Integration von Cisco-Routern mit Firewalls: Policy-Demarkation und Troubleshooting-Grenzen

Die Integration von Cisco-Routern mit Firewalls entscheidet darüber, ob ein Netzwerk stabil, sicher und im 24/7-Betrieb troubleshootbar ist. In vielen Enterprise-Umgebungen entstehen Incidents nicht durch „falsches Routing“ oder „Firewall blockt“, sondern durch unklare Demarkation: Wer macht NAT? Wo endet Segmentierung? Wer terminiert VPN? Welche Logs gelten als Evidence? Ein sauberes Design definiert Rollen (Router = Connectivity/Path, Firewall = Policy/Inspection), klare Übergabepunkte (Transit/VRF/Zonen) und Troubleshooting-Grenzen, damit NOC/NetOps/SecOps effizient zusammenarbeiten. Dieser Leitfaden zeigt praxistaugliche Demarkationsmuster, typische Fehlerbilder und ein gemeinsames Troubleshooting-Runbook.

Grundprinzip: Router macht Connectivity, Firewall macht Policy

Das Ziel ist ein klares Verantwortungsmodell. Der Router sorgt für Erreichbarkeit und stabile Pfade (Routing, HA, WAN). Die Firewall setzt Security Policies durch (Zonen, L7-Inspection, Threat Controls). Ausnahmen sind möglich, müssen aber bewusst dokumentiert sein.

• Router: WAN, BGP/OSPF/Static, Failover/Tracking, QoS am WAN, CoPP/Control-Plane-Schutz
• Firewall: Zoning, Stateful Inspection, NAT (typisch), VPN (häufig), Application Control
• Demarkation: definierte Transit-Netze/Interfaces, klare Ownership pro Funktion

Policy-Demarkation: Welche Funktionen wo hingehören

Eine Demarkation ist nur dann gut, wenn sie im Incident klare Antworten liefert. Nutzen Sie diese Zuordnung als Standard, und dokumentieren Sie Abweichungen als Exceptions.

• NAT: typischerweise Firewall (weniger Fragmentierung, bessere Policy-Kopplung)
• Segmentierung (Zonen): Firewall, Router-ACLs nur als Baseline/Anti-Scan
• VPN Termination: häufig Firewall (Policy + Inspection), Router bei Branch-Edge ohne FW
• Routing zum Provider: Router (Edge), Firewall nur wenn ausdrücklich als Edge-Device geplant
• Logging/SIEM: beide, aber gemeinsame Zeitbasis (NTP) und Korrelation

Übergabepunkt (Demarc Link): Transit-Design richtig wählen

Zwischen Router und Firewall braucht es eine saubere technische Schnittstelle: ein Transit-Netz, klare IPs, eindeutige Richtung und definierte MTU. Das vermeidet „asymmetrische“ Fehlerbilder.

• Transit-Netz: dediziert (z. B. /31 oder /30), nicht aus User-VLANs
• VRF/Zone: optional, wenn mehrere Security-Domänen angebunden werden
• MTU/MSS: prüfen, besonders bei VPN/PPPoE/Encapsulation
• Routing: klar definierte Default-/Return-Routen (kein Ratespiel)

CLI: Transit-Interface Snapshot (Router)

show ip interface brief
show interfaces GigabitEthernet0/2 | include MTU
show arp | include GigabitEthernet0/2

Routing-Demarkation: Default und Return Path als häufigster Fehler

Viele „Firewall blockt“ Tickets sind eigentlich Routing/Return-Path-Probleme. Definieren Sie, wo der Default sitzt (Router oder Firewall) und stellen Sie sicher, dass Rückwege konsistent sind – insbesondere bei Dual-ISP.

• Modell A: Router hat Default zum ISP, Firewall default zum Router
• Modell B: Firewall ist Internet-Gateway, Router routet nur intern (bewusstes Design)
• Regel: Return Path muss symmetrisch sein bei stateful Policies
• Dual-ISP: Failover-Logik muss Router und Firewall konsistent abbilden

CLI: Default/Route Checks (Router)

show ip route 0.0.0.0
show ip route summary
traceroute 1.1.1.1

NAT-Demarkation: Ein Owner, keine Doppel-NAT ohne Plan

Doppel-NAT ist ein typischer Troubleshooting-Killer. Wenn NAT auf Firewall liegt, darf der Router keine „catch-all“ NAT-Regeln haben. Wenn NAT auf Router liegt, muss No-NAT für VPN/Inter-Site sauber sein.

• Best Practice: NAT-Owner eindeutig (Firewall oder Router)
• Portforwards: nur auf dem NAT-Owner, mit Change-ID und Logging
• No-NAT: VPN/Inter-Site-Verkehr explizit ausnehmen

CLI: NAT Evidence (Router)

show ip nat statistics
show ip nat translations

Security Baseline: Router-ACLs als Ingress- und Management-Schutz

Auch wenn die Firewall „Policy-Owner“ ist, braucht der Router eine Baseline: Managementzugriff nur aus MGMT, unnötige Services aus, und bei Exposition optional CoPP. Das reduziert Angriffsfläche und CPU-Risiko.

• SSH-only, VTY Access-Class (MGMT-Only)
• HTTP/HTTPS aus (wenn nicht benötigt), Discovery auf WAN aus
• Optional: CoPP am Edge (insbesondere vor der Firewall oder bei direkter Exposition)

CLI: Management-Baseline (Router, Auszug)

ip access-list standard MGMT_ONLY
 permit 10.10.10.0 0.0.0.255
 deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in
no ip http server

no ip http secure-server

Troubleshooting-Grenzen: Wer prüft was in welcher Reihenfolge?

Definieren Sie ein gemeinsames Troubleshooting-Protokoll. Ziel ist, in Minuten zu entscheiden, ob das Problem im Router-/WAN-Bereich oder im Firewall-/Policy-Bereich liegt. Das reduziert Ping-Pong zwischen Teams.

• Router-Team prüft: Link, Default, Routing-Stabilität, Path-Qualität, NAT (falls Router-Owner)
• Firewall-Team prüft: Zonen/Policies, NAT (wenn FW-Owner), Sessions, Threat-Blocks
• Gemeinsam: Traffic Path, Asymmetrie, MTU/MSS, Logging-Korrelation

Gemeinsames Runbook: „Ist es Routing oder Policy?“

Dieses Runbook liefert eine schnelle Eingrenzung. Es beginnt immer am Demarc Link und arbeitet sich dann Richtung Internet oder Richtung LAN/DMZ vor.

Schritt 1: Demarc Link Health

show ip interface brief
show arp | include <TRANSIT_IF>
ping <FIREWALL_TRANSIT_IP> repeat 5

Schritt 2: Routing/Default am Router

show ip route 0.0.0.0
traceroute 1.1.1.1

Schritt 3: Policy-Indikatoren (Router-Sicht)

show access-lists
show logging | include DENY|ACL

Schritt 4: MTU/MSS Verdacht (wenn „manche Seiten“)

ping 1.1.1.1 size 1472 df-bit repeat 5
ping 1.1.1.1 size 1400 df-bit repeat 5

Typische Fehlerbilder und klare Root-Cause-Hypothesen

Diese Muster helfen im 24/7 Betrieb. Sie ordnen Symptome direkt einem wahrscheinlichen Bereich zu und beschleunigen Eskalation.

• Internet down für alle: Default fehlt/Failover falsch (Router/WAN) oder Firewall-Gateway down
• Nur bestimmte Segmente betroffen: VLAN/ACL/Zone Mapping (Policy/Segmentation)
• VPN up, kein Traffic: No-NAT/Selektoren/Routen (oft Demarkationsproblem)
• Manche Websites/Downloads brechen: MTU/MSS/PMTUD (Pfad/Encapsulation)
• Sporadische Abbrüche: asymmetrischer Return Path (Dual-ISP/Policy)

Observability: Logs, NTP und gemeinsame Evidence

Router- und Firewall-Logs müssen zeitlich korrelierbar sein. Ohne NTP und zentralen Syslog/SIEM wird Troubleshooting zum Ratespiel. Definieren Sie Evidence, die jedes Ticket enthalten muss.

• NTP synchronized (beide Seiten)
• Syslog zentral, Source-Interface stabil
• Evidence: Zeit, Interface-Status, Default, Pfadtest, relevante Logs

CLI: Evidence Pack (Router, Copy/Paste)

show clock
show ntp status
show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
traceroute 1.1.1.1
show access-lists
show logging | last 100

Governance: Exceptions dokumentieren, sonst driftet die Demarkation

In der Realität gibt es Ausnahmen (z. B. NAT in Branch-Routern ohne Firewall). Wichtig ist, dass diese Ausnahmen befristet und auditierbar sind – sonst entsteht ein unwartbarer Mischbetrieb.

• Exception-Register: Funktion, Owner, Grund, Risiko, Ablaufdatum
• Change-ID Pflicht für Demarkationsänderungen
• Templates: Baselines pro Standorttyp (mit/ohne Firewall)
• PIR: Incidents analysieren und Demarkation nachschärfen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.