Große Switch-Flotten werden nicht durch „mehr Admins“ stabil, sondern durch Standards. Switch-Baselines und Templates sorgen dafür, dass jeder neue Switch sofort sicher, monitorbar und betrieblich konsistent ist – und dass Konfig-Drift über die Zeit nicht unbemerkt wächst. Eine gute Baseline ist dabei nicht maximal umfangreich, sondern klar strukturiert: Management-Plane, Logging/Zeit, Layer-2-Design, Security am Edge und saubere Defaults. Dieser Leitfaden zeigt ein praxistaugliches Template-Konzept und konkrete Beispielkonfigurationen, die du als Startpunkt für Access- und Distribution-Rollen nutzen kannst.
Warum Baselines in großen Flotten unverzichtbar sind
Je mehr Geräte du betreibst, desto teurer werden Ausnahmen. Baselines reduzieren menschliche Fehler, beschleunigen Rollouts und machen Troubleshooting reproduzierbar, weil jeder Switch „gleich aussieht“.
- Weniger Drift: gleiche Defaults auf allen Geräten
- Schnellere Changes: Rollenprofile statt Einzelkonfig
- Bessere Security: SSH/ACL/AAA/SNMPv3 überall konsistent
- Auditierbarkeit: klarer Nachweis, was „Standard“ ist
- Stabilität: STP/Trunk/Uplink-Patterns wiederholbar
Baseline-Architektur: Rollenprofile statt „eine Config für alles“
In der Praxis brauchst du mindestens zwei Profile: Access und Distribution. Optional kommen Spezialprofile hinzu (Core, WLAN-Edge, IoT, DMZ). Das Template muss parameterisierbar sein (Hostname, MGMT-IP, VLAN-Liste, Uplinks).
- Access: Edge-Ports, PoE, L2-Security, Uplinks per LACP
- Distribution: SVIs, HSRP/VRRP, Routing, STP Root Placement
- Gemeinsam: Management, NTP/Syslog, SNMPv3, Hardening
Designprinzipien für Templates (damit sie in der Realität funktionieren)
Templates müssen robust gegen Sonderfälle sein. Das erreichst du durch klare Defaults, wenig Magie und eine saubere Ausnahmebehandlung (Exceptions dokumentiert, nicht „wild“).
- Explizit statt Default: kein DTP, keine „allow all“ Trunks
- Native VLAN ungenutzt, VLAN 1 nicht produktiv
- Edge-Ports standardisiert (PortFast, BPDU Guard)
- Uplinks als LACP Port-Channels (wenn möglich)
- Management-Pfade getrennt (MGMT-VLAN/VRF, Source-Interfaces)
- Templates klein halten: Baseline + optionale Feature-Blöcke
Baseline-Baustein 1: Management Plane Hardening
Die Management Plane muss überall identisch sein: SSH-only, Login-Schutz, lokale Break-Glass-Accounts und Zugriff nur aus Admin-Netzen. Das reduziert Risiko und Supportaufwand.
configure terminal
ip domain-name corp.local
crypto key generate rsa modulus 2048
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3
login block-for 120 attempts 3 within 60
username breakglass privilege 15 secret <SECRET>
ip access-list standard ACL-MGMT-SSH
permit 10.1.99.0 0.0.0.255
deny any
exit
line vty 0 15
transport input ssh
access-class ACL-MGMT-SSH in
exec-timeout 10 0
end
Baseline-Baustein 2: Zeit und Logging (NTP + Syslog)
Ohne korrekte Zeit sind Logs kaum nutzbar. Standardisiere Zeitzone, Millisekunden-Timestamps, NTP-Server und Syslog-Hosts – immer mit Source-Interface im MGMT.
configure terminal
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
service timestamps log datetime msec
service timestamps debug datetime msec
ntp source vlan 99
ntp server 10.1.99.30
ntp server 10.1.99.31
logging source-interface vlan 99
logging host 10.1.99.70
logging host 10.1.99.71
logging trap notifications
logging buffered 8192
end
Baseline-Baustein 3: SNMPv3 Monitoring (sicher und skalierbar)
SNMPv3 ist Standard in großen Flotten. Nutze eine View, eine Read-only Gruppe, einen User und eine ACL auf die Poller-IPs. So bleibt Monitoring sicher und stabil.
configure terminal
snmp-server view MONITORING iso included
snmp-server group NMS-GRP v3 priv read MONITORING
snmp-server user nmsuser NMS-GRP v3 auth sha <AUTH_PASS> priv aes 128 <PRIV_PASS>
ip access-list standard ACL-SNMP
permit 10.1.99.70
permit 10.1.99.71
deny any
exit
snmp-server group NMS-GRP v3 priv read MONITORING access ACL-SNMP
snmp-server location CAMPUS-BLDG-A-RACK-12
snmp-server contact noc@corp.local
end
Baseline-Baustein 4: Layer-2 Defaults (STP, Guards, UDLD)
Diese Defaults verhindern die häufigsten Campus-Ausfälle: Edge-Loops, Rogue-Switches, unidirectional Links und STP-Instabilität. Sie sind ein Kernbestandteil jeder Access-Baseline.
configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
udld enable
udld aggressive
end
Baseline-Baustein 5: Trunk- und VLAN-Standards (Whitelist, Native VLAN ungenutzt)
Trunks sind eine Hauptquelle für Drift. Standardisiere deshalb Native VLAN, Allowed VLANs und deaktiviere DTP. Das Template sollte VLAN-Listen parameterisieren, nicht hardcoden.
configure terminal
vlan 999
name NATIVE-UNUSED
exit
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,30,99
switchport nonegotiate
end
Access-Template: Rollenprofil für große Flotten (Beispiel)
Dieses Profil kombiniert Baseline-Bausteine mit Access-spezifischen Defaults: PoE-typische Umgebungen, Edge-Security und saubere Uplink-Patterns. Passe nur MGMT-IP, VLAN-Listen und Uplink-Interfaces an.
configure terminal
hostname SW-ACCESS-01
vlan 99
name MGMT
vlan 998
name PARKING
vlan 999
name NATIVE-UNUSED
vlan 10
name USERS
vlan 20
name VOICE
exit
interface vlan 99
ip address 10.1.99.11 255.255.255.0
no shutdown
exit
ip default-gateway 10.1.99.1
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
ip dhcp snooping
ip dhcp snooping vlan 10,20
ip arp inspection vlan 10,20
interface range gigabitEthernet 1/0/1 - 24
description EDGE-CLIENTS
switchport mode access
switchport access vlan 10
spanning-tree portfast
spanning-tree bpduguard enable
exit
interface range gigabitEthernet 1/0/25 - 40
description VOICE+PC
switchport mode access
switchport access vlan 10
switchport voice vlan 20
spanning-tree portfast
spanning-tree bpduguard enable
exit
interface range gigabitEthernet 1/0/41 - 46
description UNUSED-PARKED
switchport mode access
switchport access vlan 998
spanning-tree portfast
spanning-tree bpduguard enable
shutdown
exit
interface range gigabitEthernet 1/0/47 - 48
description UPLINK-LACP
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,99
switchport nonegotiate
channel-group 1 mode active
exit
interface port-channel 1
description UPLINK-LACP
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,99
end
Distribution-Template: Rollenprofil (SVIs, HSRP, Root Placement)
Distribution-Templates variieren stärker (VLAN-Anzahl, Routing). Dennoch bleibt der Standard: SVIs mit FHRP, Root Bridge Planung und L3-Links zum Core. Achte darauf, Policies hier zu bündeln (ACLs, QoS, DHCP Relay).
SVI + HSRP (Beispiel VLAN 10)
configure terminal
interface vlan 10
description USERS
ip address 10.10.10.2 255.255.255.0
standby 10 ip 10.10.10.1
standby 10 priority 110
standby 10 preempt
ip helper-address 10.1.99.100
end
STP Root Placement (Distribution)
configure terminal
spanning-tree vlan 10,20 root primary
end
Exception-Handling: Abweichungen kontrolliert statt „wild“
In großen Flotten gibt es Sonderfälle (AP-Uplinks, Hypervisor, OT-Netze). Entscheidend ist, dass diese Abweichungen als eigene Templates oder Feature-Blöcke existieren – nicht als unkommentierte Einzeländerungen.
- Eigene Profile: AP-Port, Server-Port, OT/IoT-Port
- Abweichungen dokumentieren (Description, Ticket/Change-ID)
- Konfig-Diff regelmäßig prüfen (Audit)
Rollout und Drift-Kontrolle: Wie Templates wirklich wirken
Templates entfalten ihren Nutzen erst mit einem Prozess: Check-Mode/Diff vor Änderungen, regelmäßige Audits, Backups vor/nach Changes und zentrale Versionierung (Git).
- Templates versionieren (Git), Changes per Review
- Automatisierte Checks: „entspricht Baseline?“
- Backups per SCP, Diffs für Nachvollziehbarkeit
- Wellen-Rollout statt Big Bang
Audit-Commandblock pro Switch
show clock
show ntp status
show logging
show interfaces trunk
show etherchannel summary
show spanning-tree root
show spanning-tree inconsistentports
show interfaces counters errors
show power inline
show inventory
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
