Trunk Security Hardening: DTP aus, Allowed VLANs, Native VLAN sauber

Die Sicherung von Trunk-Links in einem Netzwerk ist eine wesentliche Maßnahme, um Sicherheitslücken zu minimieren und das Netzwerk vor potenziellen Angriffen zu schützen. Trunks verbinden Switches miteinander und übertragen mehrere VLANs. Eine unsachgemäße Konfiguration kann dazu führen, dass Angreifer in nicht autorisierte VLANs eindringen oder sogar das Netzwerk destabilisieren. In diesem Artikel erklären wir, wie du Trunk-Security durch die Deaktivierung von DTP, die Begrenzung von Allowed VLANs und die ordnungsgemäße Konfiguration des Native VLANs verbessern kannst.

1. Deaktivierung von DTP (Dynamic Trunking Protocol)

Das Dynamic Trunking Protocol (DTP) ermöglicht es Switches, automatisch Trunk-Links zu etablieren. Dies kann jedoch zu Sicherheitsproblemen führen, wenn ein Angreifer die Möglichkeit hat, DTP zu missbrauchen. Die Deaktivierung von DTP stellt sicher, dass Trunk-Verbindungen nur manuell konfiguriert werden, wodurch das Risiko verringert wird, dass unautorisierte Geräte eine Verbindung zum Netzwerk herstellen.

1.1. DTP auf einem Port deaktivieren

Um DTP auf einem Port zu deaktivieren, kannst du den folgenden Befehl verwenden:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport mode access

Dadurch wird der Port auf den Access-Modus gesetzt, was DTP deaktiviert. Falls du den Port weiterhin als Trunk verwenden möchtest, kannst du ihn manuell als Trunk konfigurieren:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport mode trunk

2. Allowed VLANs konfigurieren
Durch die Begrenzung der übertragenen VLANs auf Trunk-Links kannst du verhindern, dass unerwünschte oder ungenutzte VLANs auf dem Trunk-Channel übertragen werden. Dies reduziert das Risiko von Broadcast-Stürmen und vereinfacht die Verwaltung des Netzwerks.

2.1. Allowed VLANs auf einem Trunk konfigurieren
Um die VLANs zu definieren, die auf einem Trunk-Interface erlaubt sind, kannst du den folgenden Befehl verwenden:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport trunk allowed vlan 10,20,30

In diesem Beispiel sind nur die VLANs 10, 20 und 30 auf dem Trunk erlaubt. Alle anderen VLANs werden blockiert.

2.2. Allowed VLANs mit einem Bereich konfigurieren
Du kannst auch einen Bereich von VLANs definieren, der auf dem Trunk zugelassen ist:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport trunk allowed vlan 10-20

Dies erlaubt VLANs von 10 bis 20 auf diesem Trunk-Link.

3. Native VLAN richtig konfigurieren
Das Native VLAN wird für untagged Frames verwendet, die über einen Trunk-Link gesendet werden. Ein unsicher konfiguriertes Native VLAN kann zu Sicherheitslücken führen, insbesondere in Bezug auf VLAN-Hopping-Angriffe. Es ist wichtig, das Native VLAN auf einem Trunk-Link ordnungsgemäß zu konfigurieren und auf einem anderen VLAN als VLAN 1 zu setzen.

3.1. Native VLAN ändern
Um das Native VLAN auf einem Trunk-Interface zu ändern, verwendest du den folgenden Befehl:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport trunk native vlan 99

In diesem Beispiel wird VLAN 99 als Native VLAN für den Trunk-Link festgelegt. Achte darauf, dass das Native VLAN nicht dasselbe wie VLAN 1 ist, um Sicherheitslücken zu vermeiden.

3.2. Native VLAN auf allen Switches synchronisieren
Es ist wichtig, dass das Native VLAN auf allen Trunk-Links im gesamten Netzwerk konsistent konfiguriert wird, um Probleme mit VLAN-Tagging und Kommunikation zu vermeiden. Du solltest sicherstellen, dass auf allen Switches das gleiche Native VLAN verwendet wird.

4. Weitere Sicherheitstipps für Trunk-Ports
Neben den oben genannten Sicherheitsmaßnahmen gibt es noch einige weitere Praktiken, die du beachten solltest, um die Sicherheit deines Netzwerks zu gewährleisten:


  
BPDU Guard: Verhindere, dass ungewollte BPDUs (Bridge Protocol Data Units) über Trunk-Links empfangen werden, indem du BPDU Guard aktivierst.
  
Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# spanning-tree bpduguard enable
Port Security: Setze Port Security, um nur autorisierte Geräte auf den Trunk-Ports zuzulassen.
Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport port-security
Unzulässige VLANs vermeiden: Deaktiviere ungenutzte VLANs und stelle sicher, dass nur die notwendigen VLANs auf den Trunk-Ports aktiv sind.

Mit diesen Best Practices kannst du Trunk-Links effektiv sichern und verhindern, dass unbefugte Geräte auf dein Netzwerk zugreifen oder es destabilisieren.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze


Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)


Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)


Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation


Optional Security: Basic ACLs und SSH-Hardening


Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)


Sie erhalten


✅ Packet Tracer .pkt Datei


✅ Saubere Konfigurations-Notizen pro Gerät


✅ Verifikations-Checkliste + erwartete Outputs


✅ Kurze Dokumentation (wie die Topologie funktioniert)


  Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.