March 29, 2026

21.6 DHCP Snooping und Port Security im Lab praktisch testen

DHCP Snooping und Port Security gehören zu den wichtigsten Layer-2-Sicherheitsmechanismen in Switch-Netzwerken. Beide Funktionen helfen dabei, typische Angriffe im lokalen Netz früh zu verhindern oder zumindest deutlich einzuschränken. Während DHCP Snooping vor gefälschten DHCP-Servern und manipulierten Lease-Informationen schützt, begrenzt Port Security die unkontrollierte Nutzung von Switch-Ports durch unbekannte oder zu viele Endgeräte. Für Einsteiger und angehende Netzwerkadministratoren sind beide Funktionen besonders wertvoll, weil sie sich in kleinen Labs sehr praxisnah testen lassen. In einer Laborumgebung wird schnell sichtbar, wie leicht ein lokales Netz ohne Schutzmechanismen manipuliert werden kann und wie wirkungsvoll Switch-basierte Sicherheitsfunktionen auf Access-Ports eingreifen. Wer DHCP Snooping und Port Security im Lab praktisch testet, versteht nicht nur die Konfiguration, sondern auch die sicherheitstechnische Bedeutung für Campus-Netzwerke, Büroumgebungen, Schulungsnetze und Enterprise-Infrastrukturen.

Table of Contents

Warum Layer-2-Sicherheit im Access-Netz so wichtig ist

Viele Sicherheitsbetrachtungen konzentrieren sich auf Firewalls, VPNs, IDS/IPS oder Endpoint-Schutz. In realen Netzwerken entstehen jedoch zahlreiche Risiken direkt auf Layer 2, also dort, wo Clients, Drucker, Access Points, IP-Telefone oder andere Endgeräte an Switch-Ports angeschlossen sind. Genau an dieser Stelle können Angreifer oder Fehlkonfigurationen besonders schnell Schaden anrichten.

Ein gefälschter DHCP-Server kann Clients falsche IP-Konfigurationen zuweisen, etwa mit einem manipulierten Default Gateway oder einem bösartigen DNS-Server. Dadurch lässt sich Datenverkehr umleiten oder ausspähen. Ebenso problematisch ist es, wenn ein Benutzer unerlaubt einen kleinen Switch anschließt oder mehrere Geräte hinter einem einzelnen Port betreibt. Ohne Begrenzung erkennt der Switch diesen Missbrauch zunächst nicht.

Typische Risiken ohne Schutzmechanismen

  • Rogue-DHCP-Server verteilt falsche IP-Adressen
  • Manipulierte DHCP-Antworten leiten Traffic über ein unerwünschtes Gateway
  • Mehrere unbekannte Geräte werden über einen Access-Port angeschlossen
  • MAC-Flooding oder unerlaubte Gerätewechsel bleiben unentdeckt
  • Lokale Angriffe auf Benutzersegmente werden erleichtert

Gerade in Einsteiger-Labs ist es sinnvoll, diese Risiken kontrolliert nachzustellen. Dadurch wird sichtbar, dass Layer-2-Schutz nicht optional ist, sondern eine grundlegende Härtungsmaßnahme im Switch-Design darstellt.

DHCP Snooping verständlich erklärt

DHCP Snooping ist eine Sicherheitsfunktion auf dem Switch, die DHCP-Nachrichten überwacht und zwischen vertrauenswürdigen und nicht vertrauenswürdigen Ports unterscheidet. Ziel ist es, nur legitimen DHCP-Servern zu erlauben, DHCP-Antworten ins Netz zu senden.

Standardmäßig gelten Access-Ports als untrusted. Das bedeutet: Clients dürfen DHCP Discover oder Request senden, aber keine DHCP Offer- oder DHCP Ack-Nachrichten bereitstellen. Nur Ports, die ausdrücklich als trusted konfiguriert sind, dürfen DHCP-Server-Antworten weiterleiten.

Wie DHCP Snooping arbeitet

  • Der Switch prüft DHCP-Nachrichten auf untrusted Ports
  • Nur vertrauenswürdige Ports dürfen Server-Antworten liefern
  • Ungültige oder unerlaubte DHCP-Responses werden verworfen
  • Optional erstellt der Switch eine Binding-Tabelle mit IP, MAC, VLAN und Port

Diese Binding-Tabelle ist besonders wichtig, weil sie später auch von weiteren Sicherheitsmechanismen wie Dynamic ARP Inspection oder IP Source Guard genutzt werden kann. Im Lab ist DHCP Snooping daher nicht nur eine Einzelübung, sondern oft die Grundlage für weiterführende Layer-2-Sicherheitskonzepte.

Port Security verständlich erklärt

Port Security kontrolliert, welche MAC-Adressen an einem Switch-Port zulässig sind und wie viele Geräte dort maximal aktiv sein dürfen. Diese Funktion wird typischerweise auf Access-Ports eingesetzt und schützt vor unerlaubtem Geräteanschluss oder plötzlichem MAC-Wechsel.

Ein Port kann so konfiguriert werden, dass er nur eine oder wenige MAC-Adressen akzeptiert. Sobald eine nicht erlaubte Adresse auftaucht oder die Maximalzahl überschritten wird, löst der Switch eine definierte Aktion aus. Das kann eine Log-Meldung, ein Drop der Frames oder ein Shutdown des Ports sein.

Was Port Security absichert

  • Nur bekannte oder gelernte Geräte dürfen einen Port nutzen
  • Die Anzahl zulässiger MAC-Adressen wird begrenzt
  • Unerlaubte Gerätewechsel können erkannt werden
  • Ein unkontrolliertes Hintereinanderschalten mehrerer Geräte wird erschwert

Für Einsteiger ist wichtig: Port Security schützt nicht vor allen Angriffen, aber sie reduziert typische Missbrauchsszenarien an Access-Ports deutlich und ist eine sehr praktische Basisschutzmaßnahme im Campus-Netz.

Aufbau eines einfachen Labs für DHCP Snooping und Port Security

Für ein praxisnahes Lab reicht bereits eine kleine Topologie mit einem Switch, einem legitimen DHCP-Server, einem oder zwei Clients und optional einem zusätzlichen Host, der einen Rogue-DHCP-Server simuliert. Die Tests können in realer Hardware, in einem Schulungsrack oder teilweise in Simulatoren vorbereitet werden. Am aussagekräftigsten sind sie aber auf einem echten Switch.

Beispielhafte Lab-Topologie

  • Ein Layer-2-Switch als zentrale Komponente
  • Ein Uplink oder Server-Port mit legitimen DHCP-Diensten
  • Ein Client an einem Access-Port
  • Optional ein zweiter Host als Rogue-DHCP-Server
  • Optional ein zusätzlicher kleiner Switch oder ein zweites Gerät für Port-Security-Tests

Beispielhafte Port-Zuordnung

  • FastEthernet0/1: legitimer DHCP-Server oder Uplink
  • FastEthernet0/2: Client-PC
  • FastEthernet0/3: Testgerät für Rogue-DHCP
  • FastEthernet0/4: Testport für Port Security

In einer Standardkonfiguration funktionieren DHCP und normaler Client-Anschluss zunächst ohne zusätzliche Schutzmechanismen. Das ist für das Lab wichtig, weil zuerst der Normalbetrieb nachvollzogen und danach das Verhalten unter aktivierten Sicherheitsfunktionen getestet werden sollte.

DHCP Snooping im Lab aktivieren

DHCP Snooping wird global aktiviert und anschließend für das gewünschte VLAN eingeschaltet. Danach muss der Port zum legitimen DHCP-Server oder zum vertrauenswürdigen Uplink explizit als trusted markiert werden. Alle übrigen Access-Ports bleiben untrusted.

Grundkonfiguration für DHCP Snooping

enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10
exit

Wenn das Lab mit VLAN 10 arbeitet, überwacht der Switch ab jetzt DHCP-Prozesse in diesem VLAN. Nun muss der Server- oder Uplink-Port als vertrauenswürdig eingestuft werden.

Trusted-Port konfigurieren

configure terminal
interface FastEthernet0/1
 ip dhcp snooping trust
exit

Alle anderen Ports bleiben untrusted, solange dort keine Trust-Konfiguration gesetzt wird. Genau das schützt das Netz vor unerlaubten DHCP-Server-Antworten auf Client-Ports.

Wichtige Prüfkommandos für DHCP Snooping

show ip dhcp snooping
show ip dhcp snooping binding
show running-config interface FastEthernet0/1
  • show ip dhcp snooping zeigt den globalen Status und die aktiven VLANs
  • show ip dhcp snooping binding listet gelernte Zuordnungen von MAC, IP, VLAN und Port
  • Die Interface-Konfiguration bestätigt, ob ein Port als trusted markiert wurde

Praktischer DHCP-Snooping-Test mit legitimen und gefälschten DHCP-Servern

Der erste Praxistest sollte darin bestehen, den normalen DHCP-Betrieb zu prüfen. Ein Client an einem untrusted Access-Port sendet DHCP Discover, der legitime Server antwortet über den trusted Port, und der Client erhält seine Lease korrekt.

Normalbetrieb testen

  • Client auf DHCP stellen
  • Lease erneuern oder Client neu starten
  • Prüfen, ob IP-Adresse, Gateway und DNS korrekt zugewiesen werden
  • Binding-Tabelle auf dem Switch kontrollieren

Im nächsten Schritt wird ein Rogue-DHCP-Server an einem untrusted Port simuliert. Ohne DHCP Snooping könnte dieser Server Angebote an Clients senden. Mit aktiviertem DHCP Snooping sollte der Switch diese Antworten jedoch blockieren.

Erwartetes Verhalten bei Rogue-DHCP

  • Client-Port bleibt untrusted
  • DHCP Offer vom Rogue-Server wird verworfen
  • Nur Antworten vom trusted Port werden akzeptiert
  • Der Client erhält idealerweise nur die legitime Lease

Damit lässt sich im Lab sehr klar zeigen, wie DHCP Snooping das Risiko durch gefälschte DHCP-Server minimiert.

Zusätzliche Rate-Limits auf untrusted Ports

Viele Switches erlauben es zusätzlich, die Rate von DHCP-Paketen an untrusted Ports zu begrenzen. Das hilft gegen Flooding oder missbräuchliche DHCP-Aktivität.

configure terminal
interface FastEthernet0/2
 ip dhcp snooping limit rate 10
exit

Damit wird die DHCP-Paketanzahl pro Sekunde eingeschränkt. Überschreitungen können je nach Plattform weitere Schutzreaktionen auslösen.

Port Security im Lab aktivieren

Port Security wird auf einem Access-Port aktiviert. Danach wird festgelegt, wie viele MAC-Adressen erlaubt sind und wie bei einem Verstoß reagiert werden soll. Für Einsteiger eignet sich ein einfacher Port mit genau einer erlaubten MAC-Adresse oder mit dynamisch gelernter Sticky-MAC.

Grundkonfiguration für Port Security

enable
configure terminal
interface FastEthernet0/4
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security violation shutdown
exit

Diese Konfiguration erlaubt genau eine MAC-Adresse. Wird ein zweites Gerät angeschlossen oder wechselt die MAC unerwartet, geht der Port in den Secure-Shutdown-Zustand. Das ist für Einsteiger sehr anschaulich, weil der Effekt direkt sichtbar ist.

Sticky MAC für praxisnahes Lernen

Mit Sticky MAC kann der Switch die erste gelernte MAC-Adresse automatisch übernehmen und in die laufende Konfiguration eintragen. Das ist im Lab sehr praktisch, weil die Adresse nicht manuell ermittelt werden muss.

configure terminal
interface FastEthernet0/4
 switchport port-security mac-address sticky
exit

Nach Anschluss des ersten Endgeräts lernt der Switch dessen MAC-Adresse und behandelt sie als erlaubte Adresse für diesen Port.

Wichtige Prüfkommandos für Port Security

show port-security
show port-security interface FastEthernet0/4
show running-config interface FastEthernet0/4
show mac address-table interface FastEthernet0/4
  • show port-security zeigt eine Übersicht aktiver Ports
  • show port-security interface liefert Details zu Maximalwert, Violation-Zähler und Status
  • show mac address-table hilft bei der Prüfung der gelernten MAC-Adresse

Praktische Tests für Port Security

Ein sinnvoller Lab-Ablauf beginnt damit, ein einzelnes Gerät an den konfigurierten Port anzuschließen. Dieses Gerät sollte sauber funktionieren, solange die konfigurierte Maximalzahl nicht überschritten wird und keine andere MAC-Adresse auftaucht.

Erster Funktionstest

  • Ein Gerät an FastEthernet0/4 anschließen
  • MAC-Adresse durch Sticky Learning übernehmen lassen
  • Port Security Status prüfen
  • Erreichbarkeit des Geräts testen

Im nächsten Schritt wird ein anderes Gerät angeschlossen oder ein kleiner Switch mit mehreren Endgeräten hinter den Port gesetzt. Dadurch erscheint mindestens eine zusätzliche MAC-Adresse, was gegen die Port-Security-Regeln verstößt.

Typische Testfälle

  • Austausch des PCs gegen ein anderes Gerät
  • Paralleler Anschluss mehrerer Geräte über einen Mini-Switch
  • Erhöhung der maximalen MAC-Zahl und erneuter Test
  • Vergleich verschiedener Violation-Modi

Violation-Modi im Überblick

  • shutdown: Port wird deaktiviert, sehr deutlich im Lab
  • restrict: Frames werden verworfen und Verstöße gezählt
  • protect: Frames werden verworfen, aber mit weniger sichtbarer Reaktion

Für Einsteiger ist shutdown am besten geeignet, weil der Fehlerzustand sofort auffällt und sich gut analysieren lässt.

Port nach Security-Verstoß wiederherstellen

Wenn der Port im Shutdown-Zustand landet, muss er je nach Plattform manuell oder automatisiert wiederhergestellt werden. Im Lab ist die manuelle Wiederherstellung besonders hilfreich, weil sie den Zusammenhang zwischen Regelverstoß und Betriebszustand verdeutlicht.

Manuelle Wiederaktivierung

configure terminal
interface FastEthernet0/4
 shutdown
 no shutdown
exit

Vor der Reaktivierung sollte jedoch geprüft werden, warum der Verstoß aufgetreten ist. Wurde wirklich ein unerlaubtes Gerät angeschlossen, oder war die Konfiguration zu restriktiv für das gewünschte Szenario?

Fehleranalyse bei Port-Security-Problemen

  • Ist die maximal erlaubte MAC-Zahl passend gewählt?
  • Wurde Sticky MAC mit dem falschen Gerät gelernt?
  • Ist am Port versehentlich ein zusätzliches Gerät oder Telefon angeschlossen?
  • Wurde der Port korrekt als Access-Port konfiguriert?

DHCP Snooping und Port Security gemeinsam im selben Lab nutzen

Besonders lehrreich wird das Lab, wenn beide Mechanismen gemeinsam eingesetzt werden. DHCP Snooping schützt dann vor manipulierter Adressvergabe, während Port Security gleichzeitig kontrolliert, welche Geräte an den Access-Port dürfen. So lässt sich ein typisches Access-Layer-Schutzprofil nachbilden.

Typische Kombination im Access-Netz

  • Uplink oder Server-Port als DHCP-Snooping trusted
  • Client-Ports als DHCP-Snooping untrusted
  • Access-Ports mit Port Security und begrenzter MAC-Anzahl
  • Optional Sticky MAC für stabile Benutzerports

In der Praxis ergänzen sich beide Funktionen sehr gut. Ein Rogue-DHCP-Server an einem normalen Client-Port kann durch DHCP Snooping geblockt werden. Wird zusätzlich ein unbekanntes Gerät angeschlossen oder ein Port für mehrere Geräte missbraucht, erkennt Port Security diese Abweichung.

Typisches Sicherheitsprofil eines Benutzerports

configure terminal
interface FastEthernet0/2
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown
 ip dhcp snooping limit rate 10
 spanning-tree portfast
exit

Dieses Beispiel zeigt einen gehärteten Access-Port mit mehreren Basisschutzmechanismen. Gerade für CCNA- und CCNP-nahe Labs ist diese Art von Konfiguration didaktisch sehr wertvoll.

Häufige Fehler beim Testen im Lab

Wie bei vielen Switching-Themen entstehen Probleme oft durch kleine Konfigurationsdetails. Wer diese typischen Fehler kennt, spart im Lab viel Zeit.

Typische DHCP-Snooping-Fehler

  • DHCP Snooping wurde global, aber nicht für das VLAN aktiviert
  • Der legitime Server-Port wurde nicht als trusted markiert
  • Der falsche Port wurde trusted gesetzt
  • Bindings werden erwartet, obwohl der Client keine Lease erneuert hat
  • Der Test findet im falschen VLAN statt

Typische Port-Security-Fehler

  • Port Security auf Trunk statt auf Access-Port konfiguriert
  • Sticky MAC mit dem falschen Gerät gelernt
  • Maximalzahl zu niedrig für den realen Endgerätebedarf
  • Violation-Modus nicht verstanden oder falsch interpretiert
  • Port nach Shutdown nicht korrekt zurückgesetzt

Nützliche Troubleshooting-Kommandos

show interfaces status
show vlan brief
show ip dhcp snooping
show ip dhcp snooping binding
show port-security
show port-security interface FastEthernet0/4
show mac address-table
show running-config

Mit diesen Befehlen lassen sich die meisten Lab-Fehler systematisch eingrenzen. Sinnvoll ist dabei eine feste Prüfreihenfolge: zuerst Portstatus und VLAN-Zuordnung, dann DHCP-Snooping-Status, danach Port-Security-Status und zuletzt Detailprüfung der laufenden Konfiguration.

Didaktisch sinnvoller Ablauf für Einsteiger-Labs

Ein gutes Lab sollte schrittweise aufgebaut sein. Zuerst wird der Normalbetrieb verifiziert, dann wird jeweils ein Schutzmechanismus aktiviert und getestet. Erst danach werden beide Funktionen kombiniert. So bleibt die Ursache von Problemen nachvollziehbar.

Empfohlene Reihenfolge

  • Zunächst normales DHCP ohne Schutzmechanismen testen
  • Danach DHCP Snooping aktivieren und legitimen Betrieb prüfen
  • Anschließend Rogue-DHCP simulieren und Blockierung beobachten
  • Separat Port Security auf einem Access-Port aktivieren
  • Danach Gerätewechsel oder Mehrfachanschluss testen
  • Zum Schluss beide Funktionen gemeinsam auf Access-Ports einsetzen

Diese Reihenfolge ist fachlich sinnvoll, weil sie die Sicherheitswirkung jeder einzelnen Funktion sichtbar macht und gleichzeitig strukturiertes Troubleshooting trainiert.

Praxisbezug für Enterprise- und Campus-Netzwerke

DHCP Snooping und Port Security sind keine reinen Laborfunktionen, sondern echte Produktionsmechanismen im Access-Layer. In Unternehmensnetzen schützen sie Benutzerports, Besprechungsräume, Schulungsumgebungen, offene Büroflächen und viele andere Anschlussbereiche, in denen physischer Zugang zu Netzwerkdosen nicht vollständig kontrolliert werden kann.

Typische Einsatzszenarien in der Praxis

  • Schutz vor Rogue-DHCP in offenen Bürobereichen
  • Absicherung von Benutzerports gegen unbekannte Endgeräte
  • Begrenzung unerlaubter Mehrfachnutzung einzelner Dosen
  • Vorbereitung für weiterführende Mechanismen wie Dynamic ARP Inspection
  • Grundlegende Access-Layer-Härtung in Campus-Designs

Wer diese Funktionen im Lab praktisch testet, entwickelt ein deutlich besseres Verständnis für das Verhalten von Switches unter realistischen Sicherheitsbedingungen. Genau das ist im Netzwerkalltag entscheidend: Nicht nur wissen, welche Befehle konfiguriert werden müssen, sondern auch verstehen, wie sich Schutzmechanismen im laufenden Betrieb auswirken und wie sie kontrolliert geprüft werden.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick