Cisco Systems ist einer der führenden Hersteller im Bereich Netzwerkhardware und -software. Innerhalb der Produktpalette spielen Switches eine zentrale Rolle, da sie für die Vernetzung von Endgeräten, Servern und weiteren Netzwerkkomponenten verantwortlich sind. Ob im kleinen Büro, in mittelständischen Umgebungen oder in großen Rechenzentren – Cisco bietet für jeden Einsatzzweck passende Switch-Modelle an. In dieser Seite konzentrieren wir uns primär auf die populären Series Catalyst 2960C, 1000 Series sowie 9200 / 9300 Series. Diese Modellreihen decken den Funktionsumfang vom kostengünstigen Einstiegsswitch über skalierbare Lösungen für den Campus-Bereich bis hin zu Enterprise-Performanceswitches ab.
Ziel dieser Dokumentation ist es, einen tiefgehenden Überblick über die technischen Unterschiede, typischen Einsatzszenarien (Small Business bis Enterprise) sowie die anfallenden Kosten inklusive Lizenzbedarf zu geben. Zusätzlich stellen wir praxisnahe Konfigurationsbeispiele vor, etwa für VLAN-Definitionen, Layer 3-Routing, DHCP Snooping oder ARP Inspection, um Ihnen zu zeigen, wie diese Features in der realen Netzwerkwelt angewendet werden.
Die gewählten Modelle sind in vielen Netzwerken weit verbreitet:
Catalyst 2960C: Einstiegsmodell für kleine Standorte oder Filialen mit grundlegenden Switching-Funktionen.
Catalyst 1000 Series: Idealer Switch für kleine und mittlere Unternehmen, die erweiterte Sicherheits- und Management-Features benötigen, aber nicht die volle Enterprise-Komplexität.
Catalyst 9200 / 9300 Series: Hoch performante Campus- und Enterprise-Class Switches, geeignet für große Netzwerkinfrastrukturen, Core- und Distribution-Layer sowie für Umgebungen mit umfangreichem Layer 3-, Sicherheits- und Virtualisierungsbedarf.
Im Verlauf dieser Seite gehen wir auf die jeweiligen Funktionen, Hardware-Spezifikationen, Software-Features und Lizenzmodelle ein. Wir zeigen Konfigurationsschritte im CLI (Command Line Interface) mit Cisco IOS-Befehlen auf, damit Sie ein Gefühl dafür bekommen, wie typische Netzwerkaufgaben umgesetzt werden.
2. Modellübersicht
Die Cisco Catalyst-Familie der Switches ist umfangreich. Innerhalb der Entry- bis Midrange-Klassen stechen die 2960C, 1000 Series sowie die neueren 9200 / 9300 Series hervor. Im Folgenden werden diese drei Modellreihen vorgestellt, ihre Hauptmerkmale zusammengefasst und wichtige Hardware- sowie Software-Unterschiede aufgezeigt.
2.1 Catalyst 2960C
Die Cisco Catalyst 2960C-Reihe ist eine der älteren, aber nach wie vor beliebten Plattformen für Edge-Switching in kleinen Büros oder Zweigstellen. Typische Merkmale:
Ethernet-Ports: Models WS-C2960C-24PS-L oder WS-C2960C-24TS-L bieten 24 10/100/1000 Ports sowie 2 SFP-Downlink-Module. Einige Varianten haben PoE (Power over Ethernet) auf bestimmten Ports (“PS” = PoE+).
Performance: Switching-Capacity von bis zu 136 Gbps, Forwarding-Rate bis ca. 101 Mpps.
Architektur: Basierend auf Cisco IOS 15.0(2)SE+, mit grundlegenden Layer 2-Funktionen (VLAN, STP, EtherChannel) und begrenzter Layer 3-Unterstützung (statisches Routing, SVI).
PoE/PoE+: Einige Modelle (z. B. WS-C2960C-24PS-L) liefern bis zu 370 W Gesamtausgangsleistung, um IP-Telefone, Access Points oder Kameras mit Strom zu versorgen.
Redundanz: Kein integrierter Stacking-Support – Einzel-Switch-Lösung ohne Stack-Funktionen.
Management: CLI über Console oder SSH, Limited Web-GUI (Express Setup). Unterstützt Cisco Prime Infrastructure mit LITE-Funktionalität.
Obwohl die 2960C-Reihe funktional solide ist, liegt sie in puncto IOS-Features und Hardware-Leistung unterhalb neuerer Modelle. Insbesondere fehlen erweiterte Layer 3-Fähigkeiten wie OSPF oder EIGRP, und das Stacking mittels Cisco StackWise-Technologie wird nicht unterstützt. In kleinen Netzwerken reicht dies jedoch oft aus, wenn lediglich VLAN-Segmentierung, statische Routen und grundlegende QoS-Einstellungen erforderlich sind.
2.2 Catalyst 1000 Series
Die Cisco Catalyst 1000 Series zielt auf Small-Business- und Enterprise-Filialstandorte ab. Sie bietet eine moderne IOS-Software, PoE+ auf vielen Ports und grundlegende Layer 3-Funktionen. Hauptmerkmale:
Ethernet-Ports: Modelle wie C1000-24T-4G-L haben 24 1G/10G SFP-Ports plus 4 1G SFP-Downlink-Ports. Es gibt auch PoE+-Modelle, z. B. C1000-24P-4G-L, die bis zu 370 W PoE-Leistung bereitstellen.
Performance: Switching-Capacity bis zu 176 Gbps, Forwarding-Rate bis ca. 130 Mpps.
Architektur: Cisco IOS LAN Lite: Enthält Layer 2-Funktionen (VLAN, STP, RSTP, MSTP), grundlegendes Layer 3 (statisches Routing, RIP), Sicherheitsfunktionen (DHCP Snooping, IP Source Guard), QoS-Elemente und Multicast-Snooping.
PoE/PoE+: Ausreichend Leistung für IP-Telefone, Access Points oder Kameras. PoE-Geräte werden automatisch erkannt und mit Strom versorgt.
Management: CLI, Web-GUI (Simplified Graphical Interface), SNMPv2/v3, Cisco DNA Center Ready für zentralisierte Verwaltung in kleinen bis mittleren Umgebungen.
Stromversorgung: Interne Netzteile, redundante PSUs optional bei einigen Modellen (z. B. 24-Port PoE+ Modelle unterstützen sekundäre Netzteile).
Stacking: Kein traditionelles StackWise – Mitarbeiter können jedoch Smart Licensing und Cisco Meraki-ähnliche Virtual Chassis-Funktionen über Virtual Stacking nutzen (eingeschränkte Funktion).
Die Catalyst 1000 Series eignet sich bestens für Produktionsnetzwerke, in denen Administrationsaufwand niedrig bleiben soll, aber erweiterte Features wie DHCP Snooping, IP Source Guard und grundlegendes Layer 3-Routing gefragt sind. Mit PoE+-Unterstützung kann man Access Points oder Telefone anschließen, ohne separate Switches oder Injektoren.
2.3 Catalyst 9200 / 9300 Series
Die Cisco Catalyst 9200 und 9300-Reihen sind Teil der modernen Campus-Switch-Familie und bieten umfassende Layer 2- und Layer 3-Funktionalität, skalierbares Stacking, erweiterte Sicherheitsmerkmale und Integration in Cisco DNA-Architekturen. Sie sind konzipiert für mittlere bis große Netzwerke, in denen Agilität, Automatisierung und hohe Verfügbarkeit notwendig sind.
2.3.1 Catalyst 9200 Series
Ethernet-Ports: Modelle wie C9200-24T-E (24 1G Ports) oder C9200-48T-E (48 1G Ports), 4 1G/10G SFP+ Uplinks. PoE+-Versionen (C9200-24P-4X-E oder C9200-48P-4X-E) bieten bis zu 740 W PoE-Leistung.
Performance: Switching-Capacity bis zu 176 Gbps pro Gerät, Forwarding-Rate bis ca. 130 Mpps.
Architektur: Cisco IOS XE: Unterstützung für Layer 3-Protokolle (OSPF, EIGRP, BGP, VRF-lite), fortschrittliche Sicherheit (TrustSec, Encrypted Traffic Analytics) und automatisierte Arbeitsabläufe über Cisco DNA Center.
Stacking: Unterstützt Cisco StackWise-160/80 Gbps Virtual Stacking, bis zu 8 Switches mit hoher Redundanz und Skalierbarkeit.
Sicherheitsfunktionen: MACsec (Media Access Control Security) auf bestimmten Modellen, DHCP Snooping, IP Source Guard, Dynamic ARP Inspection, 802.1X, Private VLAN Edge.
Redundanz: Unterstützt Dual-Active Detection, Stack Power für redundante Stromversorgung, Hot-Swappable Fans/PSUs bei Rackmount-Versionen.
2.3.2 Catalyst 9300 Series
Ethernet-Ports: Modelle wie C9300-24U-E (24 1G Ports mit 60 W PoE+ pro Port), C9300-48P-E (48 1G PoE+ Ports), alternierende Varianten mit Multigigabit (mGig) oder 10 GBASE-T (bis zu 10 Gbit/s auf RJ45).
Performance: Switching-Capacity bis zu 448 Gbps pro Chassis, Forwarding-Rate bis ca. 210 Mpps.
Architektur: Cisco IOS XE, mit vollem Feature-Set Enterprise-Layer-3 (OSPF, EIGRP, BGP, MPLS, VXLAN, SD-Access), augenblickliche Aktivierung von Funktionen via Software-Updates.
Stacking: Bis zu 8 Switches mit StackWise-480 Gbps Datenbandbreite, Cross-Stack EtherChannel, Hot-Swappable Line Cards (bei Chassis-Version C9300-24Q).
Sicherheitsfunktionen: MACsec (bis zu 16 Gbit/s), TrustSec, Encrypted Traffic Analytics, Secure Boot, Zigbee-Integration (für IoT-Security), 802.1X, Private VLAN, Port-Security, Access Control Lists (ACLs) auf Hardware-Ebene.
Die 9200/9300 Serie ist die zentrale Plattform für moderne Campus-Netzwerke mit Bedarf an hoher Verfügbarkeit, leistungsstarkem Layer 3 und automatisiertem Management. Sie eignet sich für Core- und Distribution Layer ebenso wie als Access-Switch in großen Büros, Universitäten oder Rechenzentren.
3. Unterschiede und Einsatzszenarien
Die vorgestellten Modellreihen bedienen unterschiedliche Anforderungen. Im Folgenden beschreiben wir, für welche Einsätze die jeweiligen Switches besonders geeignet sind, und welche Unterschiede in Bezug auf Hardware-Leistung, Software-Funktionen und Bedarfsdeckung bestehen.
3.1 Catalyst 2960C: Einstiegs-Switch für kleine Standorte
Die 2960C-Modelle sind ideal für kleine Büros, Filialen oder Branch-Office-Umgebungen, in denen lediglich grundlegende Layer 2-Funktionalität benötigt wird:
Größe und Leistung: Geringe Kosten, kompakte Bauform, ausreichende Switching-Kapazität für 10–30 Clients oder IP-Telefone.
Features: VLANs, STP, QoS-Basics, statische IP-Routing-Funktion (Single SVI für Management), jedoch kein OSPF oder dynamisches Routing. Dies reicht oft aus, wenn am Standort kein Layer 3-Router im Switch integriert werden muss.
Einsatzszenario: Home Office, kleines Büro mit 10–50 Endgeräten, IP-Telefonie per PoE, einfacher zentraler DHCP-Server, File-Server in einem kleinen LAN.
Limitierungen: Kein Stacking, kein moderner IOS-Feature-Satz, nicht geeignet für wachsende Infrastruktur, die später dynamische Routing-Protokolle benötigt.
Beispiel für eine typische Umgebung: Ein Arzttermin-Portal in einer Praxis, wo 15 Arbeitsplätze, 5 IP-Telefone und ein WLAN-Access-Point über den Switch versorgt werden. Ein zentraler, externer Router übernimmt das Internet-Gateway, der Switch dient nur als reiner Layer 2-Switch mit dem Management-IP des Switches in einem separaten VLAN.
3.2 Catalyst 1000 Series: Small Business mit erweiterten Anforderungen
Die Catalyst 1000-Reihe bietet einen guten Kompromiss zwischen Einstiegskosten und erweiterten Funktionen:
Layer 2+: Neben VLAN, STP und QoS stehen Features wie DHCP Snooping, IP Source Guard, statisches Routing und einfache Sicherheits-ACLs zur Verfügung. Diese Funktionen verhindern Netzwerkangriffe auf Ebene 2 (z. B. MAC-Flooding) und schützen vor IP-Spoofing.
PoE+: PoE+-Versionen versorgen Access Points, IP-Telefone und Kameras ohne separate Injektoren. Dies vereinfacht die Installation in Small-Office-/Home-Office-Umgebungen.
Management: Fortgeschrittene Web-GUI, CLI, limitiertes Stacking (Virtual Stacking), SNMPv3 und Integration in Cisco DNA Center. SMBs profitieren von einfacher Verwaltung und grundlegender Automatisierung.
Einsatzszenario: Kleinunternehmen mit 20–100 Mitarbeitern, mehrere Standorte (bis zu 2–3 Switche per Virtual Stacking), wichtige Sicherheitsfunktionen wie DHCP Snooping, Port-Security, Basis-Firewall-ACLs, Unified Access (WLAN und LAN).
Limitierungen: Kein vollständiges Enterprise-Feature-Set (z. B. kein OSPF/EIGRP/BGP, kein umfassendes SD-Access), begrenzte Stacking-Bandbreite, kein MACsec.
Ein typisches Szenario: Ein Coworking-Space oder ein mittelständisches Büro mit 50 Arbeitsplätzen, 10 Access Points, einer kleinen Serverfarm und einer Basis-VPN-Verbindung zum Rechenzentrum. Die Catalyst 1000 dienen als Access-Layer, VLAN-Segmentierung von Gäste-WLAN, Mitarbeiter-LAN und Servernetz, PoE für WLAN und IP-Telefone, Sicherheit durch DHCP Snooping und IP Source Guard. Ein externer Router (z. B. Cisco ISR 4xxx) übernimmt das Gateway und VPN-Terminierung.
3.3 Catalyst 9200 / 9300 Series: Enterprise-Class für Campus und Distribution
Die 9200/9300 Series sind für anspruchsvolle Netzwerkumgebungen ausgelegt und decken vom Access- bis zum Core-Layer ab:
Leistungsfähigkeit: Hohe Switching- und Forwarding-Performance, große MAC-, ARP- und Routing-Tabellen, Multigigabit-Ports, Unterstützung von 10 GbE oder sogar 25 GbE in neueren Modellen.
Layer 3-Funktionalität: Vollständige Unterstützung von OSPF, EIGRP, BGP, VRF, HSRP/VRRP, MPLS. Dadurch geeignet für dynamisches Routing in Campus-Umgebungen oder als Top-of-Rack-Switch im Rechenzentrum.
Sicherheitsfunktionen: MACsec, TrustSec, Encrypted Traffic Analytics, dynamische Zugriffskontrolle, Network Analytics, erweiterte Threat-Detection. Perfekt für sensible Unternehmensnetze, in denen Daten vertraulich bleiben müssen.
Stacking: StackWise mit bis zu 480 Gbps Backplane-Bandbreite, Cross-Stack EtherChannel, schnelles Failover. Ideal für große Access-Layer-Anordnungen, in denen mehrere Switches nahtlos zusammenarbeiten.
Netzwerkautomatisierung: Integration in Cisco DNA Center, offene APIs (RESTCONF, NETCONF), Programmierbarkeit (Ansible-Module, Python), Telemetrie (gRPC, OpenConfig). Erlaubt proaktives Netzwerkmanagement und moderne DevOps-Workflows.
Einsatzszenario: Große Unternehmen, Universitäten, Rechenzentren, in denen hundert bis tausend Endgeräte, Server und Access Points in einem einzigen Campus vernetzt werden. Der Switch kann als Distribution- oder Core-Layer agieren, speziell in virtualisierten und SD-Access-Architekturen.
Beispiel: Eine Universität mit 5 Gebäuden, je Gebäude 4 Räume mit mehreren Access Points, Laboren, Verwaltungsbüros und Rechenzentrum. Catalyst 9300-Switche im Access Layer für Endgeräte und WLAN-Controller, Catalyst 9200 im Distribution Layer aggregieren Traffic in VLANs, Core-Switche (9300 / 9500) übernehmen Layer 3-Funktionen, OSPF und Inter-VLAN-Routing. Netzwerkautomatisierung über Cisco DNA ermöglicht Zero-Touch-Provisioning und zentralisierte Policy-Definitionen.
4. Preisgestaltung und Lizenzen
Bei Cisco-Switches ist die Anschaffung nicht nur eine Frage des Hardware-Kaufpreises, sondern auch der Software-Lizenzen, die bestimmte Funktionen freischalten. Im Folgenden betrachten wir die typischen Listenpreise (unverbindliche Preisempfehlungen) sowie Lizenzmodelle für die betrachteten Serien. Preise können je nach Region, Händlerrabatten und Support-Verträgen variieren.
4.1 Preise Catalyst 2960C
Die Catalyst 2960C-Reihe ist bereits seit Jahren am Markt und oft nur noch refurbished oder über Second-Hand-Anbieter erhältlich. Neue Geräte sind selten und meist nur über Gebrauchtmärkte oder Restposten zu finden. Typische Preise:
WS-C2960C-24TS-L: Ungefähre Listenpreise ehemals 900 – 1.100 USD (ohne Rabatt), heute refurbished ab 200 USD.
WS-C2960C-24PS-L (PoE+): Ehemalige Listenpreise ca. 1.200 USD, refurbished ab 300 USD.
WS-C2960C-8PC-L (8 PoE-Ports): Ehemalige Listenpreise ca. 800 USD, refurbished ab 150 USD.
Software-Lizenz: Catalyst 2960C nutzt Cisco IOS 15.0(2)SE+ mit Limited IP Base Feature Set. Es benötigt keine separate Software-Lizenz, da alle Funktionen in der Embedded-Software enthalten sind. Es gibt jedoch kostenpflichtige SmartNet-Support-Verträge (SmartNet 8×5 oder 24×7), die jährlich ab 150 USD beginnen (je nach Gerätealter und Seriennummer).
Fazit: Für sehr preisbewusste Nutzer sind gebrauchte 2960C eine Option, wenn man nur Layer 2-Funktionen benötigt. Durch fehlenden Wartungsvertrag und ersetzte Hardware kann jedoch langfristige Zuverlässigkeit eingeschränkt sein.
4.2 Preise Catalyst 1000 Series
Die Catalyst 1000-Serie ist aktuell als Neueinsteigerklasse im Markt positioniert. Listenpreise (UVP) liegen in folgenden Bereichen:
C1000-24T-4G-L (24 1G-Ports, 4 1G SFP): Ca. 1.000 USD.
C1000-24P-4G-L (24 1G PoE+, 4 1G SFP): Ca. 1.300 USD (enthält bis zu 370 W PoE).
C1000-48T-4G-L (48 1G-Ports, 4 1G SFP): Ca. 1.400 USD.
C1000-48P-4G-L (48 1G PoE+, 4 1G SFP): Ca. 1.800 USD (bis zu 740 W PoE).
Software-Lizenz: Die Catalyst 1000 Series verwendet Cisco IOS LAN Lite. Es existieren keine separaten Feature-Lizenzen – alle Layer 2-Funktionen, DHCP Snooping, IP Source Guard, statisches L3-Routing sind standardmäßig enthalten. Erweiterte Sicherheits- oder Layer 3‐Protokolle (OSPF, EIGRP, BGP) fehlen, selbst mit zusätzlichem Lizenzpaket. Ein SmartNet-Support 24x7 für Catalyst 1000 beginnt bei ca. 300 USD pro Jahr, abhängig von Region und Händler.
Fazit: Für kleine bis mittlere Standorte, die grundlegende Sicherheit und PoE+ benötigen, ist die 1000er Reihe preislich sehr attraktiv, da keine zusätzlichen Lizenzkosten anfallen!
4.3 Preise Catalyst 9200 / 9300
Die Catalyst 9200/9300-Serie ist im Enterprise-Segment angesiedelt und entsprechend teurer. Die UVP liegen etwa bei:
C9200-24T-E (24 1G-Ports, 4 1G/10G SFP+): Ca. 2.500 USD.
C9200-24P-E (24 1G PoE+, 4 1G/10G SFP+): Ca. 3.000 USD (bis zu 740 W PoE).
C9200-48T-E (48 1G-Ports, 4 1G/10G SFP+): Ca. 3.500 USD.
C9200-48P-E (48 1G PoE+, 4 1G/10G SFP+): Ca. 4.500 USD (bis zu 1.250 W PoE).
C9300-24T-E (24 1G-Ports, 4 1G/10G SFP+): Ca. 4.000 USD.
C9300-24U-E (24 1G-Ports mGig, 4 1G/10G SFP+): Ca. 5.500 USD.
C9300-48P-E (48 1G PoE+, 4 1G/10G SFP+): Ca. 8.000 USD (bis zu 1.250 W PoE).
Software-Lizenz: Catalyst 9200 und 9300 basieren auf Cisco IOS XE mit modularen Lizenzpaketen (Network Advantage, Network Essentials). Die entscheidenden Pakete:
LAN Base: Basis-Lizenz für Layer 2-Funktionen.
LAN Lite: Eingeschränkte Layer 2-Funktionen (im Wesentlichen nur VLAN, STP).
LAN Base+: Erweitertes Layer 2, Sicherheitsfeatures (DHCP Snooping, IP Source Guard, DAI).
Zusätzlich fallen jährliche SmartNet- oder Cisco-DNA-Lifecycle-Abonnementskosten an (typischerweise 10–15 % des Listenpreises), die je nach Wartungslevel (24×7, 8×5, Software-Support vs. Hardware-Support, Beratung) variieren. Beispiel: Für einen C9300-48P-E (UVP 8.000 USD) liegen die jährlichen Support-Kosten etwa bei 1.200 – 1.600 USD.
Fazit: In Enterprise-Umgebungen sollten Budgetplanung, langfristige Lifecycle-Kosten und erforderliche Features (OSPF, BGP, SD-Access, Security) frühzeitig evaluiert werden, um unnötige Lizenzkosten zu vermeiden. Für reine Access-Szenarien reicht oft Network Essentials; wer SD-Access oder VXLAN benötigt, muss in Network Advantage investieren.
5. Beispielkonfigurationen
Im Folgenden finden Sie eine Reihe von Konfigurationsbeispielen, die typische Funktionen wie VLAN, Layer 3-Routing, IP Helper, DHCP Snooping, Dynamic ARP Inspection (DAI), Port Security, Spanning Tree, QoS und SNMP-Integration abdecken. Die Beispiele basieren auf Cisco IOS CLI-Syntax und sollten auf den genannten Switch-Modellen vergleichbar sein; spezifische Befehle können je nach IOS-Version oder Hardware leicht variieren.
5.1 VLAN-Konfiguration
Das Segmentieren des Netzwerks in virtuelle LANs (VLANs) ist eine der grundlegendsten Aufgaben. VLANs ermöglichen es, logische Broadcast-Domänen zu trennen und Sicherheits- bzw. QoS-Policies pro VLAN zu definieren. Im Beispiel konfigurieren wir drei VLANs:
VLAN 10: Mitarbeiternetzwerk.
VLAN 20: Gastnetzwerk.
VLAN 30: Verwaltungskonsole/Server.
Beispiel auf einem Catalyst 9300:
!-- Wechsel in den Privileged EXEC Mode
enable
!-- Wechsel in den Konfigurationsmodus
configure terminal
!-- VLANs definieren
vlan 10
name Mitarbeiter
exit
vlan 20
name Gast
exit
vlan 30
name Verwaltung
exit
!-- Ports zuweisen
!-- FastEthernet1/0/1 bis 1/0/12 = Mitarbeiter
interface range GigabitEthernet1/0/1-12
switchport mode access
switchport access vlan 10
spanning-tree portfast
exit
!-- GigabitEthernet1/0/13-1/0/16 = Gast
interface range GigabitEthernet1/0/13-16
switchport mode access
switchport access vlan 20
spanning-tree portfast
exit
!-- GigabitEthernet1/0/17-1/0/20 = Verwaltung (Server)
interface range GigabitEthernet1/0/17-20
switchport mode access
switchport access vlan 30
spanning-tree portfast
exit
!-- Trunk-Port zu Distribution-Switch
interface GigabitEthernet1/0/48
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30
exit
!-- VLAN-Konfiguration abschließen
end
!-- Konfiguration speichern
write memory
Erklärung:
vlan X name Y erstellt ein VLAN mit ID X und weist den Namen Y zu.
switchport mode access versetzt den Port in den Access-Modus, sodass er nur ein VLAN trägt.
switchport access vlan X legt fest, welches VLAN (X) verwendet wird.
spanning-tree portfast aktiviert Portfast, um schnellere Transition in den Forwarding-Status zu ermöglichen (geeignet für Endgerätestecker).
switchport trunk encapsulation dot1q definiert 802.1Q-Trunking (bei neueren Catalyst-Modellen kann switchport trunk encapsulation entfallen, da nur dot1q verfügbar ist).
switchport trunk allowed vlan 10,20,30 beschränkt den VLAN-Verkehr auf ID 10, 20 und 30 am Trunk-Port.
Auf einem älteren 2960C ist die Syntax identisch, lediglich die Interface-Namen lauten FastEthernet0/1 oder GigabitEthernet0/1, und der Trunk-Port könnte GigabitEthernet0/24 heißen.
5.2 L3-Routing
Einige Modelle der betrachteten Serie unterstützen Layer 3-Routing-Funktionen (z. B. Catalyst 9200/9300 mit Network Essentials oder Advantage). Nach der VLAN-Konfiguration richten wir SVI (Switched Virtual Interfaces) ein, um IP-Subnetze innerhalb des Switches zu routen:
enable
configure terminal
!-- SVI für VLAN 10 (Mitarbeiter)
interface Vlan10
description Mitarbeiter-Netz
ip address 10.10.10.1 255.255.255.0
no shutdown
exit
!-- SVI für VLAN 20 (Gast)
interface Vlan20
description Gast-Netz
ip address 10.10.20.1 255.255.255.0
no shutdown
exit
!-- SVI für VLAN 30 (Verwaltung)
interface Vlan30
description Verwaltung-Netz
ip address 10.10.30.1 255.255.255.0
no shutdown
exit
!-- IP Routing aktivieren
ip routing
!-- Statisches Standard-Gateway (falls kein Hypervisor/Router dahinter)
ip route 0.0.0.0 0.0.0.0 10.10.30.254
!-- Beispiel: Das Default-Gateway ist 10.10.30.254 (Router)
end
write memory
Erklärung:
interface VlanX erstellt ein virtuelles Layer 3-Interface (SVI) für VLAN X.
ip address IP SUBNET weist dem SVI eine IP-Adresse zu.
ip routing aktiviert das Layer 3-Routing auf dem Switch, sodass Pakete zwischen VLAN 10, 20 und 30 geroutet werden.
ip route 0.0.0.0 0.0.0.0 NEXT_HOP definiert eine Standard-Route.
Auf einem Catalyst 1000 sind statische Routen und RIP verfügbar, jedoch kein OSPF oder BGP. Auf Catalyst 2960C ist Routing nur rudimentär möglich (SVI für Management und statisches Routing), während 9200/9300 volle Layer 3-Funktionalität bieten, einschließlich OSPF, EIGRP und BGP, sofern die entsprechende Lizenz installiert ist.
5.3 IP Helper
Der IP-Helper-Befehl leitet Broadcast-Anfragen wie DHCP-Discover an DHCP-Server weiter, die sich in anderen Subnetzen befinden. Wird häufig in Umgebungen eingesetzt, in denen ein zentraler DHCP-Server mehrere VLANs bedient:
enable
configure terminal
!-- Auf dem SVI (z. B. Verwaltung VLAN 30) den DHCP-Relay-Agent aktivieren
interface Vlan30
ip helper-address 10.10.30.100
exit
!-- Auf SVI VLAN 10 (Mitarbeiter)
interface Vlan10
ip helper-address 10.10.30.100
exit
!-- Auf SVI VLAN 20 (Gast)
interface Vlan20
ip helper-address 10.10.30.100
exit
end
write memory
Erklärung:
ip helper-address SERVER_IP leitet UDP-basierte Broadcast-Pakete (z. B. DHCP, TFTP, DNS, NetBIOS, TACACS) an die angegebene IP-Adresse weiter. Standardmäßig sind UDP-Ports 37, 49, 69, 137, 138, 139, 177, 514, 540, 1428, 4786, 5355 und 5495 betroffen.
In unseren Beispielen wird das zentrale DHCP-Server-Modul unter 10.10.30.100 angesprochen.
Ohne ip helper-address erhalten Clients in VLAN 10 oder 20 keine IP-Konfiguration, wenn der DHCP-Server in einem anderen Subnetz sitzt. Auf Catalyst 2960C muss man das SVI für Management öffnen (ip default-gateway konfigurieren), jedoch ist der DHCP-Relay nicht verfügbar (nur statisches Routing). Auf Catalyst 1000 und höher funktioniert der Befehl ohne Probleme.
5.4 DHCP Snooping
DHCP Snooping schützt vor rogue DHCP-Servern, indem es nur vertrauenswürdige Ports als DHCP-Server-Ports definiert. Untrusted-Ports werden blockiert, wenn sie DHCP-Offers oder ACK-Pakete senden. Beispielkonfiguration:
enable
configure terminal
!-- Globale DHCP Snooping-Funktion aktivieren
ip dhcp snooping
!-- Pro VLAN aktivieren (zugeschnitten auf Subnets)
ip dhcp snooping vlan 10,20,30
!-- Festlegen von vertrauenswürdigen Ports (z. B. Port zu DHCP-Server)
interface GigabitEthernet1/0/47
ip dhcp snooping trust
exit
!-- In allen anderen Ports DHCP Snooping untrusted (Standard)
!-- Optional kann man per Range oder per Default konfigurieren:
!-- interface range GigabitEthernet1/0/1-46
!-- ip dhcp snooping limit rate 10
!-- exit
end
write memory
Erklärung:
ip dhcp snooping aktiviert die Funktion global.
ip dhcp snooping vlan X aktiviert DHCP Snooping nur für die angegebenen VLANs (10, 20, 30).
interface G1/0/47 wählt den Port aus, der an den DHCP-Server angeschlossen ist.
ip dhcp snooping trust markiert diesen Port als vertrauenswürdig, so dass er DHCP-Respond-Nachrichten weiterleiten darf. Alle anderen Ports (untrusted) dürfen lediglich DHCP Discover/Request senden, nicht aber Offers/ACKs.
Auf Catalyst 9200/9300 kann man zusätzlich ip dhcp snooping database tftp://server konfigurieren, um die Kalenderdatenbank auf einem TFTP-Server abzulegen und dadurch nach Switch-Neustarts persistente DHCP Binding-Tabellen zu behalten. Auf Catalyst 1000 ist diese Datenbankfunktion nicht verfügbar.
5.5 Dynamic ARP Inspection (DAI)
Dynamic ARP Inspection verhindert ARP-Spoofing, indem es IP-MAC-Zuordnungen anhand der DHCP-Snooping-Datenbank überprüft. Nur ARP-Nachrichten von vertrauenswürdigen Geräten werden akzeptiert:
enable
configure terminal
!-- ARP Inspection global aktivieren
ip arp inspection vlan 10,20,30
!-- Vertrauenswürdige Ports definieren (z. B. Uplink)
interface GigabitEthernet1/0/47
ip arp inspection trust
exit
!-- Optionale Rate-Limitierung auf untrusted Ports
interface range GigabitEthernet1/0/1-46
ip arp inspection limit rate 15
exit
end
write memory
Erklärung:
ip arp inspection vlan X aktiviert DAI für die VLANs 10, 20 und 30.
ip arp inspection trust markiert den Uplink-Port als vertrauenswürdig, da über ihn Upstream-ARP-Antworten kommen dürfen.
ip arp inspection limit rate 15 begrenzt ARP-Pakete auf 15 Paket/s pro Port, um ARP-Flooding-Angriffe zu verhindern.
Voraussetzung ist, dass DHCP Snooping korrekt konfiguriert ist, damit die IP-MAC-Zuordnungen in der Datenbank vorliegen. Andernfalls werden legitime ARP-Pakete blockiert. Auf Catalyst 1000 series existiert ip arp inspection nicht – nur auf 9200/9300 und höher.
5.6 Port Security
Port Security begrenzt die Anzahl der MAC-Adressen, die an einem Access-Port gelernt werden dürfen. Dies schützt vor MAC-Flooding. Beispiel:
enable
configure terminal
!-- Für VLAN 10 Access-Ports konfigurieren
interface range GigabitEthernet1/0/1-12
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address sticky
spanning-tree portfast
exit
end
write memory
Erklärung:
switchport port-security aktiviert Port Security auf dem Port.
switchport port-security maximum 2 erlaubt nur 2 MAC-Adressen auf dem Port (z. B. PC + IP-Telefon).
switchport port-security violation restrict setzt den Modus “restrict” (nur Registrierung und Zählen), sodass bei einem Verstoß Pakete von unautorisierten MAC-Adressen verworfen werden, aber der Port nicht sofort abgeschaltet wird. Alternative Optionen: protect oder shutdown.
switchport port-security mac-address sticky speichert initial gelernte MAC-Adressen dynamisch in der Running-Config, damit sie nach Reload erhalten bleiben.
spanning-tree portfast stellt sicher, dass Access-Ports schneller in den Forwarding-Status wechseln.
Port Security ist auf allen Modellreihen verfügbar, jedoch hat Catalyst 2960C eine begrenzte Anzahl an Port-Security-MAC-Adressen (bis zu 132 pro Switch). Bei 9200/9300 gibt es umfangreichere Hardware-Ressourcen, sodass mehr Regeln parallel unterstützt werden.
5.7 Spanning Tree
Spanning Tree Protocol (STP) verhindert Loops in redundanten Layer 2-Topologien. Wir konfigurieren RSTP (Rapid Spanning Tree) als Standard:
enable
configure terminal
!-- Globale Spanning-Tree-Konfiguration
spanning-tree mode rapid-pvst
!-- Setze Priorität (niedriger ist besser) für Root-Bridge-Vorwahl in Core-Switch
spanning-tree vlan 1 root primary
!-- Für Access-Ports Portfast aktivieren
interface range GigabitEthernet1/0/1-46
spanning-tree portfast
spanning-tree bpduguard enable
exit
!-- Für Uplink-Ports BPDU Guard deaktivieren, falls erwünscht
interface range GigabitEthernet1/0/47-48
spanning-tree bpduguard disable
exit
end
write memory
Erklärung:
spanning-tree mode rapid-pvst aktiviert Rapid Per-VLAN Spanning Tree (PVST+), was in Cisco-Netzwerken Standard ist und schneller konvergiert als klassisches STP.
spanning-tree vlan X root primary setzt den Switch als primäre Root-Bridge für VLAN X.
spanning-tree portfast aktiviert PortFast auf Access-Ports, sodass sie sofort in den Forwarding-Status wechseln, ohne durch Listening/Learning-Phasen zu gehen.
spanning-tree bpduguard enable schützt vor unerwünschten BPDUs auf Access-Ports – wenn ein Endgerät BPDUs sendet, wird der Port error-disabled.
Auf Catalyst 1000 und höher wird RSTP standardmäßig aktiviert. Catalyst 2960C unterstützt Rapid-PVST, jedoch ohne Option zur vollständigen Deaktivierung von STP (Standard ist PVST+).
5.8 Quality of Service (QoS)
Quality of Service (QoS) hilft, Netzwerkverkehr zu priorisieren, z. B. VoIP vor Bulk-Downloads. Beispielkonfiguration für Catalyst 9300:
enable
configure terminal
!-- Erstelle eine Class-Map für Voice
class-map match-any Voice
match ip dscp ef
!-- Erstelle eine Policy-Map, um Voice zu priorisieren
policy-map QoS-Policy
class Voice
priority percent 30
class class-default
fair-queue
!-- Wende die Policy auf das Ausgangs-Interface an
interface GigabitEthernet1/0/48
service-policy output QoS-Policy
exit
end
write memory
Erklärung:
class-map match-any Voice match ip dscp ef definiert eine Klasse für DSCP-Wert EF (Expedited Forwarding), typischerweise für VoIP-Pakete genutzt.
policy-map QoS-Policy class Voice priority percent 30 reserviert 30 % der Bandbreite für Voice-Pakete. class class-default fair-queue wendet Fair-Queue auf allen übrigen Paketen an.
service-policy output QoS-Policy setzt die Policy auf dem Ausgangs-Interface (z. B. Uplink-Port) ein.
Auf Catalyst 2960C ist QoS lediglich in Form von Port-basierter Priorisierung (port-based CoS) vorhanden, nicht aber mit feingranularen DSCP-Klassen. Catalyst 1000 bietet grundlegendes QoS (Priority Queues auf Hardware-Ebene), während 9200/9300 detaillierte QoS-Pipelines mit 8 Queues, Traffic-Classification, Shaping, Policing u. v. m. unterstützen.
5.9 SNMP-Integration
SNMP (Simple Network Management Protocol) erlaubt zentrale Überwachung von Switch-Parametern. Beispiel für Konfiguration von SNMPv3:
enable
configure terminal
!-- SNMPv3 User anlegen
snmp-server group ITZentrale v3 priv
snmp-server user snmpadmin ITZentrale v3 auth sha AuthPass123 priv aes 256 PrivPass123
!-- SNMP-Traps konfigurieren
snmp-server host 10.10.30.200 version 3 snmpadmin
snmp-server enable traps port-security
snmp-server enable traps mac-notification change added
!-- Optional: SNMP-Community für v2c (nur privat verwenden)
!-- snmp-server community MySecretComm ro
end
write memory
Erklärung:
snmp-server group ITZentrale v3 priv erstellt eine Gruppe mit v3-Privilegien (“priv” für Encryption + Auth).
snmp-server user snmpadmin ITZentrale v3 auth sha AuthPass123 priv aes 256 PrivPass123 legt den Benutzer snmpadmin an, mit SHA-Authentifizierung und AES-256-Verschlüsselung.
snmp-server host 10.10.30.200 version 3 snmpadmin sendet SNMP-Traps an den Manager unter 10.10.30.200, nutzt SNMPv3 und den Benutzer snmpadmin.
snmp-server enable traps port-security und mac-notification change added aktivieren spezifische Trap-Typen für Port Security und MAC-Adressen-Änderungen.
Auf Catalyst 1000 ist nur SNMPv2c vorhanden. Auf Catalyst 2960C ist SNMPv2c und eingeschränktes MIB-Set verfügbar. Catalyst 9200/9300 unterstützen SNMPv2c und umfassendes SNMPv3, um alle Telemetriedaten abzurufen und in Monitoring-Systeme (z. B. Zabbix, SolarWinds, PRTG) einzubinden.
5.10 Logging & Monitoring
Um Netzwerkereignisse, Interface-Status und sicherheitsrelevante Vorfälle zu erfassen, konfiguriert man syslog-Server und lokale Log-Features:
enable
configure terminal
!-- Syslog-Server definieren
logging host 10.10.30.201
logging trap informational
logging source-interface Vlan30
!-- Local Logging (Buffer)
logging buffered 1000000 informational
!-- Zeitserver (NTP) konfigurieren für Zeitstempel
ntp server 10.10.30.50
ntp update-calendar
!-- Terminal Logging aus- oder einschalten
no logging console
end
write memory
Erklärung:
logging host IP sendet Nachrichten an den Syslog-Server.
logging trap informational spezifiziert das Schweregrad-Level (hier “informational”).
logging source-interface Vlan30 legt fest, welches Interface als Absender für syslog-Pakete genutzt wird.
logging buffered SIZE level speichert lokale Logs im RAM-Buffer (hier 1.000.000 Bytes, Level “informational”).
ntp server IP stellt sicher, dass Logs korrekte Zeitstempel erhalten.
no logging console deaktiviert syslog-Ausgaben auf die Konsole, um CLI-Komfort zu erhöhen.
Diese Konfiguration ermöglicht das Aufzeichnen von Link-Status-Änderungen, Security-Events (z. B. Port-Security-Verstöße) sowie Routing-Updates. Über ein zentrales Monitoring-Tool (z. B. ELK, Splunk, Grafana) können Administratoren Dashboards erstellen und Alarme bei kritischen Fehlermeldungen automatisieren.
6. Betrieb und Wartung
Ein reibungsloser Betrieb von Netzwerkswitches erfordert regelmäßige Software-Updates, Konfigurations-Backups und Hardware-Checks. Im Folgenden einige Punkte, die Sie in Ihre Wartungsroutinen aufnehmen sollten:
6.1 Software-Updates (IOS XE / IOS)
Image-Upgrade: Laden Sie regelmäßig neue IOS XE-Versionen (für 9200/9300) oder IOS 15 (xE oder SE) (für 1000/2960C) von Cisco herunter. Verwenden Sie archive download-sw oder copy tftp flash Commands, um das neue Image zu installieren.
Boot-Variable setzen: Nach dem Kopieren des Images in den Flash legen Sie mit boot system switch all file flash:filename.bin fest, dass beim nächsten Neustart das neue Image geladen wird.
Regelmäßige Wartungsfenster: Planen Sie Switch-Reboots in periodischen Wartungsfenstern (z. B. vierteljährlich), um Patches aufzuspielen. Nutzen Sie Redundanz/Failsafe (Stack-Views oder redundant ausgelegte Topologien), damit keine Netzwerkunterbrechung entsteht.
6.2 Konfigurations-Backups
Automatisierte Exports: Nutzen Sie TFTP, FTP oder Git für Konfigurations-Backups: copy running-config tftp://192.168.1.10/hostname-runcfg-$(date +%F).txt.
Scheduler: Bei Catalyst 9200/9300 können Sie scheduler job sowie scheduler schedule verwenden, um automatisierte Backups zu bestimmten Zeiten anzulegen.
Vault-Integration: In Enterprise-Umgebungen empfiehlt sich ein zentraler Konfigurationsrepository (z. B. Ansible Playbook-Repo, GitLab), in dem alle hostspezifischen Konfigurationssnapshots abgelegt werden.
6.3 Hardware-Checks
Temperatur und Lüfter: Überwachen Sie show environment, um Lüfterstatus, Temperatur und Netzteil-Zustand zu prüfen. Defekte Lüfter oder zu hohe Temperaturen können Hardware-Schäden verursachen.
Speicherplatz prüfen: Limitierte Flash- und RAM-Ressourcen (z. B. beim 2960C) erfordern, dass man alte IOS-Images entfernt: delete flash:old-image.bin.
Power-over-Ethernet-Kapazität: Verwenden Sie show power inline, um PoE-Auslastung zu kontrollieren und zu verhindern, dass zu viele Geräte überlastete Switches nutzen.
Port-Status überwachen:show interfaces status und show interfaces counters errors zeigen fehlerhafte Ports und anormales Verhalten (CRC-Errors, Input/Output-Errors).
Stack-Health: Bei gestackten Switches (9200/9300) sollte show switch stack-ports status und show switch detail regelmäßig geprüft werden, um Stacking-Probleme rechtzeitig zu erkennen.
6.4 Lizenzverwaltung
Smart Licensing (9200/9300): Nutzt Cisco Smart Account und Smart Licensing Portal. Verwenden Sie license smart register idtoken und license smart reservation, um Features zu aktivieren (Network Essentials, Advantage).
DNA Essentials/Advantage Subscription: Für Automatisierung und Telemetrie müssen Cisco DNA-Abonnements registriert werden. Aktivieren mit license boot level assume oder im Cisco DNA Center.
Monitoring: Überwachen Sie Lizenz-Compliance mit show license summary und show license status. Vermeiden Sie den Ablauf von Evaluierungs-Lizenzen ohne Aktivierung, da dies zu Feature-Lockdown führen kann.
6.5 Sicherheitspatches und Vulnerability Management
Cisco Security Advisories: Abonnieren Sie Cisco Security Advisories (https://tools.cisco.com/security/center/publicationListing.x) und spielen Sie notwendige IOS-Updates ein, wenn kritische CVEs vorliegen.
Feature Deprecation: Achten Sie auf Ankündigungen zu deprecation (z. B. EIGRP for IPv4 in IOS XE) und planen Sie Migrationspfade (z. B. zu EIGRP for IPv6 oder OSPFv3).
Access Control: Nutzen Sie ACLs, Control Plane Policing (CoPP) und Management-Plane Protection (MPP), um unautorisierte Zugriffe zu verhindern (z. B. control-plane ACLs).
7. Best Practices
Im Folgenden einige bewährte Vorgehensweisen, die Sie bei Planung, Implementierung und Betrieb Ihrer Cisco-Switches berücksichtigen sollten:
7.1 Netzwerkarchitektur und Segmentierung
Eindeutige VLAN-Strategie: Definieren Sie klare VLANs für verschiedene Nutzungsarten (Mitarbeiter, Gäste, IoT, Verwaltung). Verwenden Sie konsistente Namenskonventionen (z. B. VLAN10-Mitarbeiter, VLAN20-Gast, VLAN30-IoT).
IP-Adressplan: Legen Sie IP-Subnetze für jedes VLAN fest und dokumentieren Sie sie im IP-Adressplan. Achten Sie auf ausreichend große Subnetze, um das Wachstum zu ermöglichen (z. B. /24 statt /28).
Layer 3-Design: Nutzen Sie SVI auf Catalyst 9200/9300 für inter-VLAN-Routing, und betreiben Sie Core-Router in redundanten Clustern (HSRP, VRRP). Vermeiden Sie verteiltes Routing auf Edge-Switches, wenn möglich.
Redundante Topologie: Planen Sie mindestens zwei Pfade (Link-Redundanz) mittels Trunks und Spanning-Tree, um Single-Point-of-Failure zu vermeiden.
7.2 Sicherheit
DHCP Snooping + DAI: Aktivieren Sie DHCP Snooping und Dynamic ARP Inspection in allen VLANs, um Rogue-DHCP-Server und ARP-Spoofing zu verhindern.
Port Security: Beschränken Sie MAC-Adressen pro Port und verwenden Sie violation restrict oder shutdown, je nach Sicherheitsanforderung.
Control Plane Protection: Setzen Sie Control Plane Policing (CoPP) ein, um CPU-Excess bei Angriffen auf Management-Plane abzuwehren:
class-map match-any CoPP-ICMP
match protocol icmp
class-map match-any CoPP-SNMP
match protocol snmp
policy-map type control-plane Control-Plane-Policy
class CoPP-ICMP
police 1000 8000 conform-action transmit exceed-action drop
class CoPP-SNMP
police 500 4000 conform-action transmit exceed-action drop
class class-default
police 10000 80000 conform-action transmit exceed-action drop
control-plane
service-policy input Control-Plane-Policy
Management-Plane Access: Beschränken Sie SNMP, SSH und HTTP/HTTPS auf dedizierte Management-VLANs über Access Control Lists (ACLs). Beispiel:
ip access-list standard MGMT_ONLY
permit 10.10.30.0 0.0.0.255
!
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
login local
7.3 Automatisierung & Dokumentation
Infrastructure as Code (IaC): Verwenden Sie Ansible-, Chef- oder Puppet-Module, um konsistente und reproduzierbare Konfigurationen zu gewährleisten. Beispiele für Ansible Playbooks finden Sie im Ansible Galaxy Repository (cisco.ios Collection).
Change Management: Nutzen Sie ein Ticketing-System (Jira, ServiceNow) für Änderungsanforderungen, und dokumentieren Sie Konfigurationsänderungen unbedingt in Git oder SVN.
Backup & Recovery: Implementieren Sie automatisierte Konfigurations-Backups (TFTP, FTP, Git) und testen Sie Recovery-Szenarien regelmäßig in einer Staging-Umgebung.
7.4 Monitoring & Performance
SNMP + Telemetrie: Integrieren Sie Switches in ein zentrales Monitoring (Zabbix, PRTG, Grafana-Prometheus). Erstellen Sie Dashboards für Port-Statistiken, CPU- und Speicher-Usage, Temperature-Alerts.
Netflow / sFlow: Aktivieren Sie NetFlow/SFlow auf 9200/9300, um Traffic-Analyse und Bandbreiten-Monitoring durchzuführen:
flow exporter Exporter1
description NetFlow-to-Collector
destination 10.10.30.210
source Vlan30
transport udp 2055
!
flow monitor FM1
record ipv4
exporter Exporter1
!
interface GigabitEthernet1/0/48
ip flow monitor FM1 output
Log-Analyse: Nutzen Sie Syslog-Server (ELK, Graylog, Splunk) zum Sammeln und Korrelieren von Events, um zeitnah auf Vorfälle (Link-Down, Security-Verletzungen) reagieren zu können.
7.5 Redundanz und Hochverfügbarkeit
Stacking: Setzen Sie Catalyst 9200/9300 im Stacking-Modus ein, um Ausfallsicherheit auf Access-Ebene zu gewährleisten. Ein Stack aus 4 Switches teilt sich Konfiguration und Forwarding-Bandbreite über StackWise-Links.
VRRP / HSRP: Für Distribution- oder Core-Switche in redundanten Designs sollte HSRP (Hot Standby Router Protocol) oder VRRP (Virtual Router Redundancy Protocol) aktiviert werden, damit Clients im Ausfallfall automatisch einen Backup-Gateway haben:
interface Vlan10
ip address 10.10.10.1 255.255.255.0
standby 10 ip 10.10.10.254
standby 10 priority 110
standby 10 preempt
exit
!-- Switch B konfiguriert
interface Vlan10
ip address 10.10.10.2 255.255.255.0
standby 10 ip 10.10.10.254
standby 10 priority 100
standby 10 preempt
exit
In-Service Software Upgrade (ISSU): Auf 9300/9500 Chassis kann ISSU verwendet werden, um Software-Updates durchzuführen, ohne den Datenverkehr zu unterbrechen. Dies setzt eine redundante Supervisor-Engine oder redundante Stacks voraus.
8. Fehlerbehebung
Selbst bei guter Planung treten gelegentlich Störungen auf. Die folgenden Schritte und Tools helfen, Probleme systematisch zu diagnostizieren und zu beheben:
8.1 Allgemeine Diagnosebefehle
show running-config: Aktuelle Konfiguration anzeigen.
show startup-config: Beim Boot geladenes Image/Konfig anzeigen.
show interfaces brief: Status aller Interfaces (up/down, VLANs, IPs).
show interfaces counters errors: Fehlerzähler (CRC, Giants, CRC-Align-Errors, Input/Output-Errors).
show version: IOS-Version, Up-Time, RAM/Flash-Auslastung.
show vlan brief: VLAN-Status und zugewiesene Ports anzeigen.
show mac address-table: Gelernte MAC-Adressen auf den Ports.
show ip route: Routing-Tabelle (L3-fähige Modelle).
show logging: Syslog-Events im Buffer.
8.2 Link- und Layer 1-Fehler
Interface Down: Wenn ein Interface unerwartet down ist, prüfen Sie show interface GigabitEthernetX/Y, um Duplex-, Speed- oder PoE-Fehler zu erkennen.
Fehlerhafte Kabel: Einfache Tests mit show interface counters errors können auf CRC- oder Input-Errors hinweisen. Kabel austauschen oder Ports mit no speed force wieder auf Auto einstellen.
PoE-Probleme:show power inline zeigt, ob ein PoE-Gerät zu viel Strom zieht oder der Switch-Strom begrenzt ist. Reduzieren Sie PoE-Leistung oder nutzen Sie PoE-Injektoren, wenn nötig.
8.3 VLAN- und Trunk-Probleme
VLAN nicht erreichbar: Prüfen Sie, ob der Trunk-Port die VLANs korrekt erlaubt (show interfaces trunk).
Native VLAN Mismatch: Achten Sie darauf, dass auf beiden Seiten des Trunks dasselbe native VLAN konfiguriert ist, um Traffic-Loop oder unerwartetes Flooding zu vermeiden.
VLAN-Tagging: Bei falsch gesetzter switchport trunk encapsulation (dot1q vs. ISL) Fehlermeldungen im show logging erkennen und korrigieren.
8.4 L3-Routing-Probleme
Routen fehlen:show ip route prüft, ob statische Routen oder dynamische Routing-Protokoll-Einträge vorhanden sind. Wenn nicht, prüfen Sie no shutdown an SVI-Interfaces.
OSPF/EIGRP-Probleme:show ip ospf neighbor bzw. show ip eigrp neighbors zeigt Nachbarschaftsstatus. Prüfen Sie IP-Helper, VLANs und ACLs, die den OSPF-Handshake blockieren könnten.
ARP-Probleme:show ip arp listet ARP-Einträge, show ip arp inspection zeigt, welche Pakete blockiert wurden (bei DAI-Konflikten).
8.5 DHCP Snooping / DAI-Probleme
Clients erhalten keine IP: Prüfen Sie show ip dhcp snooping binding, um zu sehen, ob DHCP-Bindings in der Datenbank vorhanden sind.
ARP-Pakete werden blockiert:show ip arp inspection statistics zeigt, wie viele ARP-Pakete verworfen wurden. Überprüfen Sie, ob die MAC-Adresse in der DHCP-Binding-Tabelle fehlt (falls DHCP-Snooping nicht richtig funktioniert).
8.6 Port Security-Verstöße
Port error-disabled:show port-security interface G1/0/X zeigt, welche MAC-Adresse den Verstoß ausgelöst hat. Setzen Sie shutdown und no shutdown zurück, um den Port wieder zu aktivieren, und entfernen Sie unerwünschte MAC-Adressen.
Sticky MAC fehlt nach Reload: Wenn switchport port-security mac-address sticky aufgesetzt wurde, aber write memory vor dem Neustart vergessen wurde, gingen gelernte MAC-Adressen verloren. Daher immer die Konfiguration speichern.
8.7 STP-Probleme und Loops
Unerwartete Root-Brücke:show spanning-tree root zeigt, welcher Switch Root ist. Prüfen Sie, ob die Priorität korrekt gesetzt wurde.
BPDU-Guard violations: Ports mit spanning-tree bpduguard enable können automatisch error-disabled werden, wenn sie BPDUs empfangen. Verwenden Sie no spanning-tree bpduguard enable auf bestimmten Ports, wenn diese BPDUs legitimerweise empfangen sollten (z. B. VoIP-Switches).
8.8 QoS-Probleme
Verlust von Voice-Paketpriorität: Prüfen Sie show policy-map interface X/Y, um zu sehen, ob die Policy richtig angewendet wird und ob Pakete im Priority-Queue landen.
DSCP-Markierung fehlt: Stellen Sie sicher, dass Endgeräte (z. B. IP-Telefone) DSCP-Einstufung korrekt senden (DSCP EF für Voice). Andernfalls können Sie mls qos trust device cisco-phone verwenden, um DSCP-Trust für erkannte Telefone einzurichten.
9. Zusammenfassung
Cisco Switches der Serien 2960C, 1000 und 9200/9300 decken ein breites Spektrum von Netzwerkszenarien ab – vom kostengünstigen Filialswitch bis hin zur Enterprise-Campus-Lösung. Die 2960C-Reihe eignet sich primär für kleine Umgebungen mit grundlegenden Layer 2-Anforderungen, während die 1000 Series für kleine bis mittlere Unternehmen konzipiert ist, die erweiterte Sicherheits- und Management-Features benötigen. Die 9200/9300 Series schließlich ist optimal für umfangreiche Netzwerke, in denen Agilität, Automatisierung, umfassende Layer 3- und Sicherheitsfunktionen sowie hohe Performance gefordert werden.
Bei der Auswahl sollten Sie folgende Faktoren berücksichtigen:
Netzwerkgröße und Topologie: Anzahl der Endgeräte, VLAN-Architektur, Notwendigkeit von dynamischem Routing.
Funktionsumfang: Brauchen Sie OSPF/BGP, Multigigabit-Ports, PoE+ für Access Points, VRF oder SD-Access?
Budget und Lizenzkosten: Berücksichtigen Sie nicht nur die Hardware-Kosten, sondern auch jährliche Support- und Lizenzgebühren für Erweiterungsfunktionen.
Wartung und Lebenszyklus: Langfristige Wartung, Software-Updates, Ersatzteilverfügbarkeit und Hardware-Ersatzzyklen beeinflussen die Total Cost of Ownership.
Sicherheitsanforderungen: Funktionen wie DHCP Snooping, DAI, Port Security, MACsec und Encrypted Traffic Analytics sind je nach Modell unterschiedlich verfügbar.
Die Beispielkonfigurationen zeigen, wie man VLANs, Layer 3-Routing, IP Helper, DHCP Snooping, Dynamic ARP Inspection, Port Security, Spanning Tree, QoS, SNMP und Logging integriert. Ein solides Betriebskonzept, automatisierte Konfigurations-Backups und regelmäßige Software-Updates sind essenziell, um ein stabiles und sicheres Netzwerk zu betreiben. Mit den vorgestellten Best Practices und Diagnose-Tools lassen sich viele typische Probleme effizient lösen und verhindern.
Insgesamt bieten Cisco Catalyst-Switches eine zuverlässige, skalierbare und gut dokumentierte Plattform, die sowohl Einsteigern als auch erfahrenen Administratoren gerecht wird. Unabhängig davon, ob Sie ein kleines Team vernetzen oder ein komplexes Campus-Netzwerk aufbauen – die richtige Wahl der Modellreihe und eine sorgfältige Planung sorgen dafür, dass Ihr Netzwerk reibungslos, sicher und zukunftsfähig betrieben werden kann.