Port Security ist eine essenzielle Funktion zur Sicherung von Netzwerk-Ports gegen unerwünschte Geräte. In diesem Artikel geht es um fortgeschrittene Techniken der Port Security, wie Sticky MAC-Adressen, Aging und Violation Modes. Diese Funktionen bieten eine hohe Flexibilität und Sicherheit, insbesondere in großen Netzwerken, in denen Geräte regelmäßig hinzugefügt oder entfernt werden.
1. Sticky MAC-Adressen
Sticky MAC-Adressen ermöglichen es einem Switch, MAC-Adressen von Geräten, die an einem Port angeschlossen sind, automatisch zu lernen und diese für zukünftige Verbindungen zu speichern. Diese MAC-Adressen werden in der Port-Security-Datenbank des Switches gespeichert, sodass der Port nur noch Verbindungen von diesen spezifischen MAC-Adressen zulässt.
1.1 Aktivierung von Sticky MAC-Adressen
Um Sticky MAC-Adressen zu aktivieren, müssen Sie die Port-Security-Funktion auf dem entsprechenden Port konfigurieren und das Kommando „sticky“ hinzufügen. Dadurch werden alle MAC-Adressen, die an diesem Port gelernt werden, als Sticky MAC-Adressen gespeichert.
Switch(config)# interface gig0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict
In diesem Beispiel wird Sticky MAC auf dem Port gig0/1 aktiviert. Der Switch kann maximal 2 MAC-Adressen pro Port lernen. Bei einem Verstoß wird der Zugang eingeschränkt.
2. Aging von MAC-Adressen
Das Aging von MAC-Adressen definiert, wie lange die auf einem Port gelernten MAC-Adressen gespeichert werden, bevor sie aus der Port-Security-Datenbank entfernt werden. Dies ist besonders nützlich, wenn sich Geräte häufig ändern und nicht ständig in der Datenbank bleiben sollen.
2.1 Aktivierung des Aging-Timers
Der Aging-Timer kann auf dem Switch für Port Security konfiguriert werden. Dies stellt sicher, dass nach Ablauf des Zeitlimits eine MAC-Adresse nicht mehr akzeptiert wird, auch wenn sie an diesem Port gelernt wurde.
Switch(config)# interface gig0/1
Switch(config-if)# switchport port-security aging time 5
Switch(config-if)# switchport port-security aging type absolute
In diesem Beispiel wird der Aging-Timer auf 5 Minuten gesetzt, und die MAC-Adresse wird absolut entfernt, wenn die Zeit abgelaufen ist.
3. Violation Modes
Port Security bietet drei Violation Modes, die definieren, was passiert, wenn eine unzulässige MAC-Adresse versucht, den Port zu verwenden. Diese Modi sind „Protect“, „Restrict“ und „Shutdown“.
3.1 Protect Mode
Im Protect Mode werden unzulässige MAC-Adressen einfach verworfen, ohne dass eine Benachrichtigung oder eine erkennbar sichtbare Änderung am Switch erfolgt. Der Port bleibt aktiv, aber der unerlaubte Verkehr wird nicht durchgelassen.
Switch(config-if)# switchport port-security violation protect
3.2 Restrict Mode
Im Restrict Mode wird der unerlaubte Verkehr ebenfalls verworfen. Zusätzlich wird jedoch ein Sicherheitslog erstellt, um den Administrator über den Vorfall zu benachrichtigen. Der Port bleibt ebenfalls aktiv, aber mit einer Benachrichtigung.
Switch(config-if)# switchport port-security violation restrict
3.3 Shutdown Mode
Im Shutdown Mode wird der Port deaktiviert, wenn eine unzulässige MAC-Adresse erkannt wird. Dies ist der restriktivste Violation Mode und schützt den Port vollständig vor unerwünschtem Zugriff.
Switch(config-if)# switchport port-security violation shutdown
Der Port wird in diesem Fall vollständig heruntergefahren und muss manuell wieder aktiviert werden.
4. Überwachung und Fehlerbehebung
Um sicherzustellen, dass die Port-Security-Funktion wie erwartet funktioniert, können Sie verschiedene Befehle verwenden, um den Status der Konfiguration und die Verletzungen zu überwachen.
4.1 Überprüfen der Port-Security-Status
Switch# show port-security
Switch# show port-security interface gig0/1
Mit diesen Befehlen können Sie die aktuellen Sicherheitsstatistiken einsehen, wie z. B. die Anzahl der Verletzungen und den Zustand der verschiedenen Ports.
4.2 Überprüfen von Sicherheitsverletzungen
Switch# show port-security violation
Dieser Befehl zeigt alle Port-Security-Verletzungen an, die seit der letzten Überprüfung aufgetreten sind, und gibt Aufschluss darüber, wie der Switch reagiert hat.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
