Die Trennung des Administrationspfads vom Produktionsverkehr ist ein zentraler Bestandteil der Netzwerk-Hardening-Strategie. Auf Cisco-Routern kann dies durch den Einsatz eines dedizierten Management-VRFs umgesetzt werden. Management-VRFs isolieren administrative Zugriffe wie SSH, SNMP oder Syslog vom regulären Produktions-Traffic und reduzieren somit das Risiko von Lateral Movement und unautorisierten Zugriffen.
Grundprinzipien eines Management-VRF
- Isolation: Management-Traffic wird über einen separaten Routing-Table geführt
- Segregation: Produktions- und User-Traffic bleiben strikt getrennt
- Sicherheit: Zugriff auf das Management-VRF nur für autorisierte Admin-Subnets
- Kontrolle: Policies, ACLs und Logging speziell für Management implementiert
Management-VRF konfigurieren
1. VRF erstellen
ip vrf MGMT
rd 100:1
route-target export 100:1
route-target import 100:1- RD (Route Distinguisher) und Route-Targets definieren
- Ermöglicht spätere Integration in MPLS- oder VPN-Umgebungen
2. Management-Interface zuweisen
interface GigabitEthernet0/0
vrf forwarding MGMT
ip address 10.10.10.1 255.255.255.0
no shutdown- Dediziertes Interface oder Subinterface für Management-Traffic
- Keine gemeinsame Nutzung mit Produktions-VLANs
3. ACLs für Management definieren
ip access-list standard MGMT-ACL
permit 10.10.10.0 0.0.0.255
deny ip any any
line vty 0 4
access-class MGMT-ACL in
transport input ssh- Zugriff nur von autorisierten Admin-Subnets erlauben
- Telnet deaktivieren, nur SSH zulassen
Integration von AAA und Logging
Die Authentifizierung und Protokollierung auf dem Management-VRF sollte zentral und auditierbar erfolgen:
aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
logging host 10.10.10.200
service timestamps log datetime msec localtime- TACACS+/RADIUS für zentrale Authentifizierung
- AAA-Fallback auf lokale Accounts nur für Notfälle
- Syslog-Server für Audit und Monitoring einbinden
SNMP und Monitoring im Management-VRF
SNMP-Traps und Monitoring-Daten sollten ebenfalls über das isolierte Management-VRF laufen:
snmp-server group NETOPS v3 auth
snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass
snmp-server host vrf MGMT 10.10.10.100 version 3 auth netadmin- Nur SNMPv3 verwenden, alte Versionen deaktivieren
- Trap-Hosts auf autorisierte Monitoring-Server beschränken
- Monitoring über dediziertes Management-Netzwerk
Best Practices für Management-VRF
- Dediziertes Interface oder Subnet für Management nutzen
- ACLs strikt auf autorisierte Admin-Subnets beschränken
- SSH und SNMPv3 für verschlüsselte Kommunikation
- AAA und Logging zentralisieren und auditierbar gestalten
- CoPP und Rate-Limits auf Management-Interface anwenden
- Regelmäßige Reviews und Tests der Management-VRF-Konfiguration
Praxisbeispiel CLI-Zusammenfassung
! Management-VRF erstellen
ip vrf MGMT
rd 100:1
route-target export 100:1
route-target import 100:1
! Interface zuweisen
interface GigabitEthernet0/0
vrf forwarding MGMT
ip address 10.10.10.1 255.255.255.0
no shutdown
! ACL für Management
ip access-list standard MGMT-ACL
permit 10.10.10.0 0.0.0.255
deny ip any any
line vty 0 4
access-class MGMT-ACL in
transport input ssh
! AAA & Logging
aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
logging host 10.10.10.200
service timestamps log datetime msec localtime
! SNMP im Management-VRF
snmp-server group NETOPS v3 auth
snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass
snmp-server host vrf MGMT 10.10.10.100 version 3 auth netadmin
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
