Management Plane Hardening: AAA, SSH, SNMPv3 und Zugriffskontrollen

Management Plane Hardening ist einer der höchsten „Return on Security“-Hebel in Cisco-Netzwerken: Wenn Angreifer oder unautorisierte Nutzer Zugriff auf die Management Plane eines Routers oder Switches erhalten, ist praktisch jede weitere Schutzmaßnahme umgehbar. Umgekehrt schützt eine sauber gehärtete Management Plane nicht nur vor externen Angriffen, sondern auch vor internen Fehlern: falsche Automationsjobs, unsaubere Admin-Rechte, kompromittierte…

TACACS+ vs. RADIUS: AAA-Design für Cisco-Umgebungen

TACACS+ vs. RADIUS ist in Cisco-Umgebungen keine akademische Frage, sondern eine zentrale Designentscheidung für sichere und betrieblich stabile AAA-Architekturen (Authentication, Authorization, Accounting). Wer Geräte-Administration, Automatisierung, Netzwerkzugang (802.1X), VPN-Authentifizierung und Audit-Anforderungen sauber abbilden will, muss verstehen, wofür TACACS+ und RADIUS jeweils optimiert sind – und wo die typischen Fallstricke liegen. In der Praxis scheitern AAA-Projekte selten…

MPLS auf Cisco: LDP, RSVP-TE und Best Practices

MPLS auf Cisco ist in vielen Enterprise- und Provider-nahen Netzen das Rückgrat für skalierbares Routing, VPNs und Traffic Engineering. Wer MPLS nur als „Label statt IP“ versteht, unterschätzt schnell die eigentlichen Erfolgsfaktoren: ein sauberes Underlay (IGP), konsistente Label-Verteilung (typisch LDP), klare Rollen im Netz (P/PE/CE), sowie ein kontrollierter Betrieb mit Monitoring, Fast Reroute und nachvollziehbaren…

RBAC auf Cisco: Rollen, Views und Command Authorization

RBAC auf Cisco (Role-Based Access Control) ist die Grundlage, um Netzwerkgeräte professionell zu betreiben, ohne jedem Administrator „Full Admin“ zu geben. In der Praxis entscheidet RBAC darüber, ob ein Netzwerkteam sicher skalieren kann: Wer darf nur lesen (Viewer), wer darf operativ handeln (Operator), wer darf konfigurieren (Engineer) und wer darf sicherheitskritische Änderungen durchführen (Security/Admin)? Ohne…

Segment Routing (SR-MPLS) auf Cisco: Konfiguration und Migration

Segment Routing (SR-MPLS) auf Cisco ist für viele Netzbetreiber der nächste logische Schritt nach klassischem MPLS mit LDP und RSVP-TE: weniger zustandsbehaftete Signalisierung im Core, klarere Steuerung über IGP-Erweiterungen, bessere Automatisierbarkeit und eine Migration, die sich schrittweise und risikoarm gestalten lässt. SR-MPLS verschiebt den Fokus weg von „per Tunnel stateful signalisieren“ hin zu „Pfadintention als…

SNMPv3 sauber konfigurieren: Security und Monitoring ohne Risiken

SNMPv3 sauber konfigurieren ist in Cisco-Umgebungen einer der wichtigsten Schritte, um Monitoring zuverlässig zu betreiben, ohne sich dabei neue Sicherheits- und Betriebsrisiken einzuhandeln. Viele Netzwerke sind historisch mit SNMPv2c gewachsen: Community-Strings, großzügige „read-only“-Zugriffe und Polling aus vielen Systemen. Das funktioniert „irgendwie“, bis es nicht mehr funktioniert – etwa wenn Community-Strings in Logs, Tickets oder Skripten…

SRv6 auf Cisco: Grundlagen, Konfiguration und Use Cases

SRv6 auf Cisco (Segment Routing over IPv6) gilt als eines der wichtigsten Architekturthemen für moderne Provider- und große Enterprise-Backbones, weil es Traffic Engineering, Service Chaining und VPN-Funktionen direkt in die IPv6-Datenebene verlagert. Im Gegensatz zu MPLS-basiertem Segment Routing (SR-MPLS), das Labels als Segment-Identitäten nutzt, setzt SRv6 auf IPv6-Adressen als Segmente (SIDs) und trägt die Segmentliste…

Syslog & Logging: Severity, Buffering und Remote Logging Best Practices

Syslog & Logging sind im Netzwerkbetrieb nicht „nice to have“, sondern die Grundlage für Troubleshooting, Security-Analysen, Compliance und belastbare Betriebsprozesse. In Cisco-Umgebungen entscheidet die Qualität der Log-Strategie darüber, ob ein Incident in Minuten oder Stunden eingegrenzt wird: War es ein Link-Flap, ein STP-Event, ein Routing-Reset, eine AAA-Störung, eine Control-Plane-Überlast oder ein reales Security-Event? Ohne sauberes…

VRF Lite auf Cisco: Multi-Tenant ohne MPLS sauber umsetzen

VRF Lite auf Cisco ist eine der saubersten Methoden, um Multi-Tenant- oder Multi-Domain-Segmentierung ohne MPLS aufzubauen. Der Kernnutzen ist einfach, aber enorm: Sie trennen Routing-Tabellen auf einem Router oder Layer-3-Switch, sodass identische IP-Adressräume parallel existieren können, ohne sich gegenseitig zu beeinflussen. Damit lösen Sie typische Enterprise-Probleme wie „Zwei Tochtergesellschaften nutzen beide 10.0.0.0/8“, „OT/IoT darf niemals…

NetFlow/Flexible NetFlow: Traffic Visibility mit Cisco richtig aufbauen

NetFlow/Flexible NetFlow ist in Cisco-Umgebungen eines der zuverlässigsten Werkzeuge, um Traffic sichtbar zu machen, Kapazitätsengpässe nachzuweisen und Security-Fragen mit belastbaren Daten zu beantworten. Während klassische Interface-Counter nur „wie viel“ zeigen, liefern Flow-Daten das entscheidende „wer spricht mit wem, wie lange, wie viel und über welche Ports“. Genau dieser Kontext macht NetFlow im Betrieb so wertvoll:…