Enterprise Configuration Review: Was vor dem Go-Live geprüft werden muss

Ein Enterprise Configuration Review vor dem Go-Live ist die letzte Sicherheitsbarriere, bevor eine Cisco-Router-Konfiguration produktiv wird. Ziel ist nicht „alles nochmal lesen“, sondern die wenigen, aber kritischen Fehlerklassen zu verhindern: Routing-Leaks, falsche Defaults, MTU/MSS-Blackholes, ungeschützte Managementzugänge, fehlende Auditability und nicht getestetes Failover. Ein production-grade Review arbeitet daher mit einer klaren Checkliste, Evidence-Anforderungen und definierten Pass/Fail-Kriterien. Dieser Leitfaden zeigt, was vor dem Go-Live geprüft werden muss – technisch, sicherheitsseitig und operativ.

Review-Setup: Scope, Rollen und Evidence-Paket

Beginnen Sie mit einem strukturierten Setup. Ein Review ohne Scope endet in Detaildiskussionen, ein Review ohne Evidence endet in Vermutungen.

• Scope: Welche Router/Standorte, welche Features (VPN, Dual-ISP, VRF, QoS)?
• Rollen: Reviewer (L3), Implementer, SecOps/Compliance, NOC
• Pass/Fail: klare Kriterien, wann Go-Live freigegeben wird
• Evidence: standardisiertes CLI- und Dokumentpaket pro Gerät

CLI: Minimaler Evidence Pack (vor Go-Live)

show version
show clock
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip ospf neighbor
show bgp summary
show crypto ikev2 sa
show crypto ipsec sa
show ip nat statistics
show ip sla statistics
show track
show policy-map interface
show ip ssh
show ntp status
show logging | last 100
show processes cpu sorted
show processes memory sorted

Management Plane Review: Zugriffssicherheit als Go-Live Gate

Eine der häufigsten Go-Live-Lücken ist offener Adminzugriff. In Enterprise-Umgebungen ist SSH-only und MGMT-Only Pflicht, idealerweise mit AAA/RBAC und Accounting.

• SSH-only, Telnet/HTTP/HTTPS deaktiviert (wenn nicht benötigt)
• VTY Access-Class: nur Bastion/MGMT-Netz
• AAA: zentrale Auth (TACACS+/RADIUS), local fallback (Break-Glass)
• Accounting: Exec (und optional Commands) für Audit Trail

CLI: Management Security Checks

show ip ssh
show running-config | include line vty|transport input|access-class
show running-config | include aaa|tacacs|radius
show running-config | include ip http

Auditability Review: NTP, Syslog und Nachvollziehbarkeit

Vor Go-Live muss sichergestellt sein, dass Logs korrelierbar und zentral verfügbar sind. Ohne NTP und Syslog ist Troubleshooting und Audit stark eingeschränkt.

• NTP synchronized (mind. zwei Quellen, wenn möglich)
• Syslog zentral, Source-Interface gesetzt
• Log-Level sinnvoll (keine Logflut, aber relevante Events sichtbar)
• Beleg: Logs sind im Collector/SIEM sichtbar

CLI: Logging/NTP Checks

show clock
show ntp status
show running-config | include ntp server
show running-config | include logging host|logging trap|logging source-interface
show logging | last 50

Interface & L2/L3 Hygiene Review: Klarheit verhindert Fehler

Viele Outages entstehen durch „kleine“ Interface-Themen: falsche VLAN-Tags, falsche MTU, fehlende Descriptions oder vertauschte Ports. Prüfen Sie Lesbarkeit und Konsistenz.

• Interface descriptions nach Standard (ROLE/LINK/SITE)
• IP-Adressierung plausibel, keine Duplikate/Overlaps
• MTU konsistent, besonders an WAN/VPN/Transit
• Fehlerzähler: keine auffälligen CRC/Errors/Drops

CLI: Interface Checks

show interfaces description
show ip interface brief
show interfaces counters errors
show interfaces | include MTU

Routing Review: Defaults, Redistribution, Leak-Schutz

Routing ist der größte Blast-Radius-Faktor. Prüfen Sie Defaults, Summaries, Redistribution und Policies. In Enterprise-Edges sind BGP-Filter und max-prefix Pflicht.

• Default-Route korrekt (Primary/Backup Logik, Tracking)
• Keine unkontrollierte Redistribution (Loop/Leak Risiko)
• OSPF: passive-interface sinnvoll, Neighbor stabil
• BGP: Prefix-Lists/Route-Maps, max-prefix, keine Route-Leaks

CLI: Routing Checks

show ip route 0.0.0.0
show ip route summary
show ip ospf neighbor
show bgp summary
show running-config | include router ospf|router bgp|neighbor|prefix-list|route-map

VPN Review: „SA up“ reicht nicht – Traffic muss laufen

VPN ist häufige Go-Live-Falle: Tunnel stehen, aber keine Applikationen funktionieren. Prüfen Sie No-NAT, Selektoren/Routes und Counter.

• IKE/IPsec SAs stabil, keine Flaps
• Traffic Counters steigen bei Tests
• No-NAT korrekt (VPN-Verkehr nicht genattet)
• MTU/MSS berücksichtigt (Encapsulation Overhead)

CLI: VPN Checks

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail
show ip nat statistics
show ip nat translations

NAT Review: Ownership, Exceptions und Predictability

NAT-Probleme äußern sich oft als „manche Apps gehen nicht“. Prüfen Sie NAT-Ownership (Router vs. Firewall), No-NAT-Ausnahmen und Portforwards.

• NAT-Owner eindeutig (keine Doppel-NAT ohne Plan)
• No-NAT für VPN/Inter-Site korrekt
• Portforwarding dokumentiert, minimal und nachvollziehbar
• Logging selektiv (Security-relevant, keine Logflut)

Performance Review: CPU/Memory, Drops, QoS-Verifikation

Go-Live kann technisch funktionieren, aber instabil sein, wenn Ressourcen knapp sind. Prüfen Sie Headroom und Queue Drops, besonders am WAN-Engpass.

• CPU/Memory: Headroom plausibel unter Lastannahmen
• Interface Drops/Errors: keine Auffälligkeiten
• QoS (falls Scope): Policy attached, Counter plausibel

CLI: Performance Checks

show processes cpu sorted
show processes memory sorted
show interfaces | include output drops|queue
show policy-map interface

Resilience Review: Failover-Design, Tracking, Tests

Wenn Redundanz im Scope ist, muss sie getestet sein. Prüfen Sie IP SLA/Tracking, Prioritäten, sowie Recovery ohne Flap-Schleifen.

• IP SLA/Track aktiv, Probe-Targets sinnvoll
• Failover-Testplan vorhanden (Link-down und Path-down)
• Umschaltzeit gemessen und akzeptiert
• Rückkehrpfad stabil (kein Ping-Pong)

CLI: Resilience Checks

show ip sla statistics
show track
show ip route 0.0.0.0
show logging | include TRACK|LINEPROTO|LINK-

Security Policy Review: Segmentierung und Schutzmaßnahmen

Vor Go-Live muss klar sein, wie Segmentierung umgesetzt wird (ACL/VRF/Firewall). Prüfen Sie insbesondere MGMT-Schutz, Guest-Isolation und kritische Zonen.

• MGMT-Netz isoliert, kein Zugriff aus Users/Guest
• Guest: RFC1918 blockiert (wenn relevant)
• VRF/Zone-Design konsistent, Inter-VRF nur kontrolliert
• Optional: CoPP bei Exposition

CLI: Policy Checks

show access-lists
show running-config | include ip access-list|access-group
show policy-map control-plane

Operability Review: Monitoring, Runbooks, Handover

Ein Enterprise-Go-Live ist nur dann „fertig“, wenn Betrieb übernehmen kann: Monitoring sichtbar, Alarmkatalog aktiv, Runbooks vorhanden, Dokumentation vollständig.

• Monitoring: SNMPv3/Telemetry aktiv, Gerät im NMS sichtbar
• Alerting: Interface down, Track down, VPN down, Neighbor flaps, CPU high
• Runbooks: Incident Quick Snapshot + Change/Rollback SOP
• Handover: As-Built, Backups, Knowledge Transfer geplant/erledigt

CLI: Operability Checks

show snmp user
show logging | last 50
show ntp status

Go-Live Entscheidung: Go/No-Go Kriterien und Rollback-Zeitbox

Zum Abschluss braucht es eine klare Entscheidung. Definieren Sie Go/No-Go Kriterien und den spätesten Rollback-Zeitpunkt. Damit ist das Change Window steuerbar.

• Go: Pre-Checks ok, kritische UAT-Tests bestanden, Monitoring/Logging sichtbar
• No-Go: kritische Services down, Routing Flaps/Loops, Managementverlust
• Rollback: Trigger definiert, Zeitbox im Window reserviert
• Commit: „write memory“ erst nach erfolgreichem Post-Check und Freigabe

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.