AAA (Authentication, Authorization, Accounting) auf Cisco-Routern ist der Standardweg, um Adminzugriffe sicher, nachvollziehbar und skalierbar zu betreiben. Statt Shared Accounts und lokaler Passwörter nutzen Sie zentrale Identitäten (TACACS+ oder RADIUS), rollenbasierte Rechte (RBAC/Command Authorization) und einen Audit Trail („wer hat was wann getan“). In Enterprise-Umgebungen ist AAA nicht nur „nice to have“, sondern ein Kernelement von Compliance, Vendor-Zugriffssicherheit und Incident-Forensik. Dieser Leitfaden zeigt ein praxistaugliches AAA-Design für Cisco IOS/IOS XE – inklusive Betriebskonzept, Fallback-Strategie (Break-Glass) und Evidence-Checks.
AAA-Grundlagen: Was TACACS+ und RADIUS jeweils leisten
Beide Protokolle können Authentication und Accounting. Im Netzwerkbetrieb wird TACACS+ häufig für Device-Administration bevorzugt, weil Authorization feiner steuerbar ist. RADIUS ist sehr verbreitet für Netzwerkzugang (802.1X/VPN), kann aber auch für Device-Login genutzt werden.
- TACACS+: detaillierte Authorization (z. B. Exec/Commands), gute Adminsteuerung
- RADIUS: weit verbreitet, stark im Access-Use-Case, Accounting etabliert
- Best Practice: TACACS+ für Router-Admin, RADIUS für Access/VPN (je nach Umgebung)
Designziel: Identität, Least Privilege und Audit Trail
AAA-Design beginnt mit Governance: Welche Rollen gibt es, welche Rechte benötigen sie, und wie wird Zugriff nachvollziehbar dokumentiert? Definieren Sie das als Policy, nicht nur als Konfiguration.
- Authentication: individuelle Nutzerkonten (keine Shared Accounts)
- Authorization: Rollen (Read-only, Ops, Admin) und klare Privileges
- Accounting: Exec- und optional Command-Accounting (für Audits)
- Fallback: Break-Glass lokal, streng geregelt und rotiert
Architektur: AAA-Flow und Abhängigkeiten
Ein Router muss AAA-Server erreichen können. Planen Sie daher IP-Connectivity, DNS (optional), NTP und Logging, damit AAA-Ereignisse korrelierbar sind. Trennen Sie Managementpfad und Produktionspfad, wenn möglich.
- MGMT-Netz oder Bastion: kontrollierter Zugriffspfad
- NTP: korrekte Zeitbasis für Accounting und Logs
- Syslog: zentrale Sicht auf Login/AAA Events
- Redundanz: mindestens zwei AAA-Server
Policy-Definition: Rollenmodell und Privilege-Levels
Leitplanke: „Least Privilege“. Nicht jeder braucht Level 15. Definieren Sie mindestens drei Rollen, die Sie später in TACACS+/RADIUS abbilden.
- Role 1: Read-only (Show/Diagnostics)
- Role 2: Ops (begrenzte Config-Änderungen nach SOP)
- Role 3: Admin (voller Zugriff, aber mit Accounting)
Hinweis zur Praxis
Privilege-Levels sind grob, Command Authorization ist feiner. Wenn Ihr TACACS+ dies unterstützt, ist Command Authorization für Enterprise-Umgebungen häufig der bessere Weg.
Implementierung: TACACS+ AAA Baseline (IOS/IOS XE)
Diese Baseline ist ein praxistauglicher Startpunkt: TACACS+ als primäre Quelle, lokaler Fallback für Notfälle. Ergänzen Sie MGMT-Only (VTY Access-Class) separat als Pflichtkontrolle.
CLI: TACACS+ Server und AAA-Methoden
aaa new-model
tacacs server TACACS1
address ipv4 10.10.10.10
key
tacacs server TACACS2
address ipv4 10.10.10.11
key
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
CLI: Accounting (Exec + Commands)
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+CLI: Lokaler Break-Glass Account (Beispiel)
username breakglass privilege 15 secret <STRONG_SECRET>Implementierung: RADIUS AAA Baseline (Device Login)
Wenn Sie RADIUS für Router-Admin einsetzen, ist das Vorgehen ähnlich. In vielen Umgebungen wird RADIUS parallel betrieben (z. B. für andere Use Cases). Wichtig ist auch hier: Redundanz und sauberer Fallback.
CLI: RADIUS Server und AAA-Methoden
aaa new-model
radius server RAD1
address ipv4 10.10.20.10 auth-port 1812 acct-port 1813
key
radius server RAD2
address ipv4 10.10.20.11 auth-port 1812 acct-port 1813
key
aaa authentication login default group radius local
aaa authorization exec default group radius local
aaa accounting exec default start-stop group radius
aaa accounting commands 15 default start-stop group radius
Fail-Safe Design: Was passiert, wenn AAA ausfällt?
AAA-Ausfälle dürfen nicht zum „Lockout“ führen. Definieren Sie Fallback-Regeln und testen Sie sie im Lab und im Change Window.
- Local fallback: in der Login-Methodenliste enthalten
- Break-Glass Prozess: Nutzung nur per Ticket, Rotation nach Nutzung
- OOB/Console Zugriff: für Worst Case (insbesondere Remote Sites)
- Timeboxing: Vendor-Zugriff zeitlich begrenzt, keine Daueraccounts
Betrieb: Monitoring und Audit Trail für AAA
AAA ist nur dann auditfähig, wenn Accounting ankommt und Logs korrelierbar sind. Definieren Sie ein Minimum an KPIs und regelmäßigen Checks.
- AAA Health: Erreichbarkeit AAA-Server, Auth-Erfolgsrate (wenn Tooling vorhanden)
- Audit Trail: Exec/Command Accounting wird gespeichert (SIEM/AAA-Server)
- Security: Alarm bei wiederholten Login-Fails
- Compliance: regelmäßiger Check, ob local-only Accounts existieren
CLI: AAA Evidence Checks
show running-config | include aaa
show running-config | include tacacs|radius
show running-config | include accounting
show users
show logging | include AAA|TACACS|RADIUS|LOGINIntegration in Management-Plane-Sicherheit: MGMT-Only plus AAA
AAA ersetzt nicht MGMT-Only. Ein production-grade Setup kombiniert beides: Der Zugriff ist nur aus dem Managementnetz möglich und zusätzlich identitätsbasiert.
CLI: MGMT-Only (Beispiel)
ip access-list standard MGMT_ONLY
permit 10.10.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
exec-timeout 10 0
Change Management: AAA sicher ausrollen ohne Lockout
AAA-Changes sind riskant. Nutzen Sie ein kontrolliertes Vorgehen mit Pre-/Post-Checks und Rollback. Besonders wichtig ist ein „Test-User“ und ein paralleler Console-Zugang.
- Pre-Checks: aktueller Login, VTY-Policy, NTP/Syslog ok
- Staging: AAA zuerst konfigurieren, aber nicht sofort erzwingen
- Test: Login über TACACS+/RADIUS, dann local fallback testen
- Commit: erst nach erfolgreichem Test und Evidence
- Rollback: AAA entfernen oder Method List auf local-only zurück
CLI: AAA Rollback (Minimal, Template)
no aaa authentication login default
no aaa authorization exec default
no aaa accounting exec default
no aaa accounting commands 15 defaultStandard Evidence Pack: Copy/Paste für Abnahme und Audit
Dieses Evidence Pack zeigt die wichtigsten AAA-Kontrollen und eignet sich für Abnahmeprotokolle und Audits. Ergänzen Sie NTP/Syslog, damit Zeit und Logs stimmen.
terminal length 0
show clock
show ntp status
show ip ssh
show running-config | include line vty|access-class|transport input|exec-timeout
show running-config | include aaa
show running-config | include tacacs|radius
show running-config | include accounting
show users
show logging | last 100Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
