March 28, 2026

16.6 Port Security auf Switches einfach erklärt

Port Security ist eine wichtige Sicherheitsfunktion auf Cisco-Switches, mit der sich kontrollieren lässt, welche Geräte an einem Switchport zugelassen sind. In vielen Netzwerken wird großer Aufwand in Firewalls, VLANs oder WLAN-Sicherheit investiert, während physische Access-Ports am Switch vergleichsweise offen bleiben. Genau dort entsteht jedoch oft ein unnötiges Risiko: Jeder freie oder ungeschützte Port kann potenziell von einem unbekannten Gerät genutzt werden. Port Security hilft, diese Angriffsfläche zu reduzieren. Die Funktion begrenzt, welche MAC-Adressen an einem Port erlaubt sind und wie der Switch reagiert, wenn unerlaubte Geräte angeschlossen werden. Wer Netzwerksicherheit auf Layer 2 verstehen möchte, sollte deshalb Port Security als grundlegenden Baustein kennen.

Table of Contents

Was ist Port Security?

Port Security ist eine Sicherheitsfunktion auf Cisco-Switches, die auf Access-Ports angewendet wird. Sie erlaubt es, die Anzahl und Identität der Geräte zu kontrollieren, die an einem bestimmten Switchport genutzt werden dürfen. Technisch erfolgt das über die MAC-Adresse eines Endgeräts. Der Switch kann lernen oder vorgeben, welche MAC-Adressen an einem Port zulässig sind. Sobald ein anderes Gerät auftaucht oder zu viele MAC-Adressen erkannt werden, reagiert der Port nach den konfigurierten Regeln.

Einfach erklärt bedeutet das: Port Security sorgt dafür, dass nicht beliebig jedes Gerät an einen beliebigen Port angeschlossen werden kann. Stattdessen wird der Zugriff auf definierte Endgeräte oder eine festgelegte Anzahl von Geräten begrenzt.

Die Grundidee von Port Security

  • Ein Switchport akzeptiert nur erlaubte MAC-Adressen
  • Die Zahl zulässiger Geräte kann begrenzt werden
  • Unbekannte oder unerlaubte Geräte können blockiert werden
  • Layer-2-Zugänge werden damit besser kontrollierbar

Warum Port Security im Netzwerk wichtig ist

In vielen Büros, Schulen oder Unternehmen gibt es frei zugängliche Netzwerkdosen oder Switchports in Arbeitsbereichen. Ohne zusätzliche Schutzmechanismen kann dort grundsätzlich jedes Gerät angeschlossen werden. Das ist ein Risiko, weil dadurch unautorisierte Laptops, private Geräte, kleine Switches oder sogar absichtlich eingeschleuste Systeme ins Netzwerk gelangen können.

Port Security reduziert dieses Risiko direkt auf dem Switchport. Damit ist es eine einfache, aber sehr wirkungsvolle Schutzmaßnahme auf der Zugriffsebene des Netzwerks.

Typische Risiken ohne Port Security

  • Unbefugte Geräte werden einfach angeschlossen
  • Ein Benutzer ersetzt einen Firmen-PC durch ein privates Gerät
  • Ein kleiner zusätzlicher Switch erweitert unkontrolliert den Port
  • Ein Angreifer nutzt freie Netzwerkdosen als Einstiegspunkt
  • Mehrere Geräte teilen sich unerlaubt einen einzelnen Access-Port

Vorteile von Port Security

  • Begrenzung der erlaubten Geräte pro Port
  • Schutz vor unautorisierten Endgeräten
  • Einfache zusätzliche Sicherheitsstufe auf Layer 2
  • Gut kombinierbar mit VLANs und Gerätehärtung

Wie Port Security grundsätzlich funktioniert

Port Security arbeitet auf Basis von MAC-Adressen. Jeder Netzwerkadapter besitzt eine MAC-Adresse, die auf Layer 2 zur Adressierung verwendet wird. Wenn Port Security auf einem Access-Port aktiviert wird, überwacht der Switch, welche MAC-Adressen an diesem Port erscheinen.

Der Administrator kann festlegen:

  • Wie viele MAC-Adressen maximal erlaubt sind
  • Welche MAC-Adressen zulässig sind
  • Was passieren soll, wenn ein Verstoß auftritt

Wenn beispielsweise nur eine einzelne MAC-Adresse zugelassen ist und dann ein anderes Gerät angeschlossen wird, erkennt der Switch einen Verstoß gegen die Port-Security-Regeln.

Die drei Grundelemente von Port Security

  • Maximale Anzahl erlaubter MAC-Adressen
  • Art der erlaubten MAC-Adressen: statisch oder dynamisch gelernt
  • Aktion bei Verstößen

Was eine MAC-Adresse in diesem Zusammenhang bedeutet

Die MAC-Adresse ist die Hardware-Adresse einer Netzwerkschnittstelle auf Layer 2. Switches arbeiten grundsätzlich mit MAC-Adressen, um Frames im LAN weiterzuleiten. Port Security nutzt genau diese Eigenschaft zur Zugriffskontrolle.

Für Einsteiger ist wichtig: Port Security prüft keine IP-Adressen, keine Benutzernamen und keine Anwendungen. Die Funktion arbeitet rein auf Layer 2 und betrachtet nur, welche MAC-Adresse an einem Port auftaucht.

Wichtige Einordnung

  • Port Security schützt nicht auf Layer 3 oder Layer 7
  • Die Kontrolle erfolgt direkt am Switchport
  • Es geht um Geräteidentität auf Ethernet-Ebene

Wo Port Security sinnvoll eingesetzt wird

Port Security ist vor allem auf klassischen Access-Ports sinnvoll, an denen Endgeräte wie PCs, Drucker, IP-Telefone oder einzelne Arbeitsplatzsysteme angeschlossen werden. Auf Uplink-Ports, Trunk-Ports oder Switch-zu-Switch-Verbindungen ist Port Security in der Regel nicht passend, weil dort bewusst viele MAC-Adressen auftreten können.

Typische Einsatzbereiche

  • Arbeitsplatzports für PCs oder Thin Clients
  • Druckeranschlüsse
  • Ports für einzelne fest zugeordnete Geräte
  • Zugriffsports in Büros, Schulen oder offenen Bereichen

Typische ungeeignete Einsatzbereiche

  • Trunk-Ports zwischen Switches
  • Uplink-Ports zu Verteil- oder Core-Switches
  • Ports, an denen bewusst viele Geräte über ein zugelassenes Downstream-System erscheinen

Die wichtigsten Port-Security-Parameter

Maximale Anzahl erlaubter MAC-Adressen

Der Administrator kann festlegen, wie viele MAC-Adressen an einem Port gleichzeitig erlaubt sind. Für einen klassischen Arbeitsplatz-Port ist oft der Wert 1 sinnvoll. Wenn ein PC und ein IP-Telefon an einem Port betrieben werden, kann ein höherer Wert nötig sein.

Statische MAC-Adresse

Eine MAC-Adresse kann manuell hinterlegt werden. Dann akzeptiert der Switch nur genau diese definierte Adresse.

Dynamisch gelernte MAC-Adresse

Der Switch kann die erste auftauchende MAC-Adresse automatisch lernen und danach schützen. Das ist einfacher im Betrieb, aber nicht ganz so strikt wie eine manuelle Zuordnung.

Sticky MAC

Mit sticky lernt der Switch die MAC-Adresse automatisch und schreibt sie logisch in die Running Configuration. Diese Methode ist in der Praxis sehr beliebt, weil sie die Vorteile automatischen Lernens mit besserer Nachvollziehbarkeit verbindet.

Port Security mit statischen MAC-Adressen

Bei dieser Variante definiert der Administrator explizit, welche MAC-Adresse an einem Port erlaubt ist. Das ist sehr kontrolliert, aber auch aufwendiger, besonders in größeren Umgebungen mit vielen Ports und häufig wechselnden Geräten.

Beispiel mit statischer MAC-Adresse

interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address 0011.2233.4455

In diesem Beispiel ist am Port FastEthernet0/1 nur genau die MAC-Adresse 0011.2233.4455 erlaubt.

Vorteile statischer Einträge

  • Sehr präzise Kontrolle
  • Keine Lernphase nötig
  • Geeignet für fest zugewiesene Geräte

Nachteile statischer Einträge

  • Höherer Verwaltungsaufwand
  • Wenig flexibel bei Gerätewechseln
  • Schlecht skalierbar in großen Access-Netzen

Port Security mit Sticky MAC einfach erklärt

Sticky MAC ist die in der Praxis oft sinnvollste Variante. Dabei lernt der Switch die MAC-Adresse des angeschlossenen Geräts automatisch und behandelt sie anschließend wie eine zugelassene Adresse. So muss der Administrator die MAC nicht manuell eintragen, behält aber trotzdem eine gewisse Kontrolle.

Beispiel mit Sticky MAC

interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky

Wenn nun das erste Gerät an diesem Port aktiv wird, lernt der Switch dessen MAC-Adresse automatisch und bindet sie an den Port.

Warum Sticky MAC so beliebt ist

  • Weniger Verwaltungsaufwand als bei statischen Einträgen
  • Einfach für Arbeitsplatzumgebungen
  • Trotzdem bessere Kontrolle als rein dynamisches Verhalten

Worauf geachtet werden sollte

Wenn ein Gerät später ausgetauscht wird, muss der alte Sticky-Eintrag unter Umständen entfernt oder angepasst werden. Sonst erkennt der Switch das neue Gerät als Verstoß.

Was ist ein Port-Security-Verstoß?

Ein Verstoß entsteht, wenn am Port mehr MAC-Adressen erkannt werden als erlaubt oder wenn eine nicht zugelassene MAC-Adresse erscheint. Das kann aus legitimen Gründen passieren, etwa bei einem Gerätewechsel, aber auch durch unerlaubte Anschlüsse oder kleine, nachträglich angeschlossene Switches.

Typische Auslöser für Verstöße

  • Ein anderes Endgerät wird angeschlossen
  • Ein Benutzer schließt einen Mini-Switch an
  • Ein IP-Telefon plus PC erzeugen mehr MAC-Adressen als erlaubt
  • Ein Sticky- oder statischer Eintrag passt nicht mehr zum Gerät

Die drei Violation-Modi: protect, restrict und shutdown

Wenn ein Port-Security-Verstoß erkannt wird, kann der Switch unterschiedlich reagieren. Genau dafür gibt es die sogenannten Violation Modes. Diese legen fest, was im Fehlerfall passieren soll.

protect

Im Modus protect verwirft der Switch Frames von unerlaubten MAC-Adressen, ohne den Port selbst in einen Fehlerzustand zu setzen. Der Port bleibt aktiv, aber unzulässiger Traffic wird still blockiert.

restrict

Im Modus restrict werden Frames unerlaubter MAC-Adressen ebenfalls verworfen, zusätzlich zählt der Switch den Verstoß und kann ihn loggen oder SNMP-Traps auslösen. Das ist oft betrieblich hilfreicher als protect, weil Verstöße sichtbar werden.

shutdown

Im Modus shutdown geht der Port bei einem Verstoß in den Err-Disabled-Zustand. Das ist die strengste Reaktion und in vielen Umgebungen die Standardwahl, weil sie Verstöße deutlich sichtbar macht und den Port aktiv stilllegt.

Typische Einordnung der Modi

  • protect = still blockieren
  • restrict = blockieren und melden
  • shutdown = Port deaktivieren

Beispiel für einen Violation Mode

interface FastEthernet0/3
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown

Hier wird der Port bei einem Verstoß deaktiviert.

Der Err-Disabled-Zustand einfach erklärt

Wenn ein Port im Violation Mode shutdown arbeitet und ein Verstoß erkannt wird, geht das Interface in den Zustand err-disabled. Das bedeutet, der Port wird aus Sicherheitsgründen stillgelegt. Aus Sicht des Administrators ist das hilfreich, weil ein Problem klar sichtbar wird. Aus Sicht des Benutzers wirkt es oft so, als sei der Port plötzlich komplett ausgefallen.

Typische Folgen von err-disabled

  • Das angeschlossene Gerät verliert die Verbindung
  • Der Port bleibt deaktiviert, bis er manuell oder automatisiert wiederhergestellt wird
  • Der Verstoß ist im Switch nachvollziehbar

Typische Prüfbefehle

show interfaces status
show port-security
show port-security interface FastEthernet0/3

Mit diesen Befehlen lässt sich prüfen, ob Port Security aktiv ist und ob ein Port aufgrund eines Verstoßes blockiert wurde.

Port Security für einen typischen Arbeitsplatzport

Ein klassischer Anwendungsfall ist ein Arbeitsplatz-Port, an dem genau ein PC angeschlossen werden darf. In so einem Fall ist Port Security mit maximum 1 und sticky oft eine praktikable Lösung.

Beispielkonfiguration

interface FastEthernet0/10
 description Arbeitsplatz-PC
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation restrict

Was diese Konfiguration bewirkt

  • Der Port arbeitet als Access-Port
  • Port Security ist aktiv
  • Nur eine MAC-Adresse ist erlaubt
  • Die erste MAC-Adresse wird automatisch gelernt
  • Weitere Geräte werden blockiert und der Verstoß wird gezählt

Port Security bei IP-Telefon und PC am selben Port

In Unternehmensnetzen hängen häufig ein IP-Telefon und dahinter ein PC am selben Access-Port. In so einem Szenario reicht maximum 1 nicht aus, weil zwei MAC-Adressen auftauchen können. Hier muss Port Security bewusst angepasst werden.

Typische Lösung

interface FastEthernet0/11
 description IP-Phone-und-PC
 switchport mode access
 switchport voice vlan 20
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security violation restrict

In diesem Beispiel sind bis zu zwei MAC-Adressen erlaubt, was zum Design mit Telefon und PC passt.

Warum dieser Punkt wichtig ist

  • Port Security darf legitime Designs nicht unbeabsichtigt blockieren
  • Die maximale MAC-Anzahl muss zum realen Einsatz passen
  • Voice-VLAN-Szenarien brauchen oft bewusst angepasste Werte

Port Security überprüfen und verifizieren

Nach der Konfiguration sollte Port Security immer geprüft werden. Cisco-Switches bieten dafür mehrere Show-Befehle, mit denen sich Status, gelernte MAC-Adressen und mögliche Verstöße kontrollieren lassen.

Wichtige Prüfbefehle

show port-security
show port-security address
show port-security interface FastEthernet0/10
show running-config interface FastEthernet0/10

Was sich damit prüfen lässt

  • Ist Port Security auf dem Port aktiv?
  • Wie viele MAC-Adressen sind erlaubt?
  • Welche MAC-Adressen wurden gelernt?
  • Gab es Verstöße?
  • Welcher Violation Mode ist aktiv?

Typische Probleme bei Port Security

Port Security ist technisch einfach, kann im Alltag aber Probleme verursachen, wenn die Konfiguration nicht zum realen Einsatz passt. Besonders häufig sind Verstöße durch Gerätewechsel, zusätzliche kleine Switches oder zu knapp gesetzte Maximalwerte.

Typische Fehlerquellen

  • maximum 1 obwohl Telefon und PC am selben Port hängen
  • Sticky-Einträge wurden nach Gerätewechsel nicht bereinigt
  • Port Security auf ungeeigneten Ports aktiviert
  • Violation Mode shutdown führt zu unerwarteten Support-Fällen
  • Ein Benutzer schließt unerlaubt einen Mini-Switch an

Typische Symptome

  • Ein Port funktioniert plötzlich nicht mehr
  • Das Interface steht auf err-disabled
  • Ein neuer PC erhält keine Verbindung
  • Nur ein Gerät funktioniert, ein zweites nicht

Wie ein Port-Security-Verstoß behoben wird

Wenn ein Port aufgrund von Port Security in den Err-Disabled-Zustand gegangen ist, muss zuerst die Ursache verstanden werden. Danach kann der Port wieder aktiviert werden. Einfaches blindes Wiederfreischalten ohne Analyse führt oft dazu, dass der Verstoß sofort erneut auftritt.

Typische Prüfschritte

  • Verstoß mit show port-security interface prüfen
  • Kontrollieren, welches Gerät angeschlossen ist
  • Sticky- oder statische MAC-Adresse mit realem Gerät vergleichen
  • Bei Bedarf alte MAC-Einträge entfernen

Typisches Vorgehen zur Wiederaktivierung

interface FastEthernet0/10
 shutdown
 no shutdown

Damit wird der Port administrativ neu gestartet. Vorher sollte jedoch sichergestellt sein, dass die eigentliche Ursache beseitigt wurde.

Grenzen von Port Security

Port Security ist nützlich, aber keine vollständige Sicherheitslösung. Die Funktion arbeitet nur auf Layer 2 und prüft MAC-Adressen. Sie erkennt keine Benutzeridentitäten, keine Anwendungen und keine Inhalte. Außerdem lassen sich MAC-Adressen theoretisch fälschen, auch wenn das in vielen Alltagsszenarien keine spontane Hürde für normale Benutzer ist.

Port Security sollte deshalb als zusätzliche Schutzmaßnahme verstanden werden, nicht als alleinige Zugangskontrolle.

Was Port Security gut kann

  • Einfache Port-basierte Zugangskontrolle
  • Schutz gegen unerlaubtes Anschließen zusätzlicher Geräte
  • Reduzierung der Layer-2-Angriffsfläche

Was Port Security nicht ersetzt

  • 802.1X-basierte Authentifizierung
  • Firewall- oder ACL-Logik
  • VLAN- und Sicherheitssegmentierung
  • Benutzer- oder rollenbasierte Zugriffskontrolle

Port Security und 802.1X unterscheiden

Ein häufiger Punkt in Schulungen und Prüfungen ist die Abgrenzung zwischen Port Security und 802.1X. Port Security arbeitet mit MAC-Adressen und ist eher eine einfache Layer-2-Schutzfunktion. 802.1X ist deutlich moderner und stärker, weil dort Benutzer oder Geräte aktiv authentifiziert werden.

Port Security

  • Kontrolle über MAC-Adressen
  • Einfach umzusetzen
  • Gut für grundlegende Layer-2-Sicherheit

802.1X

  • Echte Authentifizierung von Benutzer oder Gerät
  • Höheres Sicherheitsniveau
  • Mehr Infrastruktur und Komplexität erforderlich

In kleinen oder einfachen Umgebungen ist Port Security oft ein guter Einstieg. In professionellen Umgebungen wird häufig zusätzlich oder alternativ 802.1X eingesetzt.

Best Practices für den Einsatz von Port Security

  • Nur auf geeigneten Access-Ports einsetzen
  • Maximale MAC-Anzahl an den tatsächlichen Portzweck anpassen
  • Sticky MAC für einfache Arbeitsplatzports sinnvoll nutzen
  • Violation Mode bewusst wählen, nicht nur blind auf Standard verlassen
  • Verstöße regelmäßig prüfen und nachvollziehen
  • Mit VLAN-Segmentierung und Gerätehärtung kombinieren

Praxisorientierter Hinweis

Port Security ist besonders effektiv, wenn sie nicht isoliert betrachtet wird. In Kombination mit deaktivierten ungenutzten Ports, sauberer Dokumentation, Management-Schutz und klarer Segmentierung ergibt sich eine deutlich stärkere Zugriffssicherheit auf der Access-Schicht des Netzwerks.

Warum Port Security trotz einfacher Funktion so wichtig ist

Port Security ist kein komplexes Hochsicherheitsfeature, aber gerade darin liegt seine Stärke. Die Funktion ist leicht verständlich, auf vielen Cisco-Switches verfügbar und direkt an der Netzwerkkante wirksam. Genau dort, wo Benutzer, Drucker, Telefone oder unbekannte Geräte physischen Zugang bekommen könnten, schafft Port Security eine einfache erste Verteidigungslinie.

Wer sichere Netzwerke bauen möchte, sollte nicht nur an Firewalls und VPNs denken, sondern auch an die physischen Access-Ports im LAN. Port Security ist dafür eine der klassischen und sinnvollsten Basistechnologien auf Cisco-Switches.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick