Definition of Done: Welche Parameter „fertig“ für Cisco-Router-Konfigurationsprojekte bedeuten

Eine klare „Definition of Done“ (DoD) ist der wichtigste Hebel, um Cisco-Router-Konfigurationsprojekte planbar abzuschließen und Streit zu vermeiden. In der Praxis scheitern Abnahmen selten an „Routing funktioniert nicht“, sondern an fehlenden Nebenbedingungen: Logging nicht auditfähig, Monitoring nicht integriert, Rollback nicht getestet, Dokumentation unvollständig oder Betrieb nicht übergeben. Eine production-grade DoD beschreibt deshalb nicht nur technische Funktion, sondern auch Sicherheit, Operability, Evidence und Handover. Dieser Leitfaden liefert eine praxistaugliche DoD-Checkliste, die Sie direkt als Abnahmekriterien in Projekten, SoWs oder RFPs verwenden können.

Grundprinzip: „Fertig“ ist messbar und evidence-basiert

Ein Projekt ist erst dann done, wenn definierte Kriterien objektiv erfüllt sind. Jede DoD-Kategorie braucht Evidence (CLI-Ausgaben, UAT-Protokoll, Doku), sonst bleibt „fertig“ subjektiv.

• Messbarkeit: Pass/Fail Kriterien pro Kategorie
• Evidence: standardisiertes Evidence Pack je Gerät/Standort
• Abnahme: wer signiert (Customer/Vendor/NOC/SecOps)
• Zeitraum: Abnahmefenster (z. B. 24–72h nach Go-Live)

DoD-Kategorie 1: Technische Grundfunktion (Connectivity)

Die Basis muss stabil funktionieren: Interfaces, Default-Routen, interne/externen Pfade, VPN (falls Scope). Wichtig ist, dass nicht nur „Ping geht“, sondern die kritischen Flows gemäß Testplan funktionieren.

• Interfaces up, keine auffälligen Errors/Drops
• Default-Route korrekt, Routing-Tabellen plausibel
• Kritische Services: Internet, zentrale Netze, DNS/NTP (je Scope)
• VPN (falls Scope): SA up und Traffic-Counter steigen

CLI: Connectivity Evidence

show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
traceroute 1.1.1.1
show crypto ipsec sa

DoD-Kategorie 2: Resilience und Failover (wenn relevant)

Wenn Redundanz Teil des Scopes ist, ist „Failover getestet“ ein Muss-Kriterium. Abnahme erfordert messbare Umschaltzeit und Service-Recovery, nicht nur Link-down-Events.

• Dual-ISP/Backup-Link konfiguriert und aktiv überprüft
• Path-Down-Erkennung (IP SLA/Tracking) eingerichtet
• Failover-UAT: Umschaltzeit dokumentiert, keine Flap-Schleifen

CLI: Failover Evidence

show ip sla statistics
show track
show ip route 0.0.0.0
show logging | include TRACK|LINEPROTO|LINK-

DoD-Kategorie 3: Sicherheit (Management Plane + Baseline Controls)

Eine produktive Cisco-Router-Konfiguration ist ohne Management-Schutz nicht done. Mindeststandard sind SSH-only, MGMT-Only Zugriff, AAA/RBAC (wenn gefordert) und deaktivierte unnötige Services.

• SSH-only, VTY Access-Class (MGMT-Only), Exec-Timeout
• AAA/RBAC inkl. Accounting (Exec/Commands) sofern gefordert
• Nicht benötigte Services deaktiviert (HTTP/HTTPS, Legacy)
• Optional: CoPP, wenn Router exponiert ist

CLI: Security Evidence

show ip ssh
show running-config | include line vty|transport input|access-class
show running-config | include aaa|tacacs|radius
show running-config | include ip http
show policy-map control-plane

DoD-Kategorie 4: Logging und Auditability

Für Betrieb und Audits ist Logging Pflicht. „Logs lokal im Buffer“ ist nicht ausreichend. Done bedeutet: NTP synchron, Syslog zentral sichtbar, Zeitstempel korrekt.

• NTP synchronized (mind. zwei NTP-Server, wenn möglich)
• Syslog zentral konfiguriert, Source-Interface gesetzt
• Log-Level bewusst gewählt, keine Logflut
• Audit Trail: AAA Accounting aktiv (wenn Scope)

CLI: Logging Evidence

show clock
show ntp status
show running-config | include ntp server
show running-config | include logging host|logging trap|logging source-interface
show logging | last 100

DoD-Kategorie 5: Monitoring und Alarmierung (NOC-Readiness)

Ein Router ist erst done, wenn er im Monitoring sichtbar ist und kritische Alerts funktionieren. Sonst wird der erste Fehler erst durch Anwenderbeschwerden erkannt.

• SNMPv3/Telemetry aktiviert (gemäß NOC-Standard)
• Alarme definiert: Interface down, Track down, VPN down, Neighbor flaps, CPU high
• KPI-Baseline dokumentiert (RTT/Loss, Drops/Errors, CPU)

CLI: Monitoring Evidence (Router-seitig)

show snmp user
show ip interface brief
show interfaces counters errors
show processes cpu sorted

DoD-Kategorie 6: Performance-Baseline (CPU/Memory, Drops, QoS)

Auch wenn die Funktion stimmt, kann ein Router „am Limit“ sein. Done bedeutet: ausreichender Headroom, keine auffälligen Drops/Errors, QoS (falls Scope) verifiziert.

• CPU/Memory stabil, Headroom plausibel
• Keine neuen Output Drops/Queue Drops am WAN
• QoS-Policy attached und Counter plausibel (wenn Scope)

CLI: Performance Evidence

show processes cpu sorted
show processes memory sorted
show interfaces | include output drops|queue
show policy-map interface

DoD-Kategorie 7: UAT/Acceptance Tests (Testplan + Ergebnisse)

Die Abnahme muss auf einem UAT/ATP basieren. Done bedeutet: Testfälle dokumentiert, Pass/Fail festgehalten, Evidence beigefügt. Besonders wichtig sind Negativtests für Segmentierung.

• Testfälle: Internet, VPN, Routing, Policies (je Scope)
• Negativtests: z. B. Guest→RFC1918 blockiert, Users→MGMT blockiert
• Failover-Test: wenn Redundanz im Scope
• Abnahmefenster: definierte Beobachtungszeit ohne kritische Incidents

DoD-Kategorie 8: Rollback-Plan (getestet und zeitboxed)

Rollback ist ein Done-Kriterium, nicht nur ein Appendix. Done bedeutet: Rollback-Schritte dokumentiert, Trigger definiert und im Change Window Zeit reserviert. Idealerweise wurde Rollback zumindest im Lab geübt.

• Rollback-Trigger: Managementverlust, Loop/Flaps, kritische Services down
• Rollback-Schritte: Soft (Config) und ggf. Hard (Image/Startup)
• Rollback-Reserve: explizit im Change Window
• POST-Validierung: alter Zustand wieder stabil (Evidence)

DoD-Kategorie 9: Dokumentation und Handover an Betrieb

„Done“ ist erst erreicht, wenn das Betriebsteam übernehmen kann. Dazu gehören As-Built, Backups, Runbooks und Knowledge Transfer. Ohne diese Artefakte steigt MTTR dauerhaft.

• As-Built: Topologie, Interfaces, IP-Plan, Routing/VPN, Policies
• Backups: PRE/POST running und startup, Boot/Image dokumentiert
• Runbooks: Incident Quick Snapshot + Change Pre/Post + Upgrade
• Knowledge Transfer: Session + Q&A + Abnahme durch Betrieb

DoD-Kategorie 10: Governance (Versionierung, Drift-Control, Verantwortlichkeiten)

In Enterprise-Umgebungen ist Done erst erreicht, wenn Governance funktioniert: Konfiguration ist versioniert, Standards sind dokumentiert, und Ownership ist klar. Sonst driftet das System nach wenigen Wochen.

• Change-ID und Template-Version in Konfig/Doku
• Source of Truth definiert (Config Management/Repo)
• Drift-Control: Soll/Ist-Abgleich geplant (monatlich/quartalsweise)
• RACI: Betrieb, Security, Provider-Eskalation geklärt

DoD Evidence Pack: Standard-CLI-Auszüge für Abnahme

Dieses Evidence Pack kann als Mindestanforderung in SoW/RFP aufgenommen werden. Es liefert schnelle Nachweise für Funktion, Sicherheit, Auditability und Betrieb.

show version
show clock
show ip interface brief
show interfaces counters errors
show interfaces | include output drops|queue
show ip route 0.0.0.0
show ip route summary
show ip ospf neighbor
show bgp summary
show crypto ikev2 sa
show crypto ipsec sa
show ip sla statistics
show track
show policy-map interface
show ip ssh
show ntp status
show running-config | include line vty|access-class|aaa|logging host|logging source-interface|ntp server
show logging | last 100
show processes cpu sorted
show processes memory sorted

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.