March 3, 2026

Cisco Switch per SSH verwalten: Sichere Remote-Konfiguration

Die Verwaltung eines Cisco Switches per SSH ist der Standard für sichere Remote-Konfiguration: Zugangsdaten werden verschlüsselt übertragen, Sessions sind kontrollierbar und der Zugriff lässt sich präzise einschränken. Damit SSH zuverlässig funktioniert, brauchst du eine saubere Management-IP, korrekt konfigurierte VTY-Lines und grundlegende Security-Best-Practices. Diese Anleitung zeigt den kompletten Praxisweg von „kein Remote-Zugriff“ bis „harter, sicherer SSH-Betrieb“.

Voraussetzungen: Management-Zugang und Basis-Checks

SSH setzt eine erreichbare Management-IP voraus. In der Erstinbetriebnahme erfolgt die Konfiguration meist über die Konsole, anschließend wird SSH für den Alltag aktiviert.

  • Management-VLAN/SVI mit IP-Adresse ist aktiv (up/up)
  • Default-Gateway ist gesetzt (bei Layer-2-Switches)
  • Netzpfad erlaubt TCP/22 zwischen Admin-Host und Switch
show ip interface brief
show running-config interface vlan 99
show running-config | include ip default-gateway
ping 192.168.99.1

Typische Ursache: SVI bleibt down

Ein SVI wird erst up, wenn mindestens ein Port in diesem VLAN aktiv ist. Weise dafür einen Port als Access-Port ins Management-VLAN zu.

configure terminal
vlan 99
 name MGMT
exit

interface vlan 99
 ip address 192.168.99.10 255.255.255.0
 no shutdown
exit

interface gigabitEthernet 1/0/24
 description MGMT-ACCESS
 switchport mode access
 switchport access vlan 99
 spanning-tree portfast
exit

ip default-gateway 192.168.99.1
end

SSH aktivieren: Domain, RSA-Keys und SSH-Version

Auf Cisco IOS wird SSH typischerweise durch Domain-Name, RSA-Schlüssel und SSH v2 aktiviert. Ohne RSA-Keys ist kein SSH-Serverdienst verfügbar.

configure terminal
ip domain-name corp.local
crypto key generate rsa modulus 2048
ip ssh version 2
end

SSH-Status prüfen

Wenn SSH nicht geht, prüfe zuerst, ob SSH v2 aktiv ist und ob Keys existieren. Danach VTY-Konfiguration und ACLs.

show ip ssh
show crypto key mypubkey rsa
show running-config | include ip domain-name

Benutzer, Authentifizierung und VTY-Lines korrekt konfigurieren

Die VTY-Lines steuern Remote-Logins. Für sicheren Betrieb nutzt du lokale Benutzerkonten (oder AAA) und erlaubst ausschließlich SSH.

Lokalen Admin-User anlegen und Enable-Secret setzen

Nutze secret statt password, um Hashing zu erzwingen. Zusätzlich sollte ein enable secret gesetzt sein.

configure terminal
enable secret <SICHERES_ENABLE_SECRET>
username admin privilege 15 secret <SICHERES_PASSWORT>
service password-encryption
end

VTY-Lines auf SSH einschränken

Telnet deaktivierst du, indem du nur SSH als Transport zulässt. Timeout reduziert das Risiko vergessener Sessions.

configure terminal
line vty 0 4
 login local
 transport input ssh
 exec-timeout 10 0
 logging synchronous
exit
end

Mehr gleichzeitige Sessions (optional)

Je nach Plattform sind zusätzliche VTY-Lines verfügbar. Für Teams oder Automatisierung können mehrere Lines sinnvoll sein.

configure terminal
line vty 0 15
 login local
 transport input ssh
 exec-timeout 10 0
exit
end

Zugriff härten: ACLs, Quellnetze, Banner und Logging

SSH ist verschlüsselt, aber nicht automatisch „sicher“. Entscheidend ist, wer überhaupt verbinden darf, wie Zugriffe protokolliert werden und ob unerwünschte Quellnetze blockiert sind.

SSH-Zugriff auf Admin-Netze begrenzen

Erstelle eine Standard-ACL mit erlaubten Admin-IPs und binde sie inbound an die VTY-Lines. So wird TCP/22 nur aus definierten Netzen akzeptiert.

configure terminal
ip access-list standard ACL-MGMT-SSH
 permit 192.168.99.0 0.0.0.255
 deny any
exit

line vty 0 15
 access-class ACL-MGMT-SSH in
exit
end

Login-Banner und Login-Logging aktivieren

Ein Banner ist häufig Bestandteil von Compliance. Login-Events helfen bei der Nachvollziehbarkeit von Zugriffen.

configure terminal
banner motd ^C
Unbefugter Zugriff verboten. Nutzung wird protokolliert.
^C
login on-failure log
login on-success log
end

Optional: Management-Zugriff zusätzlich per Interface-ACL schützen

Wenn dein Design ein dediziertes Management-VLAN nutzt, kannst du den Zugriff auch auf dem SVI weiter einschränken (z. B. nur Admin-Subnetz). Das ergänzt VTY-ACLs.

configure terminal
ip access-list extended ACL-MGMT-SVI
 permit tcp 192.168.99.0 0.0.0.255 host 192.168.99.10 eq 22
 permit icmp 192.168.99.0 0.0.0.255 host 192.168.99.10
 deny ip any host 192.168.99.10
 permit ip any any
exit

interface vlan 99
 ip access-group ACL-MGMT-SVI in
end

SSH-Clients: Verbindung und typische Kommandos im Alltag

Der Zugriff erfolgt per SSH-Client (Windows/macOS/Linux). Für Betrieb und Troubleshooting ist es sinnvoll, direkt nach Login grundlegende Status-Checks auszuführen.

ssh admin@192.168.99.10

Erste Checks nach dem Login

So erkennst du schnell: stimmt die Plattform, sind Ports up, ist Management erreichbar und gibt es Fehler in Logs.

show version
show ip interface brief
show interfaces status
show vlan brief
show interfaces trunk
show logging

Session-Sicherheit: Timeouts, Exec-Policy und privilegierte Rechte

Unbeaufsichtigte Sessions sind ein Risiko. Setze Timeouts und vermeide, dass alle Nutzer automatisch höchste Rechte erhalten, wenn es nicht notwendig ist.

Idle-Timeout und Session-Parameter

configure terminal
line vty 0 15
 exec-timeout 10 0
 session-timeout 15
exit
end

Privilegien differenzieren (optional)

In professionellen Umgebungen erhalten nicht alle Benutzer Privilege 15. Für Einsteiger reicht oft ein Admin-User, für Teams sind Rollen sinnvoll (z. B. Read-Only).

configure terminal
username readonly privilege 5 secret <PASSWORT>
end

AAA und zentrale Authentifizierung (Kurzüberblick)

Für größere Umgebungen wird SSH häufig mit AAA (TACACS+/RADIUS) betrieben. Das erlaubt zentrale Benutzerverwaltung, Rollen und Accounting.

  • Zentrale Benutzerverwaltung (kein локales User-Chaos)
  • Accounting: wer hat wann was getan
  • Rollen/Policies pro Benutzergruppe
show running-config | include aaa

Troubleshooting: Wenn SSH nicht funktioniert

Wenn die Verbindung scheitert, prüfe systematisch: Erreichbarkeit, TCP/22, SSH-Status, VTY-Lines, ACLs und Keys. So findest du die Ursache meist in wenigen Minuten.

Reachability und Routing prüfen

ping 192.168.99.10
ping 192.168.99.1
show ip route
show arp

SSH-Dienst und Keys prüfen

show ip ssh
show crypto key mypubkey rsa
show running-config | include ip ssh|ip domain-name

VTY-Konfiguration und Zugriffsbeschränkungen prüfen

show running-config | section line vty
show access-lists
show users

Logs und Auth-Events auswerten

In den Logs erkennst du ACL-Drops, Login-Fehler oder Security-Mechanismen wie Port-Security/err-disabled, die indirekt Auswirkungen haben können.

show logging
show logging | include SSH|SEC|AUTH|ACL|DENY

Best Practices für sicheren SSH-Betrieb auf Cisco Switches

Die folgenden Maßnahmen sind in der Praxis bewährt und bringen Sicherheit ohne unnötige Komplexität. Besonders wichtig sind Zugriffsbeschränkung, sichere Credentials und saubere Betriebsprozesse.

  • Nur SSH erlauben, Telnet konsequent deaktivieren
  • SSH v2 nutzen, RSA-Schlüssel mindestens 2048 Bit
  • Dediziertes Management-VLAN und eingeschränkte Admin-Quellnetze
  • VTY per ACL begrenzen (Access-Class) und Idle-Timeout setzen
  • Lokale Accounts nur als Fallback, bevorzugt AAA (TACACS+/RADIUS)
  • Konfiguration versionieren und vor Changes sichern
  • Logs aktiv nutzen und Login-Events protokollieren
copy running-config startup-config
show running-config | include username|enable secret|ip ssh

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer