WAN-Diagramme: Provider, Leitungen, Bandbreiten und Redundanzen zeigen

WAN-Diagramme sind in vielen Unternehmen der unterschätzte Schlüssel zu stabiler Standortvernetzung. Während LAN-Pläne meist gut gepflegt werden, bleibt das WAN häufig eine Mischung aus Provider-E-Mails, Vertragsanhängen, Excel-Listen und implizitem Wissen einzelner Personen. Spätestens beim nächsten Leitungsausfall, einem Providerwechsel oder einer SD-WAN-Migration rächt sich das: Niemand weiß auf Anhieb, welche Leitung an welchem Standort aktiv ist, welche Bandbreite wirklich bereitsteht, wo die Übergabepunkte liegen oder wie das Failover im Normalbetrieb funktioniert. Professionell erstellte WAN-Diagramme schaffen Transparenz, weil sie Provider, Leitungen, Bandbreiten und Redundanzen in einer für Betrieb und Management verständlichen Form zusammenführen. Gleichzeitig dürfen sie nicht zum „Spaghetti-Plan“ werden: Ein gutes Diagrammset trennt Underlay und Overlay, zeigt primäre und sekundäre Pfade, dokumentiert SLAs und Eskalationswege und verlinkt auf die führende Datenquelle (Inventar/CMDB/IPAM), statt Details mehrfach zu pflegen. Dieser Leitfaden zeigt, wie Sie WAN-Diagramme aufbauen, welche Informationen zwingend hinein müssen und wie Sie Redundanzen so visualisieren, dass im Incident niemand rätseln muss.

Was WAN-Diagramme leisten müssen

Ein WAN-Diagramm ist eine Entscheidungs- und Betriebsgrundlage. Es soll innerhalb von Minuten beantworten: Welche Standorte sind wie angebunden? Welche Provider liefern welche Leitungen? Wie viel Bandbreite ist vertraglich und technisch verfügbar? Welche Pfade sind primär, welche sekundär, und wie erfolgt Failover? Zusätzlich sollten WAN-Diagramme klare Grenzen zeigen: Wo endet das Unternehmensnetz, wo beginnt der Provider? Wo sind Übergabepunkte (Demarcation), welche Komponenten sind kundenseitig (CPE), welche providerseitig (PE)?

• Topologie: Hub-and-Spoke, Full Mesh, Dual Hub, Region-Hubs, MPLS, Internet-VPN, SD-WAN
• Provider und Leitungen: Carrier, Leitungstyp, Circuit-ID, Übergabepunkt
• Bandbreite und Quality: Up/Down, CIR/EIR (falls relevant), Latenz-/Jitter-Ziele (SLA)
• Redundanz: Dual-Provider, diverse Wege, aktive/backup oder ECMP
• Routing/Overlay: BGP/OSPF, IPsec/GRE, SD-WAN-Overlay, Breakout-Strategie

Underlay vs. Overlay: Die wichtigste Trennung für lesbare WAN-Pläne

WANs werden schnell komplex, weil zwei Ebenen übereinanderliegen: das physische/vertragliche Transportnetz (Underlay) und die logische Tunnel- oder Routingebene (Overlay). Wer beides in ein Bild presst, erzeugt unlesbare Pläne. Besser sind zwei Ansichten oder Layer:

• Underlay-Diagramm: Providerleitungen, Medien, Übergabepunkte, Bandbreiten, Redundanz der physisch/vertraglichen Pfade
• Overlay-Diagramm: Tunnel/SD-WAN, Routingbeziehungen, Policies (z. B. bevorzugte Pfade, Failover-Logik)

Diese Trennung hilft im Incident enorm: Wenn ein Standort „offline“ ist, klären Sie zuerst Underlay (Leitung down?), danach Overlay (Tunnel/Route down?).

Die vier Diagrammtypen, die sich in Unternehmen bewährt haben

Statt „ein großes WAN-Bild“ ist ein kleines Set spezialisierter Diagramme am effektivsten. Jedes Diagramm hat einen klaren Zweck und bleibt dadurch lesbar.

• WAN-Übersicht (Executive View): Standorte, Hubs, Providerwolken, primäre/sekundäre Anbindungen, grobe Bandbreitenklassen
• Underlay-Plan (Carrier View): Circuit-IDs, Medien, Demarc, CPE, Bandbreite, SLA, Redundanzwege
• Overlay-/Routing-Plan (Network View): Tunnels, BGP/OSPF, Default-Route-Logik, Breakout
• Standort-Detail (Site View): lokaler Edge, Leitungen, Übergabepunkt, VLAN/VRF-Zuordnung, lokale Breakouts

Provider korrekt darstellen: Clouds, Übergabepunkte und Verantwortungsgrenzen

Ein WAN-Diagramm wird erst dann „betriebsfähig“, wenn Verantwortungsgrenzen sichtbar sind. Zeichnen Sie Provider als Cloud-Objekte und markieren Sie den Demarcation Point (z. B. NTU/ONT, NID, Medienkonverter oder Hand-off-Port). Das schützt vor typischen Missverständnissen in Störungen: „Ist das noch unser Problem oder schon Provider?“

• Provider-Cloud: Carrier-Name + Service (z. B. Internet DIA, MPLS, L2VPN, Broadband)
• Demarc: Übergabepunkt (Room/Schrank/Port), optional Ticket-/Circuit-Referenz
• CPE: kundenseitiger Router/SD-WAN-Edge/Firewall, klar als „Customer Managed“ markieren
• PE/Provider Edge: providerseitig (wenn bekannt), ansonsten als Teil der Cloud abstrahieren

Leitungen dokumentieren: Leitungstypen und die Informationen, die wirklich helfen

Leitungen werden oft nur als „Internet 1“ und „Internet 2“ beschriftet. Für Betrieb und Audit ist das zu wenig. Ein sauberes WAN-Diagramm enthält pro Leitung mindestens: Typ, Bandbreite, Provider, Circuit-ID (oder Service-ID), Übergabepunkt und Status (aktiv/backup/geplant). Optional ergänzen Sie Medien (Glas/Kupfer/5G), Laufzeit/Vertragsende und SLA-Klasse.

• Leitungstyp: DIA (Dedicated Internet Access), Broadband, MPLS, Ethernet VPN, L2VPN, 4G/5G
• Bandbreite: Up/Down (z. B. 100/100, 500/50), ggf. CIR/EIR bei Carrier Ethernet
• Service-ID: Circuit-ID/Bestellnummer/Leitungskennung (wichtig für Provider-Tickets)
• Übergabepunkt: Standort, Raum, Patchfeld/Port (kurz und eindeutig)
• Routingrolle: primär/sekundär, active/standby, load-sharing

Bandbreiten sinnvoll visualisieren: Mehr als nur Zahlen

Bandbreite im WAN hat zwei Dimensionen: Kapazität und Erwartung. Eine „1 Gbit/s“-Leitung kann im Alltag durch Policy, Traffic Shaping oder Overhead effektiv weniger liefern. Dokumentieren Sie deshalb nicht nur die nominelle Rate, sondern auch die betriebliche Einordnung: Welche Anwendungen profitieren? Ist es eine symmetrische Leitung? Gibt es QoS-Klassen? Für Management-Ansichten reicht eine Bandbreitenklasse (z. B. S/M/L/XL) mit Legende.

• Numerische Labels: z. B. „200/200 Mbit/s“ direkt am Link
• Bandbreitenklassen: z. B. „Gold/Silver/Bronze“ oder „S/M/L“ mit definierten Grenzen
• QoS-Hinweis: falls genutzt: „QoS: Voice/Video/Best Effort“ (konzeptionell)
• Kapazitätsannahmen: Peak-User, kritische Anwendungen, Ziel-SLA (optional als Begleittext)

Redundanz richtig zeigen: aktiv/standby, aktiv/aktiv, diverse Wege

Redundanz ist das Herz eines WANs, aber oft falsch dokumentiert. Zwei Leitungen sind nicht automatisch redundant, wenn sie denselben Provider, dieselbe Trasse oder denselben Übergabepunkt nutzen. Ein gutes WAN-Diagramm macht deshalb Redundanzqualität sichtbar: Dual-Provider, diverse Demarc-Punkte, unterschiedliche Medien, separate Stromversorgung der CPEs, getrennte Routen ins Backbone.

• Active/Standby: primärer Pfad dick/solid, Backup dünn/gestrichelt; Failover-Trigger kurz notieren
• Active/Active: beide Pfade als „load-sharing“ markieren (z. B. ECMP oder Policy-based Load Balance)
• Diversität: Label „diverse path“ oder „same duct“ (wenn bekannt) – wichtig für Risikoanalyse
• Single Point of Failure: sichtbar machen (z. B. beide Leitungen am selben NTU oder dieselbe PDU)

SD-WAN-Diagramme: Policies, Overlays und Breakout klar darstellen

SD-WAN verändert das Diagrammdenken. Statt einer festen Provider-Topologie steht das Overlay im Mittelpunkt: Tunnels zwischen Edges, dynamische Pfadwahl, Application Steering und zentrale Policies. Für SD-WAN-Diagramme ist es besonders wichtig, Underlay und Overlay zu trennen und die Policy-Logik lesbar zu halten: Welche Anwendungen nutzen welchen Pfad? Gibt es zentralen Internet Breakout oder lokalen Breakout? Wo findet Security Inspection statt (Cloud Security, zentrale Firewalls, SASE)?

• Overlay-Tunnels: Edge ↔ Hub/Controller ↔ andere Edges (je nach Architektur)
• Policy-Hinweise: „Voice bevorzugt MPLS“, „SaaS bevorzugt Internet“, „Failover nach 3% Loss“ (konzeptionell)
• Breakout: lokal vs. zentral, inklusive Egress-Kontrollpunkte (Proxy/NAT/Firewall)
• Security: wo wird gefiltert (On-Prem, Cloud, SASE) – als Kontrollpunkt markieren

Routing im WAN: BGP, OSPF und Default-Route-Strategie visualisieren

Auch WAN-Diagramme profitieren von Routing-Transparenz, ohne in Details zu ertrinken. Dokumentieren Sie auf hoher Ebene, ob BGP zum Provider genutzt wird (inkl. ASN), ob OSPF intern verteilt wird, wo Redistribution stattfindet und wie Default Routes gehandhabt werden. Für BGP ist RFC 4271 eine grundlegende Referenz; für OSPF RFC 2328.

• Provider-Peering: „eBGP to ISP“ oder „static default“ am jeweiligen Edge
• Interne Domäne: „OSPF Area 0“ oder „iBGP“ zwischen Hubs/Edges (abstrakt)
• Default Route: 0.0.0.0/0 bzw. ::/0 als Pfeilrichtung sichtbar machen
• Failover-Mechanismus: „BGP preference“, „tracking“, „SD-WAN health-based“ als Hinweis

Standort-Detaildiagramme: Der schnellste Weg zu weniger Incidents

Die WAN-Übersicht ist gut für Überblick, aber im Störungsfall zählt das Standortdetail. Ein Site View zeigt: Welche CPEs stehen vor Ort? Welche Leitungen hängen daran? Wo ist der Demarc? Welche Bandbreiten gibt es? Welche VLANs/VRFs sind an den WAN-Edge angebunden? Welche lokalen Services hängen davon ab (z. B. VoIP, Kassensystem, Produktionsnetz)? Dieses Diagramm ist Gold wert für On-Call-Teams und externe Provider.

• Edge-Gerät(e): Router/SD-WAN Edge/Firewall, HA-Modell (wenn vorhanden)
• Leitungen: Provider, Circuit-ID, Bandbreite, primär/backup
• Lokale Segmente: „USER“, „VOICE“, „GUEST“, „MGMT“ als logische Blöcke
• Lokaler Breakout: ja/nein; wenn ja: Proxy/Firewall/Filterpfad markieren

Beschriftung und Legenden: So werden WAN-Diagramme wirklich lesbar

WAN-Diagramme werden nicht durch „schöne Icons“ gut, sondern durch klare Labels. Nutzen Sie einheitliche Benennung: Standortkürzel, Leitungsnamen, Providerkürzel, Bandbreitenformat, Linientypen. Legenden sind Pflicht, sobald Sie Farben oder Linienarten verwenden. Halten Sie sich an wenige, konsequente Konventionen.

• Link-Label-Standard: „PROV | Service | Bandbreite | Circuit-ID | Role“
• Linientypen: durchgezogen = primär, gestrichelt = sekundär; gepunktet = geplant (Beispiel)
• Farben: optional für Provider oder Serviceklasse, aber nur mit Legende
• Metadaten: Owner, Datum, Version, Scope (Region/Standorte) auf jedem Diagramm

Dokumentationsdaten: Woher kommen Circuit-IDs, SLAs und Kontakte?

WAN-Dokumentation ist nur dann belastbar, wenn sie aus führenden Quellen gespeist wird. Circuit-IDs und SLA-Daten liegen häufig in Verträgen oder Providerportalen. Kontaktdaten gehören in ein Provider-Register mit rollenbasierten Kontakten (NOC, Service Desk), nicht in private Telefonlisten. Vermeiden Sie Doppelpflege: Diagramm referenziert Registereinträge, statt alle Details im Bild zu wiederholen.

• Provider-Register: Provider, Service, Circuit-ID, SLA, Eskalationsweg, Wartungsfenster
• Vertragsdaten: Laufzeit, Kündigungsfristen, Leistungsbeschreibung (als Link/Referenz)
• Technische Daten: Übergabepunkt, Medien, CPE-Modelle, Monitoring-Endpunkte
• Change-Historie: Providerwechsel, Bandbreitenupgrade, neue Breakout-Policy als versionierte Änderung

Security und Vertraulichkeit: WAN-Pläne teilen, ohne Risiko zu erhöhen

WAN-Diagramme enthalten sensible Informationen: Standorte, Provider, teilweise Topologien und Egress-Punkte. Diese Daten sind für Social Engineering oder gezielte Angriffe wertvoll. Arbeiten Sie daher mit Detailstufen: eine grobe Übersicht für breite Stakeholder und detaillierte Site Views nur für berechtigte Rollen. Zugangsdaten gehören niemals ins Diagramm; auch interne Managementpfade sollten nur eingeschränkt dokumentiert werden.

• Klassifizierung: intern/vertraulich/audit-only sichtbar am Dokument
• RBAC: Read/Write getrennt; Site-Details nur für NetOps/SecOps/Provider-Koordination
• Keine Secrets: keine PSKs, Tokens, Admin-Passwörter, privaten Schlüssel
• Redaktion für Externe: Circuit-IDs und Übergabepunkte nur, wenn für den Auftrag nötig

Aktualität sicherstellen: Change-Gate und regelmäßige Reviews

WANs ändern sich: Bandbreiten werden erweitert, Provider werden konsolidiert, SD-WAN-Policies angepasst, Breakouts verlagert. Ohne Prozess veralten Diagramme in Monaten. Der wirksamste Hebel ist ein Change-Gate: Jede WAN-Änderung ist erst abgeschlossen, wenn Diagramm, Provider-Register und Monitoring-Bezüge aktualisiert wurden. Ergänzend hilft ein Review-Rhythmus: monatliche Checks für kritische Hubs und quartalsweise Gesamtprüfung.

• Definition of Done: kein Change-Closure ohne Update von WAN-Diagrammen und Provider-Register
• Monatlicher Quick-Check: Status aller Leitungen, bekannte Incidents, SLA- und Ticket-Trends
• Quartalsreview: Redundanzqualität, Breakout-Strategie, Kapazitätsplanung, Provider-Risiken
• Versionierung: Diagramme und Register versionieren (Wiki-Version oder Git für Doku-Assets)

Typische Fehler in WAN-Diagrammen

• Underlay und Overlay vermischt: Lösung: separate Views oder Layer für Providerleitungen und Tunnels/Policies.
• Bandbreite ohne Kontext: Lösung: Up/Down, Serviceklasse und ggf. Breakout/Policy-Hinweis ergänzen.
• Redundanz nur optisch: „zwei Leitungen“ ohne diverse Wege; Lösung: Diversität und SPOFs sichtbar markieren.
• Keine Circuit-IDs: Lösung: Circuit-ID/Service-ID als Referenz, damit Provider-Tickets schnell gehen.
• Unklare Verantwortungsgrenzen: Lösung: Demarc, CPE und Provider-Cloud eindeutig darstellen.
• Keine Metadaten: Lösung: Owner, Datum, Version, Scope verpflichtend.
• Statische Exporte ohne Pflege: Lösung: Links auf Register/SoT, Change-Gate, regelmäßige Reviews.

Outbound-Links für vertiefende Orientierung

• RFC 4271: Border Gateway Protocol 4
• RFC 2328: OSPF Version 2
• MEF (Carrier Ethernet und Services-Framework)
• diagrams.net (draw.io) für WAN-Diagramme
• NetBox als Source of Truth für Sites, Devices, Circuits und Providerbezüge

Checkliste: WAN-Diagramme für Provider, Leitungen, Bandbreiten und Redundanzen

• Das Diagrammset ist klar getrennt: WAN-Übersicht, Underlay (Providerleitungen) und Overlay (Tunnels/Routing/SD-WAN) existieren als eigene Views.
• Provider sind korrekt dargestellt: Provider-Cloud, Demarc/Übergabepunkt und CPE-Verantwortung sind sichtbar.
• Jede Leitung ist eindeutig: Provider, Leitungstyp, Bandbreite (Up/Down), Circuit-ID/Service-ID, Standort und Rolle (primär/sekundär) sind dokumentiert.
• Bandbreiten sind sinnvoll visualisiert: numerische Werte oder Bandbreitenklassen mit Legende; QoS/Serviceklasse wird konzeptionell ergänzt, wenn relevant.
• Redundanz ist erklärbar: aktiv/standby oder aktiv/aktiv ist gekennzeichnet; Diversität und potenzielle SPOFs sind sichtbar.
• Breakout und Egress sind klar: zentral vs. lokal, inklusive Kontrollpunkten (Firewall/Proxy/NAT) auf konzeptioneller Ebene.
• Routing ist nicht „magisch“: BGP/OSPF/Static und Default-Route-Strategie sind auf hoher Ebene markiert.
• Standort-Detaildiagramme existieren für kritische Sites: lokale Edge-Geräte, Leitungen, Demarc, Segmente und Monitoringbezüge sind sichtbar.
• Metadaten sind Pflicht: Owner, Datum, Version, Scope und eine Legende für Linien/Farben stehen auf jedem Diagramm.
• Aktualität ist prozessintegriert: Change-Gate, Provider-Register und regelmäßige Reviews verhindern Drift und halten WAN-Diagramme betriebsfähig.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.