Port Security ist eine grundlegende Funktion zur Sicherstellung, dass nur autorisierte Geräte über einen Switch-Port kommunizieren können. Es hilft, Netzwerkintegrität zu wahren, indem es unerwünschte Geräte blockiert und gleichzeitig flexible Möglichkeiten zur Fehlerbehandlung bietet. In diesem Tutorial werden wir uns mit den Konzepten „Sticky MAC“ und „Violation Modes“ in Packet Tracer beschäftigen und deren Implementierung testen.
Was ist Port Security?
Port Security ermöglicht es, auf einem Switch-Port nur eine festgelegte Anzahl von MAC-Adressen zuzulassen. Wird ein Gerät mit einer nicht autorisierten MAC-Adresse an einem Port angeschlossen, kann dies entweder blockiert oder protokolliert werden. Port Security trägt zur Netzwerksicherheit bei, indem es die Gefahr von unbefugtem Zugriff durch unerwünschte Geräte reduziert.
- Maximale Anzahl von MAC-Adressen pro Port einstellen
- Geräte mit unbekannter MAC-Adresse blockieren
- Verhalten im Falle eines Verstoßes konfigurieren
Was ist „Sticky MAC“?
Sticky MAC ist eine Option von Port Security, bei der die MAC-Adressen, die erstmals an einem Port erkannt werden, automatisch im Switch gespeichert werden. Dies bedeutet, dass der Switch diese Adressen als „sicher“ anerkennt und den Port für diese Adressen auch in Zukunft freigibt, auch wenn der Port neu startet.
- Sticky MAC-Adressen werden automatisch gespeichert
- Erleichtert die Verwaltung von Geräten in einem Netzwerk
- Erfordert keine manuelle Eingabe von MAC-Adressen
Sticky MAC aktivieren
enable
configure terminal
interface fastEthernet0/1
switchport port-security mac-address sticky
end
write memoryWas sind Violation Modes?
Violation Modes bestimmen, wie der Switch auf einen Verstoß gegen die Port-Security-Regeln reagiert. Es gibt drei Modi: Protect, Restrict und Shutdown. Jeder dieser Modi hat unterschiedliche Auswirkungen auf den Port, wenn eine unzulässige MAC-Adresse erkannt wird.
- Protect: Die unzulässige MAC-Adresse wird ignoriert, und der Port bleibt funktionsfähig
- Restrict: Die unzulässige MAC-Adresse wird blockiert, und eine Benachrichtigung wird erstellt
- Shutdown: Der Port wird deaktiviert, und eine Benachrichtigung wird erzeugt
Violation Mode konfigurieren
In der Regel wird der Shutdown-Modus verwendet, um eine hohe Sicherheitsstufe zu gewährleisten. Alternativ kann „Protect“ verwendet werden, wenn nur die MAC-Adresse blockiert werden soll, ohne den Port zu deaktivieren.
enable
configure terminal
interface fastEthernet0/1
switchport port-security violation shutdown
end
write memoryLab-Setup: Port Security mit Sticky MAC und Violation Modes testen
Um Port Security zu testen, verwenden Sie eine einfache Topologie mit einem Switch, einem PC und einem „Rogue“ PC, der eine andere MAC-Adresse verwenden soll. Im Testfall wird Port Security aktiviert und auf einem Port der Violation Mode eingestellt.
- Switch: SW1
- PC1: Mit gültiger MAC-Adresse
- PC2: Mit ungültiger oder geänderter MAC-Adresse
- Port-Settings: FastEthernet0/1 für PC1 und PC2
VLAN und Port-Sicherheit konfigurieren
Erstellen Sie das VLAN und konfigurieren Sie Port Security für den Port, an dem die beiden PCs angeschlossen sind. Stellen Sie sicher, dass Sticky MAC aktiviert und der Violation Mode auf „Shutdown“ gesetzt wird, um den maximalen Schutz zu gewährleisten.
enable
configure terminal
vlan 10
name DATA
end
write memory
interface fastEthernet0/1
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation shutdown
end
write memory
Schritt 1: PC1 anschließen und testen
Schließen Sie PC1 an den Switch-Port an und überprüfen Sie, ob der PC eine IP-Adresse über DHCP erhält. Wenn Sticky MAC aktiviert ist, sollte die MAC-Adresse von PC1 auf dem Switch gespeichert werden.
ipconfig
ping 192.168.10.1Schritt 2: PC2 anschließen und testen
Schließen Sie nun PC2 an den gleichen Switch-Port an. Da PC2 eine andere MAC-Adresse hat, sollte der Violation Mode aktiviert werden und der Switch die Verbindung gemäß der Konfiguration (z.B. Shutdown) blockieren.
- Fehlermeldung auf dem Switch-Port: „Port Security Violation“
- Port sollte in den Shutdown-Zustand wechseln
Verifikation der Port-Status
enable
show interfaces status
show port-securitySchritt 3: Fehlerbehebung und Recovery
Wenn der Port aufgrund eines Verstoßes in den Shutdown-Modus wechselt, müssen Sie den Port manuell reaktivieren. Hierzu setzen Sie den Port auf „no shutdown“. Wenn Sie den Violation Mode auf „Protect“ oder „Restrict“ gesetzt haben, müssen Sie die zugelassene MAC-Adresse aus der Table löschen, um den Port wieder zu aktivieren.
enable
configure terminal
interface fastEthernet0/1
shutdown
no shutdown
end
write memoryTypische Fehler und Lösungen
In der Praxis können einige Fehler bei der Konfiguration von Port Security auftreten. Hier sind die häufigsten und wie Sie diese beheben können.
Fehler 1: Port bleibt nach Violation deaktiviert
- Ursache: Violation Mode auf „Shutdown“ gesetzt, aber der Port wurde nicht manuell reaktiviert
- Lösung: Port manuell mit
no shutdownreaktivieren
Fehler 2: Sticky MAC funktioniert nicht
- Ursache: Port Security ist nicht richtig auf dem Switch-Port konfiguriert
- Lösung: Überprüfen Sie, ob
switchport port-security mac-address stickykorrekt gesetzt ist
Fehler 3: Falsche MAC-Adresse führt zu unerwartetem Verhalten
- Ursache: Der Switch akzeptiert eine falsche MAC-Adresse und deaktiviert den Port nicht wie gewünscht
- Lösung: Überprüfen Sie die Violation Mode-Einstellungen und stellen Sie sicher, dass der richtige Modus verwendet wird
Best Practices für Port Security mit Sticky MAC
Um Port Security effizient und sicher zu konfigurieren, sollten Sie einige Best Practices befolgen:
- Sticky MAC sollte in produktiven Netzwerken genutzt werden, um eine dynamische MAC-Adressverwaltung zu ermöglichen
- Verwenden Sie den Violation Mode „Shutdown“ in sicherheitskritischen Bereichen, um unerlaubte Geräte sofort zu blockieren
- Vermeiden Sie die manuelle Konfiguration von MAC-Adressen, es sei denn, es ist notwendig
- Prüfen Sie regelmäßig die Port-Security-Status und Verbindungen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
