AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

AAA (Authentication, Authorization, Accounting) auf Cisco-Routern ist der Standardweg, um Adminzugriffe sicher, nachvollziehbar und skalierbar zu betreiben. Statt Shared Accounts und lokaler Passwörter nutzen Sie zentrale Identitäten (TACACS+ oder RADIUS), rollenbasierte Rechte (RBAC/Command Authorization) und einen Audit Trail („wer hat was wann getan“). In Enterprise-Umgebungen ist AAA nicht nur „nice to have“, sondern ein Kernelement von Compliance, Vendor-Zugriffssicherheit und Incident-Forensik. Dieser Leitfaden zeigt ein praxistaugliches AAA-Design für Cisco IOS/IOS XE – inklusive Betriebskonzept, Fallback-Strategie (Break-Glass) und Evidence-Checks.

AAA-Grundlagen: Was TACACS+ und RADIUS jeweils leisten

Beide Protokolle können Authentication und Accounting. Im Netzwerkbetrieb wird TACACS+ häufig für Device-Administration bevorzugt, weil Authorization feiner steuerbar ist. RADIUS ist sehr verbreitet für Netzwerkzugang (802.1X/VPN), kann aber auch für Device-Login genutzt werden.

• TACACS+: detaillierte Authorization (z. B. Exec/Commands), gute Adminsteuerung
• RADIUS: weit verbreitet, stark im Access-Use-Case, Accounting etabliert
• Best Practice: TACACS+ für Router-Admin, RADIUS für Access/VPN (je nach Umgebung)

Designziel: Identität, Least Privilege und Audit Trail

AAA-Design beginnt mit Governance: Welche Rollen gibt es, welche Rechte benötigen sie, und wie wird Zugriff nachvollziehbar dokumentiert? Definieren Sie das als Policy, nicht nur als Konfiguration.

• Authentication: individuelle Nutzerkonten (keine Shared Accounts)
• Authorization: Rollen (Read-only, Ops, Admin) und klare Privileges
• Accounting: Exec- und optional Command-Accounting (für Audits)
• Fallback: Break-Glass lokal, streng geregelt und rotiert

Architektur: AAA-Flow und Abhängigkeiten

Ein Router muss AAA-Server erreichen können. Planen Sie daher IP-Connectivity, DNS (optional), NTP und Logging, damit AAA-Ereignisse korrelierbar sind. Trennen Sie Managementpfad und Produktionspfad, wenn möglich.

• MGMT-Netz oder Bastion: kontrollierter Zugriffspfad
• NTP: korrekte Zeitbasis für Accounting und Logs
• Syslog: zentrale Sicht auf Login/AAA Events
• Redundanz: mindestens zwei AAA-Server

Policy-Definition: Rollenmodell und Privilege-Levels

Leitplanke: „Least Privilege“. Nicht jeder braucht Level 15. Definieren Sie mindestens drei Rollen, die Sie später in TACACS+/RADIUS abbilden.

• Role 1: Read-only (Show/Diagnostics)
• Role 2: Ops (begrenzte Config-Änderungen nach SOP)
• Role 3: Admin (voller Zugriff, aber mit Accounting)

Hinweis zur Praxis

Privilege-Levels sind grob, Command Authorization ist feiner. Wenn Ihr TACACS+ dies unterstützt, ist Command Authorization für Enterprise-Umgebungen häufig der bessere Weg.

Implementierung: TACACS+ AAA Baseline (IOS/IOS XE)

Diese Baseline ist ein praxistauglicher Startpunkt: TACACS+ als primäre Quelle, lokaler Fallback für Notfälle. Ergänzen Sie MGMT-Only (VTY Access-Class) separat als Pflichtkontrolle.

CLI: TACACS+ Server und AAA-Methoden

aaa new-model
tacacs server TACACS1

address ipv4 10.10.10.10

key 
tacacs server TACACS2

address ipv4 10.10.10.11

key 
aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

CLI: Accounting (Exec + Commands)

aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

CLI: Lokaler Break-Glass Account (Beispiel)

username breakglass privilege 15 secret <STRONG_SECRET>

Implementierung: RADIUS AAA Baseline (Device Login)

Wenn Sie RADIUS für Router-Admin einsetzen, ist das Vorgehen ähnlich. In vielen Umgebungen wird RADIUS parallel betrieben (z. B. für andere Use Cases). Wichtig ist auch hier: Redundanz und sauberer Fallback.

CLI: RADIUS Server und AAA-Methoden

aaa new-model
radius server RAD1

address ipv4 10.10.20.10 auth-port 1812 acct-port 1813

key 
radius server RAD2

address ipv4 10.10.20.11 auth-port 1812 acct-port 1813

key 
aaa authentication login default group radius local

aaa authorization exec default group radius local

aaa accounting exec default start-stop group radius

aaa accounting commands 15 default start-stop group radius

Fail-Safe Design: Was passiert, wenn AAA ausfällt?

AAA-Ausfälle dürfen nicht zum „Lockout“ führen. Definieren Sie Fallback-Regeln und testen Sie sie im Lab und im Change Window.

• Local fallback: in der Login-Methodenliste enthalten
• Break-Glass Prozess: Nutzung nur per Ticket, Rotation nach Nutzung
• OOB/Console Zugriff: für Worst Case (insbesondere Remote Sites)
• Timeboxing: Vendor-Zugriff zeitlich begrenzt, keine Daueraccounts

Betrieb: Monitoring und Audit Trail für AAA

AAA ist nur dann auditfähig, wenn Accounting ankommt und Logs korrelierbar sind. Definieren Sie ein Minimum an KPIs und regelmäßigen Checks.

• AAA Health: Erreichbarkeit AAA-Server, Auth-Erfolgsrate (wenn Tooling vorhanden)
• Audit Trail: Exec/Command Accounting wird gespeichert (SIEM/AAA-Server)
• Security: Alarm bei wiederholten Login-Fails
• Compliance: regelmäßiger Check, ob local-only Accounts existieren

CLI: AAA Evidence Checks

show running-config | include aaa
show running-config | include tacacs|radius
show running-config | include accounting
show users
show logging | include AAA|TACACS|RADIUS|LOGIN

Integration in Management-Plane-Sicherheit: MGMT-Only plus AAA

AAA ersetzt nicht MGMT-Only. Ein production-grade Setup kombiniert beides: Der Zugriff ist nur aus dem Managementnetz möglich und zusätzlich identitätsbasiert.

CLI: MGMT-Only (Beispiel)

ip access-list standard MGMT_ONLY
 permit 10.10.10.0 0.0.0.255
 deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

Change Management: AAA sicher ausrollen ohne Lockout

AAA-Changes sind riskant. Nutzen Sie ein kontrolliertes Vorgehen mit Pre-/Post-Checks und Rollback. Besonders wichtig ist ein „Test-User“ und ein paralleler Console-Zugang.

• Pre-Checks: aktueller Login, VTY-Policy, NTP/Syslog ok
• Staging: AAA zuerst konfigurieren, aber nicht sofort erzwingen
• Test: Login über TACACS+/RADIUS, dann local fallback testen
• Commit: erst nach erfolgreichem Test und Evidence
• Rollback: AAA entfernen oder Method List auf local-only zurück

CLI: AAA Rollback (Minimal, Template)

no aaa authentication login default
no aaa authorization exec default
no aaa accounting exec default
no aaa accounting commands 15 default

Standard Evidence Pack: Copy/Paste für Abnahme und Audit

Dieses Evidence Pack zeigt die wichtigsten AAA-Kontrollen und eignet sich für Abnahmeprotokolle und Audits. Ergänzen Sie NTP/Syslog, damit Zeit und Logs stimmen.

terminal length 0
show clock
show ntp status
show ip ssh
show running-config | include line vty|access-class|transport input|exec-timeout
show running-config | include aaa
show running-config | include tacacs|radius
show running-config | include accounting
show users
show logging | last 100

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.