Netzwerkdokumentation

Netzwerk-Doku ist eines der häufigsten Doku-Themen und gleichzeitig eines der am häufigsten vernachlässigten. Symptomatisch: Admin sucht den Router, der das ERP-VLAN bedient, findet ihn nicht ohne 30 Minuten Switch-Klettern. Oder: Externer Dienstleister soll eine Firewall-Regel ergänzen, weiß aber nicht, in welcher Zone der Server steht. Mit einer ordentlichen Netzwerk-Doku passiert das nicht. Sie besteht aus mehreren Bausteinen, die sich gegenseitig ergänzen: logischer Netzwerkplan (Topologie, Zonen, VLANs), physischer Netzwerkplan (Patchfeld, Verkabelung, Racks), IP-Adress-Konzept (welches Netz für welche Funktion), Firewall-Regelwerk (welche Verbindungen sind erlaubt), Geräte-Inventar (Switches, Router, AP) mit Konfigurationen. Diese Lektion zeigt dir die Hauptbausteine, einen klickbaren Beispiel-Netzwerkplan, ein typisches IP-Schema, die Verwaltung in einer CMDB und die häufigsten Stolperfallen.

1) Klickbarer Beispiel-Netzwerkplan

Klick auf eine Netzwerk-Zone, um Details zu sehen:

Logischer Netzwerkplan – Beispielfirma mit DMZ und mehreren Zonen

2) IP-Adress-Schema

Strukturierte Vergabe statt zufälliger IPs spart enorm viel Troubleshooting-Zeit. Ein typisches Schema:

IP-Konzept – Beispielfirma

VLAN	Netz	Funktion	Reservierungen	DHCP-Range
10	10.10.10.0/24	DMZ	.1 Gateway, .10-.50 Web/Mail	statisch
20	10.0.20.0/24	Server	.1 Gateway, .10-.30 Infra (DC, DNS), .40-.99 Apps, .100-.150 DBs	statisch
30	10.0.30.0/23	Office	.1 Gateway, .10-.50 Drucker/IP-Tel	.100-.510
40	10.0.40.0/24	WLAN Mitarbeiter	.1 Gateway	.50-.250
50	10.0.50.0/24	VoIP	.1 Gateway, .10 PBX, .20-.40 Konferenz	.100-.200 IP-Phones
60	10.0.60.0/24	Storage / iSCSI	.10-.30 SAN, .40 Backup-Target	statisch
70	10.0.70.0/24	Management	.10-.50 Switches, .60-.99 OOB	statisch
99	192.168.99.0/24	Gast-WLAN	.1 Gateway	.10-.250

Wichtige Prinzipien: logische Trennung pro Funktion (eigenes VLAN), Reservierung der ersten IPs pro Subnetz für Infrastruktur (Gateway, DNS, DHCP), statische IPs für Server, DHCP für Clients. Bei IPv6 zusätzlich Präfix-Konzept (z. B. /48 pro Standort, /64 pro VLAN). Tool-Tipp: phpIPAM, NetBox, NIPAP für IP-Verwaltung.

3) Bestandteile einer kompletten Netzwerk-Doku

📐 Logischer Netzwerkplan

Topologie auf Layer-3-Ebene. VLANs, Zonen, Routing. Tools: draw.io, Lucidchart, Visio. Pro Standort eine Version.

🏢 Physischer Netzwerkplan

Rack-Layout, Patchfeld-Belegung, Verkabelung. Wo steckt welches Gerät? Welcher Port geht wohin?

📋 IP-Adress-Konzept

Pro Subnetz: Funktion, Reservierungen, DHCP-Range. Idealerweise in IPAM-Tool gepflegt.

🔥 Firewall-Regelwerk

Welche Verbindungen sind zwischen welchen Zonen erlaubt? Mit Begründung pro Regel.

🌐 VLAN-Übersicht

Welche VLANs gibt es, welche Switches sind beteiligt, welche Trunks sind eingerichtet.

🛣 Routing-Konzept

Default-Routen, statische Routen, BGP-Konfigs, Site-to-Site-VPN-Verbindungen.

📡 WLAN-Doku

SSIDs, Access Points (Position, Funkkanäle), Authentifizierung, Roaming-Konfiguration.

📞 Geräte-Inventar

Switches, Router, AP mit Modell, Standort, Konfig-Backup-Datum, Wartungsvertrag.

4) Konfigurations-Backup von Netzwerk-Geräten

Ein unterschätzter Teil der Netzwerk-Doku: regelmäßiges Backup der Switch-/Router-Konfigurationen. Wenn ein Gerät ausfällt, muss die Konfig in unter 30 Minuten zurück sein – sonst steht das Netz.

Manuelles Backup: show running-config + Copy-Paste. Funktioniert bei 5 Geräten, skaliert nicht.
Automatisiertes Backup: Tools wie RANCID, Oxidized, SolarWinds NCM, Cisco DNA Center ziehen täglich die Konfig per SSH/SCP.
Git-basiert: Configs werden in Git eingecheckt – Diff bei Änderungen sichtbar, Versionierung gratis.
Restore-Test: mindestens jährlich auf einem Test-Gerät die Wiederherstellung üben.

5) Tools zur Netzwerk-Doku

Tool	Stärke
draw.io / diagrams.net	Kostenlos, Web-/Desktop-basiert. Standard für Netzwerk-Diagramme im Mittelstand.
Lucidchart	Kollaborativ in Echtzeit, gute Vorlagen, kommerzielle Lizenz.
Microsoft Visio	Klassiker, oft in MS-365-Plänen. Sehr feingranular.
NetBox	Open-Source-IPAM/DCIM von DigitalOcean. Sehr beliebt im Enterprise-Bereich. Modelliert IPs, Racks, Cabling, Devices.
phpIPAM	Open Source, fokussiert auf IP-Verwaltung. Einfach einsetzbar.
Cisco DNA Center / Catalyst Center	Cisco-Eigen, vollständige Netzwerk-Kontrolle und Doku.
NinjaOne / Auvik	SaaS für Netzwerk-Discovery + Doku, Mittelstand-Standard.
Oxidized / RANCID	Konfigurations-Backup-Tools.

6) Standortbezogene Doku

Bei Multi-Standort-Setups (Hauptsitz + Niederlassungen) braucht jede Lokation ihre eigene Netzwerk-Doku-Sektion:

Standort-Übersicht: Adresse, Größe, Anzahl User, vorhandene Räume (Serverraum, Patchroom).
WAN-Anbindung: Provider, Bandbreite, Vertragsnummer, Notfall-Hotline.
Site-to-Site-VPN: Konfiguration, Pre-Shared-Keys (sicher abgelegt!), Routing.
Lokales LAN: Topologie, Switches, Patchfeld-Doku.
Verantwortliche vor Ort: wer hat Zutritt zum Serverraum, wer hat Schlüssel?

7) Antipatterns

Visio-Plan von vor 5 Jahren. Stimmt mit nichts mehr überein. Anwendung führt zu Verwirrung. Lösung: Plan bei jedem Netz-Change aktualisieren.
Plan ohne Legende. Symbole, Linien-Stile, Farben sind nicht selbsterklärend. Lösung: Legende immer dabei.
IPs nicht im IPAM. Excel-Liste von 2019. Doppelvergaben passieren. Lösung: IPAM-Tool als verbindliche Quelle.
Patchfeld nicht beschriftet. 48 Ports, keine Label – kein Mensch weiß mehr, was wo hängt. Lösung: jede Patch-Änderung wird in der Doku UND am Patchfeld gepflegt.
WLAN-Passwörter im Klartext im Wiki. Sicherheitsproblem. Lösung: Passwörter im Vault, im Wiki nur Hinweis.
Firewall-Regeln ohne Begründung. Niemand weiß mehr, warum Port 8443 zwischen DMZ und Office offen ist. Lösung: jede Regel kommentieren (Ticket-Referenz).
Switch-Configs nur lokal auf dem Switch. Bei Gerätedefekt komplettes Neukonfigurieren nötig. Lösung: automatisiertes Konfig-Backup.
Doku nur in OneNote auf dem Admin-Laptop. Bei dessen Ausfall weg. Lösung: zentrale, redundante Ablage.

Zusammenfassung

Netzwerk-Doku besteht aus mehreren Bausteinen: logischer Plan (Topologie, Zonen, VLANs), physischer Plan (Racks, Patchfeld, Verkabelung), IP-Adress-Konzept mit Reservierungen und DHCP-Ranges, Firewall-Regelwerk mit Begründungen, Geräte-Inventar. Konfigurations-Backup der Netzwerk-Geräte ist Pflicht (RANCID, Oxidized, Git). Standard-Tools: draw.io für Diagramme, NetBox / phpIPAM für IP-Verwaltung. Wichtigste Disziplin: bei jedem Netz-Change die Doku synchron pflegen – Switch-Configs ohne Backup, unbeschriftete Patchfelder und 5 Jahre alte Visio-Pläne sind die häufigsten Sünden.

Verwandte Lektionen: Betriebshandbuch · Server-Doku · CMDB · und mehrWeitere relevante LektionenFirewall/IDS/IPS Warum Doku Wiki-Systeme SNMP-Monitoring DNS Ansible Prozess-Doku