March 3, 2026

L2 Attack Surface reduzieren: Unused Ports, Native VLAN, Trunk Restrictions

Im Bereich der Netzwerksicherheit ist die Reduzierung der Angriffsurface auf Layer 2 von großer Bedeutung. Angreifer können Schwachstellen in der Netzwerkarchitektur ausnutzen, um unbefugten Zugriff zu erlangen. In diesem Artikel konzentrieren wir uns auf bewährte Methoden, um das Risiko auf Layer-2-Ebene zu minimieren. Wir behandeln dabei ungenutzte Ports, die Bedeutung des Native VLAN und die Einschränkungen von Trunks.

Unused Ports: Minimierung der Angriffsfläche

Ungenutzte Ports sind eine häufige Schwachstelle in Netzwerken, da sie potenziell von Angreifern missbraucht werden können, um sich Zugang zum Netzwerk zu verschaffen. Die Deaktivierung von Ports, die nicht in Gebrauch sind, ist eine einfache und effektive Methode zur Minimierung von Angriffen auf Layer 2.

Deaktivierung von ungenutzten Ports

Um ungenutzte Ports zu deaktivieren, verwenden Sie den folgenden Befehl:

switchport shutdown

Dieser Befehl deaktiviert den Port vollständig. Wenn der Port später benötigt wird, kann er mit dem Befehl no shutdown wieder aktiviert werden. Durch die Deaktivierung von nicht verwendeten Ports wird verhindert, dass Angreifer diese für bösartige Aktivitäten nutzen können.

Native VLAN: Minimierung des Risikos durch Trunk-Ports

Das Native VLAN ist das VLAN, das auf Trunk-Links verwendet wird, um untagged Frames zu transportieren. Ein nicht richtig konfiguriertes Native VLAN kann eine Sicherheitslücke darstellen, da Angreifer möglicherweise untagged Frames in dieses VLAN injizieren können. Die Wahl eines sicheren Native VLANs ist daher eine wichtige Maßnahme zur Verbesserung der Netzwerksicherheit.

Best Practices für das Native VLAN

  • Vermeiden Sie die Verwendung von VLAN 1 als Native VLAN, da es in vielen Netzwerken standardmäßig verwendet wird und somit ein potenzielles Ziel für Angreifer darstellt.
  • Wählen Sie ein VLAN aus, das nicht mit anderen Benutzer-VLANs überschneidet, und stellen Sie sicher, dass dieses VLAN nur für die Verwaltung und den Datenverkehr auf Trunk-Links verwendet wird.
  • Verwenden Sie den Befehl switchport trunk native vlan, um das Native VLAN explizit zu konfigurieren.

Beispiel: Wenn Sie VLAN 10 als Native VLAN festlegen möchten, verwenden Sie den folgenden Befehl:

switchport trunk native vlan 10

Trunk Restrictions: Eingrenzung des Zugriffs auf VLANs

Trunk-Ports transportieren den Verkehr für mehrere VLANs zwischen Switches. Eine unsachgemäße Trunk-Konfiguration kann dazu führen, dass Angreifer auf VLANs zugreifen, die sie nicht betreten sollten. Daher ist es entscheidend, den Verkehr auf den Trunk-Ports zu beschränken, um nur autorisierte VLANs zuzulassen.

Trunk-Port Einschränkungen konfigurieren

Um die VLANs zu beschränken, die über einen Trunk-Ports transportiert werden, verwenden Sie den folgenden Befehl:

switchport trunk allowed vlan

Beispiel: Wenn nur VLANs 10 und 20 auf einem Trunk-Port zugelassen werden sollen, verwenden Sie diesen Befehl:

switchport trunk allowed vlan 10,20

Dieser Befehl stellt sicher, dass nur die angegebenen VLANs über den Trunk-Ports transportiert werden, wodurch das Risiko eines unbefugten Zugriffs auf nicht autorisierte VLANs verringert wird.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer