Ein sauber gesetztes Passwortkonzept ist die Grundlage für sichere Cisco-Router-Administration. In Cisco IOS unterscheidest du zwischen Zugriff auf die CLI (Console/VTY), privilegiertem Modus (Enable) und optionaler Nutzerverwaltung (lokale User, AAA). Dieses Tutorial zeigt dir die wichtigsten Varianten – inklusive Best Practices für Einsteiger und professionelle Umgebungen.
Passwortarten im Cisco IOS: Was schützt was?
Bevor du Befehle setzt, ist die Abgrenzung wichtig: Console/VTY steuern den Login-Zugang, enable secret schützt den Wechsel in den privilegierten Modus und lokale Benutzerkonten regeln Identität und Rechte.
line console 0: Zugriff über Konsolenport (physischer Zugriff)line vty: Remote-Zugriff (SSH/Telnet, typischerweise SSH)enable secret: Privileged EXEC (Prompt#)username ... secret ...: Lokale Benutzer (Login mit Benutzername/Passwort)
Enable Secret setzen: Standard für privilegierten Zugriff
enable secret ist der empfohlene Weg, um den privilegierten Modus abzusichern. Er ist kryptografisch besser geschützt als das veraltete enable password und sollte in produktiven Umgebungen immer genutzt werden.
Router> enable
Router# configure terminal
Router(config)# enable secret Str0ngEnableSecret!
Router(config)# endEnable Password vermeiden
enable password ist historisch und sollte nicht verwendet werden. Wenn beides existiert, bevorzugt IOS in der Regel enable secret.
Router(config)# no enable passwordLogin auf der Konsole absichern: Passwort oder lokaler Benutzer
Für die Konsole gibt es zwei gängige Varianten: ein simples Line-Passwort oder der Login über lokale Benutzer. Für nachvollziehbare Administration ist login local die bessere Wahl.
Variante A: Einfaches Konsolenpasswort (für Lab/Übungen)
Diese Methode ist schnell, bietet aber keine Benutzeridentität. Geeignet für kleine Labs, nicht für professionelle Umgebungen.
Router# configure terminal
Router(config)# line console 0
Router(config-line)# password C0nsolePass!
Router(config-line)# login
Router(config-line)# exec-timeout 10 0
Router(config-line)# logging synchronous
Router(config-line)# endVariante B: Konsole mit lokalem Benutzer (Best Practice)
Hier meldest du dich mit Benutzername/Passwort an. Das ist skalierbarer, auditierbarer und harmoniert später mit AAA-Konzepten.
Router# configure terminal
Router(config)# username admin privilege 15 secret Str0ngAdminSecret!
Router(config)# line console 0
Router(config-line)# login local
Router(config-line)# exec-timeout 10 0
Router(config-line)# logging synchronous
Router(config-line)# endRemote-Zugriff (VTY) absichern: SSH + Login Local
VTY-Lines steuern Remote-Sessions. Best Practice ist SSH mit lokalen Benutzern und deaktiviertem Telnet. So sind Zugangsdaten und Session verschlüsselt.
Lokalen User anlegen und VTY auf SSH beschränken
Router# configure terminal
Router(config)# username admin privilege 15 secret Str0ngAdminSecret!
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 0
Router(config-line)# end
SSH aktivieren (RSA-Key + Domain)
Für SSH benötigt IOS einen Domain-Namen und einen RSA-Key. Danach aktivierst du SSH Version 2.
Router# configure terminal
Router(config)# ip domain-name lab.local
Router(config)# crypto key generate rsa modulus 2048
Router(config)# ip ssh version 2
Router(config)# endPasswort-Verschlüsselung und sichere Speicherung
IOS kann einige Passwörter in der Konfiguration verschleiern. Das ersetzt keine starken Secrets, reduziert aber das Risiko bei „Shoulder Surfing“ oder unkontrollierten Konfig-Exports.
service password-encryption (nur obfuscation)
Diese Funktion verschleiert bestimmte Line-Passwörter (Type 7). Das ist keine starke Kryptografie, aber besser als Klartext in der Running-Config.
Router# configure terminal
Router(config)# service password-encryption
Router(config)# endPrüfen, was in der Konfiguration steht
Router# show running-config | include enable secret|username|password|service password-encryption
Router# show running-config | section line console
Router# show running-config | section line vtyBest Practices für starke Passwörter und Governance
Ein gutes Passwort ist nicht nur „lang“, sondern auch robust gegen Wörterbuch- und Bruteforce-Angriffe. Kombiniere das mit klaren Rollen, minimalen Privilegien und Zugriffsbeschränkungen.
- Mindestens 14–16 Zeichen, Mischung aus Groß/Klein, Zahlen, Sonderzeichen
- Keine Wörter aus Wörterbüchern, keine Firmen-/Standortnamen
- Unterschiedliche Secrets für Enable und Benutzerkonten
- Regelmäßiger Wechsel gemäß Sicherheitsrichtlinie
- Admin-Accounts nur für Admin-Aufgaben, sonst geringere Privilegien
Privilege sinnvoll nutzen (rollenbasiert im Kleinen)
Für Junior-Admins oder Betriebsteams kann ein Benutzer mit geringeren Rechten sinnvoll sein. Privilege-Levels sollten bewusst vergeben werden.
Router# configure terminal
Router(config)# username operator privilege 5 secret 0p3ratorSecret!
Router(config)# endZugriff zusätzlich einschränken: Management-ACL für VTY
Passwörter alleine reichen nicht. Beschränke Remote-Zugriff auf ein dediziertes Admin-Netz und blockiere alles andere. Das reduziert die Angriffsfläche deutlich.
Nur SSH aus Admin-Subnetz erlauben
Router# configure terminal
Router(config)# ip access-list standard VTY_MGMT
Router(config-std-nacl)# permit 192.168.50.0 0.0.0.255
Router(config-std-nacl)# deny any
Router(config-std-nacl)# exit
Router(config)# line vty 0 4
Router(config-line)# access-class VTY_MGMT in
Router(config-line)# end
Häufige Fehler und schnelle Lösungen
Probleme entstehen oft durch fehlende Login-Statements, falschen Transport oder vergessene SSH-Keys. Prüfe zuerst die Line-Konfiguration, dann User/Enable, anschließend SSH-Status.
VTY akzeptiert kein SSH
Router# show ip ssh
Router# show running-config | section line vtyLogin klappt lokal, aber enable wird nicht akzeptiert
Router# show running-config | include enable secret
Router# configure terminal
Router(config)# enable secret NewStr0ngEnableSecret!
Router(config)# endKonsole fragt kein Passwort ab
Dann fehlt entweder login (bei Line-Passwort) oder login local (bei lokalem Benutzer). Stelle sicher, dass mindestens eine Methode aktiv ist.
Router# show running-config | section line console
Router# configure terminal
Router(config)# line console 0
Router(config-line)# login local
Router(config-line)# endÄnderungen sichern: Konfiguration speichern
Passwortänderungen wirken sofort in der Running-Config, sind aber nach einem Neustart weg, wenn du nicht speicherst. Sichere daher immer nach erfolgreichen Tests.
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.