IP Spoofing am Access-Port ist ein häufig unterschätztes Risiko: Ein Endgerät kann sich einfach eine fremde IP-Adresse geben (z. B. die eines Servers oder Gateways) und damit Policies umgehen, Logging verfälschen oder Konflikte auslösen. IP Source Guard ist die Cisco-Gegenmaßnahme auf Layer 2: Der Switch erlaubt IP-Traffic auf einem Port nur dann, wenn die IP/MAC/VLAN/Port-Kombination zu einer vertrauenswürdigen Bindung passt – in der Regel aus der DHCP Snooping Binding Table. In Kombination mit DHCP Snooping und Dynamic ARP Inspection entsteht so ein wirksames Access-Security-Bundle.
Was IP Source Guard macht (und was nicht)
IP Source Guard filtert eingehenden Verkehr am Switchport anhand einer erlaubten IP↔MAC↔Port-Bindung. Wenn ein Host eine andere IP benutzt als vorgesehen, wird der Traffic gedroppt. Das schützt gegen IP-Spoofing und reduziert „fremde IP“-Effekte im VLAN.
- Erlaubt nur IP-Adressen, die zur Port-Bindung passen
- Verhindert IP-Spoofing und reduziert IP-Konflikte
- Arbeitet typischerweise mit DHCP Snooping Bindings
- Ersetzt keine Firewall-Policies, sondern ergänzt Edge-Security
Zusammenspiel im Access-Security-Bundle
- DHCP Snooping: stoppt Rogue DHCP, baut Bindings auf
- DAI: verhindert ARP Spoofing mit Hilfe der Bindings
- IP Source Guard: verhindert IP Spoofing mit Hilfe der Bindings
Voraussetzungen: Ohne Bindings kein sauberer Betrieb
IP Source Guard ist am einfachsten in DHCP-basierten Client-VLANs. Dann entstehen Bindings automatisch. Bei statischen IPs brauchst du eine Strategie (statisches Binding oder alternative VLANs), sonst droppst du legitimen Traffic.
- DHCP Snooping aktiv und korrekt konfiguriert
- Bindings vorhanden: MAC–IP–VLAN–Port
- Trusted Uplinks gesetzt (sonst keine Bindings)
- Plan für statische IPs (statische Bindings oder separate VLANs)
Bindings prüfen (vor dem Rollout)
show ip dhcp snooping
show ip dhcp snooping binding
Schritt 1: DHCP Snooping als Basis aktivieren
Aktiviere DHCP Snooping global und für die relevanten VLANs. Setze Uplinks Richtung Distribution/DHCP-Server als trusted und begrenze DHCP-Flooding auf Edge-Ports.
enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20
ip dhcp snooping database flash:dhcp_snoop.db
end
Uplink trusted setzen (Beispiel)
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TO-DIST
ip dhcp snooping trust
end
Rate-Limit auf Edge-Ports (Beispiel)
configure terminal
interface range gigabitEthernet 1/0/1 - 24
ip dhcp snooping limit rate 15
end
Schritt 2: IP Source Guard am Access-Port aktivieren
IP Source Guard wird pro Interface aktiviert. Beginne mit einem Pilot-Port bzw. einem Pilot-VLAN und prüfe danach, ob Traffic sauber läuft und Bindings korrekt greifen.
Beispiel: Client-Port (DHCP) mit IP Source Guard
configure terminal
interface gigabitEthernet 1/0/10
description CLIENT-IPSG
switchport mode access
switchport access vlan 10
ip verify source
spanning-tree portfast
spanning-tree bpduguard enable
end
Option: Zusätzlich DHCP Snooping Rate-Limit und Port Security kombinieren
IP Source Guard stoppt IP-Spoofing, Port Security begrenzt MACs. Zusammen erhöhen sie die Hürde für Rogue-Geräte.
configure terminal
interface gigabitEthernet 1/0/10
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
ip dhcp snooping limit rate 15
end
Statische IPs: Wie du legitimen Traffic nicht aus Versehen blockierst
Wenn ein Gerät statisch konfiguriert ist, existiert keine DHCP Snooping Binding. Dann kann IP Source Guard den IP-Traffic droppen. Saubere Optionen sind: statische Bindings pro Port (wenn unterstützt) oder separate VLANs, die nicht mit IP Source Guard enforced werden.
Design-Optionen für statische Geräte
- Statische IPs in eigene VLANs (Server/Printer) und dort andere Kontrollen nutzen
- Statische Bindings pro Port (wenn Plattform/IOS das unterstützt)
- Wenn möglich: statische Geräte auf DHCP umstellen (Reservierungen)
Verifikation: Prüfen, ob IP Source Guard wirklich greift
Du willst zwei Dinge sehen: Erstens, dass die DHCP Snooping Bindings vorhanden sind. Zweitens, dass der Port IP Source Guard aktiv hat und keine Drops wegen fehlender Bindings produziert.
Bindings und Portstatus prüfen
show ip dhcp snooping binding
show running-config interface gigabitEthernet 1/0/10
show interfaces gigabitEthernet 1/0/10
Access-Security-Events in Logs prüfen
show logging | include DHCP_SNOOPING|IP|VERIFY|SOURCE|DROP
Troubleshooting: Wenn nach Aktivierung „nichts mehr geht“
Wenn IP Source Guard Traffic blockiert, ist die Ursache fast immer fehlende oder falsche Bindings. Arbeite von Snooping → Trusted Uplink → Bindings → Port-Konfiguration.
- DHCP Snooping nicht aktiv oder VLAN nicht freigeschaltet
- Uplink nicht trusted: DHCP-Antworten kommen nicht durch, keine Bindings
- Endpoint nutzt statische IP: Binding fehlt
- DHCP-Probleme: Client bekommt keine Lease, daher keine Binding
Diagnose-Spickzettel
show ip dhcp snooping
show ip dhcp snooping binding
show interfaces trunk
show interfaces gigabitEthernet 1/0/48
show logging | include DHCP|SNOOP|VERIFY|SOURCE|DROP
Praxis-Blueprint: Access-Security-Bundle (Snooping + DAI + IPSG)
Der größte Nutzen entsteht, wenn du die drei Mechanismen gemeinsam nutzt. DHCP Snooping baut Bindings, DAI verhindert ARP Spoofing und IP Source Guard verhindert IP Spoofing – jeweils am Access-Port.
Beispiel: VLAN 10 absichern
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping database flash:dhcp_snoop.db
ip arp inspection vlan 10
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
ip dhcp snooping trust
ip arp inspection trust
exit
interface range gigabitEthernet 1/0/1 - 24
description EDGE-PORTS
ip dhcp snooping limit rate 15
ip arp inspection limit rate 15
exit
interface gigabitEthernet 1/0/10
description CLIENT-SECURED
switchport mode access
switchport access vlan 10
ip verify source
spanning-tree portfast
spanning-tree bpduguard enable
end
Best Practices: IP Source Guard sicher und betrieblich sinnvoll einsetzen
IP Source Guard ist sehr effektiv in DHCP-basierten Client-Netzen. Der Schlüssel ist ein sauberer DHCP Snooping Unterbau und eine klare Strategie für statische Endgeräte.
- Nur in VLANs einsetzen, in denen DHCP Snooping Bindings zuverlässig entstehen
- Trusted nur auf Uplinks/Infra-Ports setzen
- Statische IPs vermeiden oder sauber separat behandeln
- Rollout stufenweise (Pilot → Fläche) und Logs eng überwachen
- Mit DAI kombinieren, um ARP- und IP-Spoofing gemeinsam zu verhindern
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
