Routing-/Policy-Doku, Segmentierungsnachweis, Drift-Reports oder Change-Diffs
• Es gibt ein neutrales Zielmodell (vendorübergreifend), statt Vendor-Feldchaos zu exportieren
• Feldhoheit ist definiert: Parsing schreibt Fakten, SoT hält Intent/Ownership/Lifecycle
• Stabile Identifikatoren werden genutzt (SoT-IDs, Serial/Asset Tag als Zusatz, Circuit-IDs für WAN)
• Vendor-spezifische Stärken werden genutzt (Cisco Genie/pyATS, Junos PyEZ Tables/Views, Arista eAPI JSON) und sauber verlinkt
• Qualitätssicherung ist vorhanden (Syntax-, Semantik-, SoT-Abgleich, Review-Workflow)
• Komplexe Validierung ist abgedeckt (z. B. Batfish für ACL/Forwarding/Policy-Analysen)
• Sicherheitsaspekte sind umgesetzt (Secrets scrubben, Least Privilege, Verschlüsselung, Audit Trail, Retention)
• Outputs sind operationalisiert (Runbooks, Audit-Artefakte, Diagramm-Links) statt nur „Datenexporte“
• Outbound-Links verweisen auf Primärquellen (Genie Doku, Junos PyEZ Doku, Arista eAPI Referenzen, Batfish Docs, NetBox REST API)

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.