Port Security ist eine der wichtigsten Sicherheitsfunktionen auf Switches, die dazu beitragen, unbefugten Zugriff auf das Netzwerk zu verhindern. Besonders in großen Netzwerken, wo viele Geräte an die Access-Ports angeschlossen sind, wird Port Security zu einem unverzichtbaren Werkzeug. In diesem Artikel werden wir fortgeschrittene Aspekte der Port-Security-Konfiguration auf Cisco-Switches betrachten, einschließlich der Verwendung von Sticky MAC-Adressen, Aging und Violation Handling.
1. Sticky MAC-Adressen: Dynamische Adresszuweisung
Sticky MAC-Adressen bieten eine flexible Methode zur dynamischen Zuordnung von MAC-Adressen zu Ports. Wenn ein Gerät an einem Access-Port angeschlossen wird, speichert der Switch die MAC-Adresse dieses Geräts und erlaubt nur noch diese Adresse an diesem Port. Dies reduziert die Verwaltungsaufwände, da die MAC-Adresse nicht manuell konfiguriert werden muss.
1.1. Aktivierung von Sticky MAC
Um Sticky MAC auf einem Access-Port zu aktivieren, verwenden Sie den folgenden Befehl:
switchport port-security mac-address stickyDurch diese Konfiguration speichert der Switch die MAC-Adresse des Geräts, sobald es an den Port angeschlossen wird. Diese Adresse wird in der Port-Security-Datenbank des Switches gespeichert und automatisch zugewiesen, wenn das Gerät erneut angeschlossen wird.
2. Aging: Verwaltung von MAC-Adressen
Das Aging von MAC-Adressen ist eine wichtige Funktion, um sicherzustellen, dass nicht mehr verwendete MAC-Adressen aus der Port-Security-Datenbank entfernt werden. Wenn ein Gerät nicht mehr am Port angeschlossen ist, wird seine MAC-Adresse nach einer festgelegten Zeit aus der Datenbank entfernt. Dies hilft, Speicherplatz zu sparen und unerwünschte Verbindungen zu verhindern.
2.1. Konfiguration des Aging-Timers
Der Aging-Timer kann auf einem Switch eingestellt werden, um die Zeit zu definieren, nach der MAC-Adressen aus der Datenbank gelöscht werden. Der folgende Befehl stellt den Aging-Timer auf 300 Sekunden ein:
switchport port-security aging time 300Dieser Timer sorgt dafür, dass eine MAC-Adresse nach 300 Sekunden der Inaktivität aus der Datenbank entfernt wird. Der Standardwert beträgt 300 Sekunden, aber er kann je nach Bedarf angepasst werden.
3. Violation Handling: Reaktion auf Verstöße
Wenn ein Gerät versucht, sich mit einer MAC-Adresse anzumelden, die nicht in der Port-Security-Datenbank des Switches vorhanden ist, tritt eine Port-Security-Verletzung auf. Cisco-Switches bieten verschiedene Mechanismen zur Handhabung solcher Verstöße: Shutdown, Protect und Restrict.
3.1. Violation-Typen
- Shutdown: Der Port wird in den Fehlerstatus versetzt und das Gerät wird blockiert. Dies ist die restriktivste Einstellung.
- Protect: Der Port lässt keine weiteren Verbindungen zu, blockiert jedoch nicht den gesamten Port.
- Restrict: Der Port blockiert die Verbindung und sendet eine Benachrichtigung (Syslog) über den Verstoß.
3.2. Konfiguration des Violation-Mode
Um den Violation Mode festzulegen, verwenden Sie den folgenden Befehl:
switchport port-security violation restrictDieser Befehl konfiguriert den Switch so, dass er im Falle eines Verstoßes gegen die Port-Security-Policy eine Restriction anwendet, bei der neue MAC-Adressen blockiert werden und eine Benachrichtigung erzeugt wird.
4. Monitoring und Troubleshooting von Port Security
Die ordnungsgemäße Überwachung und Fehlerbehebung von Port Security ist entscheidend, um sicherzustellen, dass das Netzwerk sicher bleibt und gleichzeitig die Leistung nicht beeinträchtigt wird. Die wichtigsten Befehle zur Überprüfung von Port-Security-Status und -Verletzungen sind:
-
show port-security– Zeigt die Port-Security-Konfiguration und den Status aller Ports.
-
show port-security interface– Zeigt detaillierte Informationen zum Status des Port-Security-Mechanismus für einen bestimmten Port.
-
show port-security violation– Zeigt eine Zusammenfassung von Port-Security-Verletzungen und deren Behandlung.
4.1. Beispiel für Port-Security-Monitoring
Um die aktuellen Port-Security-Einstellungen und Verstöße auf einem Switch zu überprüfen, können Sie den folgenden Befehl verwenden:
show port-security interface gigabitEthernet 0/1Dieser Befehl zeigt den Status des Port-Security-Mechanismus für den angegebenen Port an, einschließlich der Anzahl der verletzten Versuche und der aktuellen MAC-Adressen, die auf diesem Port zulässig sind.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
