Die Verwaltung von Switch-Konfigurationen in Netzwerken kann eine Herausforderung darstellen, insbesondere wenn es darum geht, die Konsistenz der Konfigurationen auf allen Geräten sicherzustellen und Compliance-Vorgaben zu erfüllen. Golden Configs und Drift Detection bieten einen automatisierten Ansatz, um Konfigurationsänderungen zu überwachen und sicherzustellen, dass diese den festgelegten Standards entsprechen. In diesem Artikel wird erklärt, wie diese Tools im Switch-Betrieb eingesetzt werden, um die Compliance zu gewährleisten und Drift zu erkennen.
Was ist eine Golden Config?
Eine Golden Config ist eine als “golden” bezeichnete, standardisierte und genehmigte Konfiguration für ein Netzwerkgerät. Diese Konfiguration stellt sicher, dass alle Geräte im Netzwerk mit den gleichen grundlegenden Einstellungen betrieben werden und so die Netzwerksicherheit und Stabilität maximiert werden.
- Standardisierte Konfigurationen: Sie definieren alle erforderlichen Parameter wie IP-Adressierung, VLAN-Zuweisungen und Sicherheitsrichtlinien.
- Vermeidung von Fehlern: Die Golden Config hilft, Fehler zu minimieren, die durch inkonsistente oder manuelle Konfigurationen entstehen könnten.
- Vorlagen für neue Geräte: Diese Konfigurationen können als Vorlage für die Konfiguration neuer Geräte verwendet werden.
Was ist Drift Detection?
Drift Detection überwacht die Konfigurationen von Netzwerkgeräten und erkennt, wenn Änderungen vorgenommen wurden, die von der Golden Config abweichen. Diese Abweichungen (Drift) können aus unautorisierten Änderungen oder fehlerhaften Konfigurationen resultieren und müssen sofort erkannt und behoben werden.
- Automatische Überwachung: Drift Detection ermöglicht die kontinuierliche Überwachung der Konfigurationen in Echtzeit.
- Alarm bei Drift: Sobald eine Drift erkannt wird, löst das System einen Alarm aus, um die Verantwortlichen zu benachrichtigen.
- Vergleich mit der Golden Config: Die aktuelle Konfiguration wird mit der Golden Config verglichen, um Abweichungen festzustellen.
Golden Config & Drift Detection im Cisco Umfeld
Im Cisco Umfeld können Golden Configs und Drift Detection mit verschiedenen Tools und Technologien automatisiert werden. Eines der bekanntesten Tools hierfür ist Cisco DNA Center, aber auch andere Lösungen wie Ansible, Puppet oder Chef können verwendet werden.
CLI-Befehl zur Sicherstellung einer Golden Config
configure terminal
hostname Switch1
interface range gigabitEthernet 1/0/1 - 48
description Access Ports
switchport mode access
switchport access vlan 10
no shutdown
end
Automatisierung der Compliance-Überwachung mit Ansible
Um die Compliance kontinuierlich sicherzustellen, kann Ansible zur Automatisierung der Konfigurationsüberprüfung und Drift Detection verwendet werden. Ansible ermöglicht es, die Konfigurationen der Switches regelmäßig mit der Golden Config abzugleichen und automatisch zu korrigieren, wenn eine Abweichung festgestellt wird.
- Automatisierung: Die Konfiguration von Geräten erfolgt automatisch gemäß den festgelegten Vorlagen (Golden Config).
- Drift Detection: Ansible überprüft regelmäßig, ob die aktuelle Konfiguration vom Standard abweicht und stellt die ursprüngliche Konfiguration wieder her, falls notwendig.
- Berichterstattung: Nach jeder Überprüfung wird ein Bericht erstellt, der alle Änderungen und Abweichungen detailliert aufzeigt.
Ansible Playbook Beispiel
- name: Check and restore config to Golden Config
hosts: switches
tasks:
- name: Fetch running config
ios_config:
host: "{{ inventory_hostname }}"
username: "{{ ansible_user }}"
password: "{{ ansible_password }}"
authorize: yes
auth_pass: "{{ ansible_auth_pass }}"
config: "{{ lookup('file', 'golden_config.cfg') }}"
backup: yes
- name: Compare current config with Golden Config
ios_config:
host: "{{ inventory_hostname }}"
username: "{{ ansible_user }}"
password: "{{ ansible_password }}"
authorize: yes
auth_pass: "{{ ansible_auth_pass }}"
config: "{{ lookup('file', 'golden_config.cfg') }}"
diff: yes
Tipps zur Implementierung von Golden Config & Drift Detection
Die Implementierung einer effizienten Golden Config und Drift Detection erfordert präzise Planung und regelmäßige Wartung. Hier sind einige bewährte Tipps:
- Definieren Sie klare und detaillierte Golden Configs für alle Gerätekategorien im Netzwerk.
- Setzen Sie regelmäßige Überprüfungen ein, um Drift frühzeitig zu erkennen.
- Verwenden Sie Automatisierungstools wie Ansible oder Cisco DNA Center, um die Compliance zu gewährleisten und Drifts zu minimieren.
- Erstellen Sie ein systematisches Rollback-Verfahren, um im Falle einer Abweichung schnell zu reagieren.
CLI-Befehl zur Sicherstellung der Golden Config
show running-config
show version
show interfaces status
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
