SSH ist der Standard für sicheren Remote-Zugriff auf Cisco Router, weil Passwörter und Befehle verschlüsselt übertragen werden. Im Gegensatz zu Telnet lässt sich SSH sinnvoll absichern: nur SSHv2, lokale Benutzer, starke Schlüssel und Zugriffsbeschränkung per ACL. Diese Schritt-für-Schritt-Anleitung zeigt ein praxistaugliches Setup, das in Lab und Produktion funktioniert.
Voraussetzungen: Management-IP und Basis-Config
Damit SSH funktioniert, muss der Router über eine erreichbare IP-Adresse gemanagt werden (LAN-Interface oder Loopback). Außerdem benötigen viele IOS-Features einen gesetzten Hostname und Domain-Name.
Management-IP (Beispiel am LAN-Interface)
Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# description MGMT-LAN
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# endSchritt 1: Hostname und Domain-Name setzen
Diese Werte werden u. a. für die Generierung der RSA-Schlüssel genutzt. Ohne Domain-Name kann das Key-Setup fehlschlagen.
Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain-name lab.local
R1(config)# endSchritt 2: Lokalen Benutzer anlegen (Best Practice)
Für SSH ist lokale Authentifizierung über username + secret ein solides Standardmuster. Nutze secret statt password, weil es sicherer gespeichert wird.
R1# configure terminal
R1(config)# username netadmin privilege 15 secret Str0ngP@ssw0rd!
R1(config)# endSchritt 3: RSA-Schlüssel erzeugen und SSHv2 erzwingen
RSA-Keys sind die technische Grundlage für SSH. In der Praxis wird mindestens 2048 Bit empfohlen. Danach erzwingst du SSH Version 2.
RSA-Key erzeugen
R1# configure terminal
R1(config)# crypto key generate rsa modulus 2048
R1(config)# endSSHv2 erzwingen
R1# configure terminal
R1(config)# ip ssh version 2
R1(config)# endSSH-Parameter optional härten
Du kannst Login-Retries und Timeout reduzieren, um Brute-Force-Risiko zu senken.
R1# configure terminal
R1(config)# ip ssh time-out 60
R1(config)# ip ssh authentication-retries 2
R1(config)# endSchritt 4: VTY-Lines auf SSH konfigurieren
Die VTY-Lines sind die „Remote-Terminals“. Hier definierst du, dass nur SSH erlaubt ist, und dass gegen die lokale User-Datenbank authentifiziert wird.
VTY für SSH aktivieren
R1# configure terminal
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exec-timeout 10 0
R1(config-line)# endHinweis: Mehr VTY-Lines
Je nach Plattform gibt es mehr als 0–4. Nutze in der Praxis häufig line vty 0 15, wenn verfügbar.
Schritt 5: Zugriff auf Management-Netz begrenzen (ACL gegen Lockouts)
Ein sicherer SSH-Zugang ist nicht „offen für alle“. Begrenze den Zugriff auf definierte Quellnetze (Admin-Netz, Jump Host). Dafür nutzt du auf VTY eine Standard-ACL via access-class.
Standard-ACL für Admin-Netz
R1# configure terminal
R1(config)# ip access-list standard VTY_MGMT
R1(config-std-nacl)# permit 192.168.10.0 0.0.0.255
R1(config-std-nacl)# deny any
R1(config-std-nacl)# endACL an VTY binden
R1# configure terminal
R1(config)# line vty 0 4
R1(config-line)# access-class VTY_MGMT in
R1(config-line)# endOptional: SSH nur über Loopback (stabiler, besser für iBGP/Management)
In größeren Netzen wird Management häufig über eine Loopback-IP gemacht, die per IGP erreichbar ist. Das bleibt stabil, auch wenn ein einzelnes Interface flapped.
Loopback als Management-IP
R1# configure terminal
R1(config)# interface loopback0
R1(config-if)# ip address 10.255.255.1 255.255.255.255
R1(config-if)# endVerifikation: Läuft SSH wirklich?
Prüfe SSH-Status, VTY-Konfig und teste von einem Client aus. So erkennst du sofort, ob Keys, Version, ACL und Login funktionieren.
Router-Seite prüfen
R1# show ip ssh
R1# show running-config | section line vty
R1# show access-lists VTY_MGMTClient-Test (Beispiel)
Client$ ssh netadmin@192.168.10.1Typische Fehler und schnelle Fixes
Wenn SSH nicht erreichbar ist, liegt es oft an fehlenden RSA-Keys, falschen VTY-Einstellungen oder einer ACL, die dich aussperrt. Prüfe außerdem Routing und Interface-Status.
- Keine RSA-Keys vorhanden →
crypto key generate rsafehlt - Telnet noch erlaubt →
transport input sshnicht gesetzt - Login nicht lokal →
login localfehlt - ACL blockiert →
access-classmatcht nicht - Management-IP nicht erreichbar → Routing/Interface down
Quick-Checks
show ip interface brief
show ip ssh
show running-config | section line vty
show access-lists
show users
show loggingBest Practices für sicheren SSH-Betrieb
Mit wenigen Standards ist SSH auf Cisco Routern robust und auditierbar.
- Nur SSHv2 erlauben, Telnet deaktivieren
- Lokale User mit
secretoder AAA (TACACS+/RADIUS) nutzen - VTY per
access-classauf Admin-Netze begrenzen - RSA 2048+ Bit, Login-Retries reduzieren
- Konfig-Änderungen erst testen, dann speichern (Lockout vermeiden)
Konfiguration speichern
Wenn SSH-Login funktioniert und die ACL korrekt greift, speichere die Konfiguration.
R1# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
