DTP (Dynamic Trunking Protocol) kann auf Cisco Switches Trunk-Links automatisch aushandeln. Das klingt bequem, ist aber in vielen Enterprise-Designs ein Sicherheits- und Betriebsrisiko: Ein falsch angeschlossenes Gerät oder eine Fehlkonfiguration kann ungewollt einen Trunk erzeugen, VLANs „öffnen“ und so die Angriffsfläche erhöhen. Wer DTP deaktiviert und Trunks statisch konfiguriert, erreicht kontrollierbares Trunking, bessere Auditierbarkeit und weniger Überraschungen im Betrieb.
Was ist DTP und warum ist es riskant?
DTP ist ein Cisco-Protokoll zur Aushandlung von Trunks. Je nach Switchport-Modus kann ein Port automatisch vom Access- in den Trunk-Modus wechseln. In modernen Designs ist das häufig unerwünscht, weil Trunks mehrere VLANs transportieren können.
- Ungewollte Trunk-Bildung durch falsches Patchen/Endgerät
- VLAN-Ausbreitung, wenn Allowed VLANs nicht strikt gesetzt sind
- Schwierigeres Troubleshooting durch dynamisches Verhalten
- Potenzielle VLAN-Hopping-Angriffsflächen in Fehlkonfigurationen
DTP ist nicht gleich 802.1Q
802.1Q ist das VLAN-Tagging, DTP ist nur die Cisco-Aushandlung, ob ein Port ein Trunk werden soll. Du kannst 802.1Q-Trunks statisch konfigurieren und DTP komplett vermeiden.
Vorbereitung: Aktuellen Port-Modus und DTP-Status prüfen
Bevor du DTP deaktivierst, prüfe, ob der Link bereits als Trunk läuft, welche VLANs erlaubt sind und ob DTP aktuell aktiv aushandelt. Das verhindert, dass du produktive Uplinks „abschneidest“.
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show running-config interface gigabitEthernet 1/0/48
show logging | include DTP|TRUNK|VLAN
Woran du DTP erkennst
Im show interfaces ... switchport-Output findest du Hinweise wie „Administrative Mode“ (dynamic desirable/auto) und „Negotiation of Trunking“. Genau dort siehst du, ob DTP genutzt wird.
Sicherer Standard: Trunk statisch setzen und DTP deaktivieren
Der bewährte Ansatz lautet: Trunk-Modus statisch konfigurieren, VLANs whitelisten und DTP-Aushandlung abschalten. Damit ist der Link eindeutig und kontrolliert.
Trunk + Allowed VLANs + DTP aus (Best Practice)
enable
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TO-SW-DIST-01 Gi1/0/48
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
end
Native VLAN bewusst setzen
Eine ungenutzte Native VLAN (z. B. 999) reduziert das Risiko, dass untagged Traffic in produktive VLANs fällt. Wichtig ist Konsistenz auf beiden Link-Enden.
configure terminal
vlan 999
name NATIVE-UNUSED
end
Was bedeutet „switchport nonegotiate“ genau?
switchport nonegotiate deaktiviert das Senden von DTP-Frames. Der Port verhandelt Trunking dann nicht mehr dynamisch, sondern nutzt den statisch konfigurierten Modus. Das ist ideal für Switch-to-Switch-Uplinks, wenn beide Seiten als Trunk fest gesetzt sind.
Wichtiger Hinweis: Gegenstelle muss passend konfiguriert sein
Wenn die Gegenstelle auf DTP-Aushandlung angewiesen ist (z. B. dynamic desirable/auto), kann nonegotiate den Trunk-Aufbau verhindern. Stelle daher sicher, dass auch die Gegenstelle statisch auf Trunk steht.
DTP auf Access-Ports vermeiden: Ports explizit als Access definieren
Für Endgeräte-Ports solltest du den Modus eindeutig auf Access setzen. So kann der Port nicht „aus Versehen“ zum Trunk werden.
Access-Port-Template (Client)
configure terminal
interface range gigabitEthernet 1/0/1 - 24
description CLIENTS
switchport mode access
switchport access vlan 10
spanning-tree portfast
spanning-tree bpduguard enable
end
Ungenutzte Ports parken und deaktivieren
Ein häufiger Security-Standard: ungenutzte Ports in ein Parking-VLAN legen und administrativ deaktivieren.
configure terminal
vlan 998
name PARKING
exit
interface range gigabitEthernet 1/0/25 - 47
description UNUSED-PARKED
switchport mode access
switchport access vlan 998
shutdown
end
Praxisbeispiel: Access-Switch Uplink sicher gestalten
Dieses Beispiel zeigt einen typischen Uplink: Clients, Voice, Guest und Management laufen über den Trunk. DTP ist deaktiviert, Allowed VLANs sind whitelisted, Native VLAN ist ungenutzt.
configure terminal
vlan 10
name CLIENTS
exit
vlan 20
name VOICE
exit
vlan 30
name GUEST
exit
vlan 99
name MGMT
exit
vlan 999
name NATIVE-UNUSED
exit
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
end
copy running-config startup-config
Verifikation: Nachweis, dass DTP aus ist und der Trunk korrekt läuft
Nach dem Change prüfst du Trunk-Status, Allowed VLANs, Native VLAN und den Switchport-Output. So erkennst du sofort, ob der Link weiterhin sauber arbeitet.
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show running-config interface gigabitEthernet 1/0/48
show logging | include DTP|TRUNK|VLAN|NATIVE
Typische Erfolgskriterien
- Port ist trunking und zeigt erwartete Allowed VLANs
- Native VLAN ist korrekt und konsistent
- Keine DTP-Negotiation (bzw. nonegotiate aktiv)
Troubleshooting: Wenn der Trunk nach DTP-Deaktivierung nicht hochkommt
Wenn der Trunk nicht mehr aktiv ist, ist die häufigste Ursache eine unpassende Gegenstellen-Konfiguration. Prüfe beide Enden: Port-Mode, Allowed VLANs, Native VLAN und eventuelle Port-Channel- oder STP-Themen.
- Gegenstelle steht auf dynamic auto/desirable statt statisch trunk
- Allowed VLANs passen nicht zusammen, VLAN fehlt
- Native VLAN mismatch erzeugt Warnungen und Fehlzuordnung
- Port ist err-disabled oder STP blockt unerwartet
show interfaces gigabitEthernet 1/0/48
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces trunk
show spanning-tree inconsistentports
show interface status err-disabled
show logging | include DTP|TRUNK|VLAN|NATIVE|ERRDISABLE|SPANNING
Best Practices: Trunking kontrolliert und sicher betreiben
DTP deaktivieren ist ein Baustein. Wirklich robust wird das Design durch statische Trunks, VLAN-Whitelists, ungenutzte Native VLAN und klare Dokumentation.
- Uplinks statisch:
switchport mode trunk - DTP aus:
switchport nonegotiate(wo passend) - Allowed VLANs whitelisten:
switchport trunk allowed vlan ... - Native VLAN ungenutzt setzen und konsistent halten
- Access-Ports explizit als Access konfigurieren
- Ungenutzte Ports parken und deaktivieren
- Nach Changes verifizieren und Konfiguration speichern
show interfaces trunk
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
