March 3, 2026

Cisco Switch Hardening Checklist: 25 Maßnahmen für mehr Sicherheit

Eine Hardening-Checkliste hilft, Cisco Switches konsistent und auditierbar abzusichern. Viele Sicherheitsvorfälle entstehen nicht durch „Zero-Days“, sondern durch offene Management-Zugänge, unsichere Defaults, zu breite Trunks oder fehlende Layer-2-Schutzmechanismen. Die folgenden 25 Maßnahmen sind praxisorientiert, schnell überprüfbar und decken Management Plane, Layer-2-Security, Port-Standards, Logging und Betrieb ab. Nutze sie als Baseline-Template für Access- und Distribution-Switches.

Management Plane härten: Zugriff, Identitäten, Protokolle

  • SSH v2 erzwingen und Telnet deaktivieren
  • VTY-Zugriff per ACL nur aus Admin-Netzen erlauben
  • AAA aktivieren (RADIUS/TACACS+) mit lokalem Break-Glass-Fallback
  • Enable Secret setzen (kein enable password)
  • Login-Härtung: Retries/Timeouts und Brute-Force-Blocking
  • Management-IP in dediziertem MGMT-VLAN/VRF betreiben
  • Unsichere/unnötige Dienste deaktivieren (HTTP, alte Services)
  • SNMPv3 statt v2c (keine Klartext-Communities)

Beispiel: SSH + VTY-ACL (kompakt)

configure terminal
ip domain-name corp.local
crypto key generate rsa modulus 2048
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3

ip access-list standard ACL-MGMT-SSH

permit 10.1.99.0 0.0.0.255

deny any

exit


line vty 0 15

transport input ssh

exec-timeout 10 0

access-class ACL-MGMT-SSH in

login local

end

Logging & Zeit: Nachvollziehbarkeit und Incident-Fähigkeit

  • NTP konfigurieren (korrekte Zeitstempel)
  • Syslog zentralisieren und Source-Interface auf MGMT setzen
  • Login-Erfolge/Fehlschläge loggen
  • Konfig-Änderungen nachvollziehbar machen (AAA Accounting/Archivierung)

Beispiel: NTP + Syslog (kompakt)

configure terminal
ntp source vlan 99
ntp server 10.1.99.30
ntp server 10.1.99.31

logging source-interface vlan 99

logging host 10.1.99.70

logging trap notifications

end

Port-Standards: Edge sicher und betrieblich sauber

  • Endgeräte-Ports explizit als Access konfigurieren (kein dynamic)
  • Ungenutzte Ports in Parking-VLAN und administrativ shutdown
  • PortFast auf Edge-Ports aktivieren (schneller Link-Up)
  • BPDU Guard auf Edge-Ports (Rogue-Switch/Loops abfangen)
  • Port-Security (MAC-Limits, optional Sticky) für einfache Edge-Kontrolle
  • Storm Control als Notanker gegen Broadcast/Multicast/Unknown-Unicast

Beispiel: Edge-Port-Template (Access)

configure terminal
interface gigabitEthernet 1/0/10
 description EDGE-CLIENT
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable

switchport port-security

switchport port-security maximum 1

switchport port-security violation restrict


storm-control broadcast level 1.00 0.50

storm-control multicast level 2.00 1.00

storm-control unicast level 2.00 1.00

end

Trunks & VLANs: Secure Trunking statt „allow all“

  • DTP deaktivieren und Trunks statisch konfigurieren
  • Allowed VLANs als Whitelist pflegen (Minimalprinzip)
  • Native VLAN auf ungenutztes VLAN setzen (z. B. 999) und konsistent halten
  • VLAN 1 nicht für User/Management nutzen (Default-VLAN vermeiden)

Beispiel: Sicherer Trunk

configure terminal
vlan 999
 name NATIVE-UNUSED
exit

interface gigabitEthernet 1/0/48

description UPLINK-TRUNK

switchport mode trunk

switchport trunk native vlan 999

switchport trunk allowed vlan 10,20,30,99

switchport nonegotiate

end

Layer-2 Security: Spoofing und Rogue-Services stoppen

  • DHCP Snooping aktivieren (Rogue DHCP blockieren)
  • Trusted Ports nur auf Uplinks/Server-Pfaden setzen
  • DAI aktivieren (ARP Spoofing verhindern)
  • IP Source Guard aktivieren (IP Spoofing am Access-Port verhindern)
  • Rate-Limits für DHCP/ARP auf Edge-Ports setzen

Beispiel: DHCP Snooping + DAI (VLAN 10)

configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping database flash:dhcp_snoop.db

ip arp inspection vlan 10


interface gigabitEthernet 1/0/48

description UPLINK

ip dhcp snooping trust

ip arp inspection trust

exit


interface range gigabitEthernet 1/0/1 - 24

ip dhcp snooping limit rate 15

ip arp inspection limit rate 15

end

STP-Härtung: Loops verhindern und Root-Placement schützen

  • Rapid PVST+ oder MST konsistent nutzen
  • Root Bridge bewusst setzen (Primary/Secondary) auf Distribution/Core
  • Root Guard auf Downlinks Richtung Access (falsche Root verhindern)
  • Loop Guard aktivieren (BPDU-Ausfälle/Unidirectional-Fallen)
  • UDLD auf kritischen Fiber-Uplinks (Einweg-Verbindungen erkennen)

Beispiel: STP Baseline + Guards

configure terminal
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
spanning-tree loopguard default
udld enable
udld aggressive
end

EtherChannel/Uplinks: Redundanz sauber bündeln

  • LACP statt statischer Channels oder PAgP (Standard)
  • Uplinks als Port-Channel statt paralleler Einzeltrunks (weniger STP-Noise)
  • Member-Ports strikt identisch konfigurieren (Range) und Port-Channel separat setzen

Beispiel: LACP Uplink-Port-Channel

configure terminal
interface range gigabitEthernet 1/0/47 - 48
 description UPLINK-LACP
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
 switchport trunk native vlan 999
 channel-group 1 mode active
exit

interface port-channel 1

description UPLINK-LACP

switchport mode trunk

switchport trunk allowed vlan 10,20,30,99

switchport trunk native vlan 999

end

Betrieb & Hygiene: Konfig-Standards, Backups, Updates

  • Konfig regelmäßig sichern (Backup/Versionierung)
  • Firmware/IOS Updates geplant und sicher einspielen
  • Standardisierte Port- und VLAN-Templates verwenden
  • Unnötige VLANs/Trunks entfernen (Angriffsfläche reduzieren)
  • Konfiguration nach Changes speichern und verifizieren

Minimaler Verifikationsblock nach Hardening

show running-config | include ssh|snmp|aaa|dhcp snooping|arp inspection|ip verify source
show interfaces trunk
show spanning-tree summary
show etherchannel summary
show logging
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind