„Port Security“ ist klassisch ein Switch-Thema: Es kontrolliert auf Layer 2, welche MAC-Adressen an einem Access-Port zulässig sind und was bei Verstößen passiert. Router arbeiten primär auf Layer 3 und sehen nicht dieselbe MAC-Dynamik wie ein Switch-Port im Access-LAN. Trotzdem können Router Management- und Access-Sicherheit umsetzen – nur mit anderen Werkzeugen: ACLs, Control-Plane-Policies, DHCP-Features, uRPF und Interface-Hardening. Dieser Überblick zeigt, was Router wirklich können und warum Switches Port Security in den meisten Fällen besser machen.
Was „Port Security“ auf Switches eigentlich bedeutet
Switch-Port-Security schützt Access-Ports, indem sie MAC-Adressen limitiert, Sticky-MACs lernt und bei Abweichungen Ports einschränkt oder abschaltet. Das ist effektiv, weil ein Switch auf Layer 2 direkt am Endgerät sitzt.
- MAC-Limit pro Port (z. B. max. 1–3 MACs)
- Sticky MAC (automatisch lernen und speichern)
- Violation-Action: protect/restrict/shutdown
- Schutz gegen „Hub/Switch anstecken“ oder MAC-Flooding am Access-Port
Typische Switch-Konfig (zur Einordnung)
Switch(config)# interface gigabitEthernet1/0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation restrictWarum Router „Port Security“ nicht 1:1 ersetzen
Ein Router portiert keine Frames innerhalb eines VLANs wie ein Switch. Er routet IP-Pakete zwischen Netzen. Die MAC-Adresse ist dabei pro L2-Segment relevant, aber der Router ist typischerweise nicht der Punkt, an dem viele Endgeräte-MACs direkt am gleichen Port auftauchen.
- Router-Port ist oft ein Uplink zu einem Switch (Trunk/Access)
- Viele Endgeräte hängen hinter dem Switch, nicht direkt am Router
- MAC-Limits auf Router-Ports sind daher selten sinnvoll oder verfügbar
Was Router stattdessen gut können: Layer-3 Access Control (ACLs)
Router können sehr effektiv kontrollieren, wer wohin darf – auf IP-, Protokoll- und Port-Ebene. Das ist kein „Port Security“, aber im Enterprise-Design oft wichtiger: Segmentierung, Least Privilege und saubere Zonen.
- Traffic nach Quelle/Ziel/Port filtern (Extended ACL)
- Management-Zugriff einschränken (VTY ACL)
- NAT/Port-Forwarding absichern (Outside-ACL)
Beispiel: Clients dürfen nur DNS + HTTPS ins Internet
Router(config)# ip access-list extended USERS_OUT
Router(config-ext-nacl)# permit udp 192.168.10.0 0.0.0.255 any eq 53
Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 53
Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface gigabitEthernet0/0
Router(config-if)# ip access-group USERS_OUT inRouter-Hardening am Interface: „Unnötiges“ abschalten
Viele Angriffe zielen auf Control-Plane oder Discovery-Mechanismen. Router können pro Interface Features deaktivieren, die in einem Segment nicht benötigt werden, und so Angriffsfläche reduzieren.
- Unnötige Redirects/Proxy-ARP deaktivieren
- ICMP/Management nur gezielt erlauben
- Unbenutzte Interfaces administrativ down
Beispiel: Basis-Interface-Hardening (typisch im LAN)
Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# no ip redirects
Router(config-if)# no ip proxy-arp
Router(config-if)# no shutdown
Router(config-if)# endControl Plane Protection (CoPP): Router gegen Management-Angriffe schützen
Switch-Port-Security schützt den Access-Port. Router brauchen zusätzlich Schutz für die Control-Plane: SSH, BGP, OSPF, ICMP, SNMP. CoPP/CPPr erlaubt, Management-Traffic zu klassifizieren und zu rate-limitieren.
- Schutz gegen ICMP-Floods und Management-Scanning
- Rate Limits für Control-Plane-Protokolle
- Stabilität unter Angriff/Fehlkonfiguration
CoPP-Prinzip (vereinfacht)
class-map match-any CP-MGMT
match protocol ssh
match protocol snmp
policy-map CP-POLICY
class CP-MGMT
police 32000
control-plane
service-policy input CP-POLICY
DHCP-basierte Schutzmechanismen: Router als „Policy Point“
Wenn der Router das Default Gateway ist, kann er DHCP-Designs und IP-Policies indirekt absichern: z. B. nur definierte Netze bekommen Adressen, oder DHCP wird zentralisiert. Das ersetzt keine Port Security, hilft aber gegen „Wildwuchs“.
- DHCP-Pools kontrollieren (wer bekommt IPs)
- Rogue DHCP im Segment durch Switch-Funktionen besser lösbar (DHCP Snooping)
- Router-seitig: DHCP-Server sauber konfigurieren, Excludes setzen
uRPF: Spoofing-Schutz auf Layer 3
Unicast Reverse Path Forwarding (uRPF) prüft, ob die Quell-IP eines Pakets aus Sicht der Routing-Tabelle plausibel ist. Damit kannst du Spoofing in gerouteten Netzen reduzieren. Das ist ein Router-Feature, das Switch-Port-Security nicht abdeckt.
- Schutz gegen Source-IP-Spoofing
- Besonders sinnvoll an Edge/Internet oder in Provider-Designs
- Erfordert sauberes Routing (sonst False Positives)
uRPF aktivieren (Prinzip, Interface-basiert)
Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip verify unicast source reachable-via rx
Router(config-if)# endWas Switches besser machen: Layer-2 Access-Security am Endgerät
Alles, was direkt am Endgeräteport passiert, ist Switch-Domäne. Dort gehören Port Security und verwandte Funktionen hin, weil sie den Zugriff auf dem ersten Meter kontrollieren.
- Port Security (MAC-Limits/Sticky/Violation)
- 802.1X (User/Device Auth) – deutlich stärker als MAC-Bindings
- DHCP Snooping, Dynamic ARP Inspection, IP Source Guard
- Storm Control, BPDU Guard, Root Guard
Praxisempfehlung: Sinnvolle Kombination aus Router und Switch
Ein sauberes Design trennt Zuständigkeiten: Switch sichert den Access-Port (Layer 2), Router segmentiert und kontrolliert den Verkehr zwischen Netzen (Layer 3) und schützt seine Control-Plane.
- Switch: Port Security/802.1X + L2-Protections
- Router: ACLs/Zonen + uRPF (wo passend) + CoPP + Management-Hardening
- Management: SSH-only, VTY ACL, AAA, Timeouts
Verifikation: Was solltest du prüfen?
Nach dem Hardening willst du sicherstellen, dass nur gewünschter Traffic möglich ist und Management stabil erreichbar bleibt. Prüfe ACL-Hit-Counter, Management-Sessions und Control-Plane-Logs.
Router# show ip access-lists
Router# show ip interface gigabitEthernet0/0
Router# show users
Router# show loggingKonfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
