March 3, 2026

VLAN Hopping verhindern: Praktische Schutzmaßnahmen auf Cisco Switches

VLAN Hopping ist eine Technik, bei der Angreifer versuchen, in ein anderes VLAN zu wechseln, um auf sensible Daten oder Systeme zuzugreifen. Diese Art von Angriff kann zu erheblichen Sicherheitslücken in einem Netzwerk führen. Daher ist es entscheidend, geeignete Schutzmaßnahmen zu implementieren, um VLAN Hopping zu verhindern. In diesem Artikel werden wir praxisnahe Methoden vorstellen, um VLAN Hopping auf Cisco Switches zu verhindern und die Sicherheit im Netzwerk zu erhöhen.

1. DTP (Dynamic Trunking Protocol) deaktivieren

Das Dynamic Trunking Protocol (DTP) ermöglicht es Cisco Switches, automatisch Trunk-Verbindungen zu etablieren. Dies stellt eine Sicherheitslücke dar, da ein Angreifer DTP missbrauchen könnte, um eine unautorisierte Trunk-Verbindung zu initiieren. Um diese Gefahr zu vermeiden, sollte DTP auf den Ports deaktiviert werden, die keine Trunks sein sollen.

1.1. DTP deaktivieren

Deaktiviere DTP auf Ports, die keine Trunks sein sollen, indem du den folgenden Befehl verwendest:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport mode access

Falls du den Port als Trunk konfigurieren möchtest, setze ihn manuell auf den Trunk-Modus:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport mode trunk

2. Native VLAN ändern

Das Native VLAN wird für untagged Frames auf einem Trunk-Link verwendet. Standardmäßig ist VLAN 1 als Native VLAN konfiguriert, was eine häufige Zielvorgabe für VLAN-Hopping-Angriffe ist. Durch das Ändern des Native VLANs auf einen anderen Wert als VLAN 1 wird das Risiko erheblich reduziert.

2.1. Native VLAN ändern

Um das Native VLAN zu ändern, verwende den folgenden Befehl:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport trunk native vlan 99

In diesem Beispiel wird VLAN 99 als Native VLAN gesetzt. Achte darauf, dass dieses VLAN auch auf allen anderen Switches im Trunk-Path konsistent konfiguriert wird.

3. VLAN Hopping durch BPDU Guard verhindern

BPDU Guard schützt vor Bridge Protocol Data Unit (BPDU)-Angriffen, die verwendet werden können, um ungewollte Trunk-Verbindungen zu erzwingen. Durch die Aktivierung von BPDU Guard auf den Access-Ports des Switches wird verhindert, dass BPDUs auf unautorisierten Ports empfangen werden.

3.1. BPDU Guard aktivieren

Aktiviere BPDU Guard auf einem Access-Port mit folgendem Befehl:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# spanning-tree bpduguard enable

Dies stellt sicher, dass keine BPDUs auf Access-Ports empfangen werden, wodurch Angreifer daran gehindert werden, Trunk-Verbindungen aufzubauen.

4. Trunk VLANs beschränken

Die Konfiguration von Trunk-Links sollte darauf abzielen, nur die VLANs zu erlauben, die tatsächlich benötigt werden. Dadurch wird das Risiko verringert, dass nicht autorisierte VLANs über den Trunk-Channel übertragen werden, was potenziell zu einem VLAN-Hopping-Angriff führen könnte.

4.1. Allowed VLANs auf einem Trunk konfigurieren

Verwende den folgenden Befehl, um nur bestimmte VLANs auf einem Trunk zu erlauben:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport trunk allowed vlan 10,20,30

Dies stellt sicher, dass nur VLAN 10, 20 und 30 auf dem Trunk-Interface zugelassen sind. Alle anderen VLANs werden blockiert.

5. VLAN Hopping durch Port Security verhindern

Die Aktivierung von Port Security verhindert, dass unautorisierte Geräte an einem Port kommunizieren. Dies kann auch VLAN-Hopping-Angriffe verhindern, indem sichergestellt wird, dass nur bestimmte MAC-Adressen zugelassen werden.

5.1. Port Security konfigurieren

Aktiviere Port Security auf einem Switch-Port, um nur autorisierte Geräte zuzulassen:

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict

In diesem Beispiel wird Port Security so konfiguriert, dass maximal zwei MAC-Adressen zugelassen sind, und bei einem Sicherheitsverstoß wird der Port in den „restrict“ Modus versetzt.

6. Unbenutzte VLANs deaktivieren

Durch das Deaktivieren ungenutzter VLANs auf dem Switch verringert sich die Angriffsfläche und das Risiko von VLAN-Hopping. Unbenutzte VLANs sollten nicht aktiv bleiben, da sie potentiell für Angriffe missbraucht werden können.

6.1. Unbenutzte VLANs entfernen

Um ungenutzte VLANs zu entfernen, verwende den folgenden Befehl:

Switch(config)# no vlan 999

Dieser Befehl entfernt VLAN 999 vom Switch. Achte darauf, dass du keine VLANs entfernst, die noch in Gebrauch sind.

7. VLAN Hopping durch RADIUS und TACACS+ absichern

Die Verwendung von RADIUS oder TACACS+ zur Authentifizierung von Benutzern und Geräten kann dabei helfen, VLAN-Hopping-Angriffe zu verhindern, da nur autorisierte Geräte und Benutzer Zugriff auf das Netzwerk erhalten.

7.1. RADIUS oder TACACS+ aktivieren

Um RADIUS auf einem Cisco Switch zu konfigurieren, verwende folgenden Befehl:

Switch(config)# radius-server host 192.168.1.1 key radiuskey
Switch(config)# aaa new-model

Dieser Befehl verbindet den Switch mit einem RADIUS-Server und aktiviert die AAA (Authentication, Authorization, and Accounting)-Funktionalität.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer