March 13, 2026

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

Das Thema Port Security auf Cisco Switches ist für alle wichtig, die Netzwerke, Switching und CCNA-Grundlagen besser verstehen möchten. Viele Anfänger lernen zuerst, dass ein Switch Geräte im lokalen Netzwerk verbindet und Frames anhand von MAC-Adressen weiterleitet. Das ist richtig. In der Praxis reicht es aber nicht, dass ein Switch nur Daten korrekt weiterleitet. Ein Unternehmen muss auch verhindern, dass unbefugte Geräte einfach an freie Switch-Ports angeschlossen werden. Genau hier kommt Port Security ins Spiel. Port Security ist eine Sicherheitsfunktion auf Cisco Switches, mit der man kontrollieren kann, welche Geräte an einem Port erlaubt sind. So kann man unbefugten Zugriff im Layer 2 begrenzen oder ganz verhindern. Für IT-Studenten, Anfänger im Bereich Netzwerke und Junior Network Engineers ist dieses Wissen sehr wertvoll. Wenn du verstehst, wie Port Security funktioniert, welche Regeln dabei wichtig sind und wie man sie auf Cisco Switches konfiguriert, kannst du viele weitere CCNA-Themen deutlich leichter lernen und die Sicherheit im lokalen Netzwerk besser verstehen.

Table of Contents

Was ist Port Security?

Port Security ist eine Sicherheitsfunktion auf Cisco Switches. Mit dieser Funktion kann ein Administrator festlegen, welche MAC-Adressen an einem Switch-Port erlaubt sind und wie viele Geräte dort maximal angeschlossen werden dürfen.

Wenn ein unerlaubtes Gerät versucht, den Port zu benutzen, kann der Switch darauf reagieren und den Zugriff blockieren oder den Port sogar deaktivieren.

Einfach erklärt

Port Security bedeutet:

Ein Switch-Port erlaubt nur bekannte oder begrenzte Geräte.

Das ist die wichtigste Grundidee des Themas.

Warum ist Port Security wichtig?

In einem lokalen Netzwerk gibt es oft viele freie Netzwerkdosen oder ungenutzte Switch-Ports. Ohne zusätzliche Sicherheit könnte jemand dort einfach ein fremdes Gerät anschließen. Dieses Gerät könnte dann versuchen, Daten zu sehen, Netzwerkzugang zu bekommen oder das Netz zu stören.

Port Security hilft, genau dieses Risiko zu reduzieren.

Typische Gründe für Port Security

  • Unbefugte Geräte am Switch-Port verhindern
  • Netzwerkzugang auf bekannte Geräte begrenzen
  • Layer-2-Sicherheit verbessern
  • Einfache physische Zugänge besser absichern

Für Anfänger ist wichtig: Port Security schützt nicht das ganze Netzwerk allein, aber es sichert eine wichtige Stelle im Zugriff auf das LAN.

Was bedeutet unbefugter Zugriff im Layer 2?

Layer 2 ist die Sicherungsschicht im OSI-Modell. Hier arbeiten Switches mit MAC-Adressen und Ethernet-Frames. Wenn ein unbekanntes Gerät physisch an einen Switch-Port angeschlossen wird, beginnt der Zugriff zuerst auf Layer 2.

Darum ist es sinnvoll, Sicherheit schon an dieser Stelle einzusetzen.

Einfach erklärt

Unbefugter Zugriff im Layer 2 bedeutet:

Ein fremdes Gerät versucht, über einen lokalen Switch-Port ins Netzwerk zu kommen.

Für Anfänger ist wichtig: Port Security arbeitet genau an diesem Punkt.

Welche Gefahr besteht ohne Port Security?

Ohne Port Security nimmt ein Switch an einem normalen Access Port oft jedes Gerät an, das angeschlossen wird. Der Switch lernt einfach die neue MAC-Adresse und behandelt das Gerät dann wie einen normalen Teilnehmer im Netzwerk.

Das kann problematisch sein, wenn ein fremdes oder unerlaubtes Gerät angeschlossen wird.

Typische Risiken ohne Port Security

  • Fremde Geräte bekommen Zugang zum LAN
  • Ein Angreifer kann sich physisch verbinden
  • Interne Bereiche werden leichter erreichbar
  • Sicherheitsregeln auf Layer 2 fehlen

Für Anfänger ist wichtig: Ein freier Port ohne Kontrolle ist oft ein unnötiges Risiko.

Wie arbeitet Port Security grundsätzlich?

Port Security überwacht die MAC-Adressen, die an einem Switch-Port erscheinen. Der Administrator kann festlegen, wie viele MAC-Adressen erlaubt sind und welche genau genutzt werden dürfen. Wenn diese Regeln verletzt werden, erkennt der Switch das als Sicherheitsproblem.

Danach reagiert er abhängig von der gewählten Einstellung.

Der Grundablauf in einfachen Schritten

  • Ein Gerät wird an einen Switch-Port angeschlossen
  • Der Switch sieht die MAC-Adresse
  • Port Security prüft, ob diese Adresse erlaubt ist
  • Wenn ja, darf der Verkehr weiterlaufen
  • Wenn nein, reagiert der Switch mit einer Sicherheitsmaßnahme

Für Anfänger ist wichtig: Port Security basiert auf MAC-Adressen und Port-Regeln.

Was ist eine MAC-Adresse in diesem Zusammenhang?

Eine MAC-Adresse ist die Hardware-Adresse eines Netzwerkadapters. Switches arbeiten auf Layer 2 mit diesen Adressen. Port Security nutzt genau diese MAC-Adressen, um Geräte an einem Port zu erkennen und zu kontrollieren.

Einfach erklärt

Die MAC-Adresse ist die Layer-2-Identität eines Geräts am Switch-Port.

Für Anfänger ist wichtig: Port Security prüft also nicht direkt die IP-Adresse, sondern zuerst die MAC-Adresse.

Welche Ports können mit Port Security geschützt werden?

Port Security wird typischerweise auf Access Ports verwendet. Das sind Ports, an denen normalerweise Endgeräte wie PCs, Drucker oder IP-Telefone angeschlossen sind.

Für Trunk-Ports ist Port Security in klassischen Grundlagen meist nicht die typische Lösung.

Typische geeignete Ports

  • PC-Anschlüsse
  • Drucker-Anschlüsse
  • Ports für einzelne Endgeräte
  • Nicht genutzte Access Ports

Für Anfänger ist wichtig: Port Security gehört vor allem auf Edge-Ports im LAN.

Was ist die maximale Anzahl erlaubter MAC-Adressen?

Mit Port Security kann man festlegen, wie viele MAC-Adressen an einem Port gleichzeitig erlaubt sind. In vielen einfachen Szenarien ist das genau eine MAC-Adresse. Das bedeutet: Nur ein Gerät darf diesen Port benutzen.

In anderen Fällen kann man bewusst mehr erlauben, zum Beispiel wenn ein IP-Telefon und ein PC am selben Port arbeiten.

Einfach erklärt

Die maximale Anzahl sagt:

Wie viele Geräte dürfen an diesem Port erkannt werden?

Warum ist die Begrenzung der MAC-Adressen nützlich?

Wenn ein Port nur eine oder wenige MAC-Adressen akzeptiert, wird es schwieriger, zusätzliche oder fremde Geräte unbemerkt anzuschließen. So kann der Administrator viel besser kontrollieren, was an einem Port passiert.

Typische Vorteile

  • Nur erwartete Geräte sind erlaubt
  • Unerlaubte Geräte fallen schneller auf
  • Die Sicherheit am Access Port steigt

Für Anfänger ist wichtig: Die Begrenzung ist eine einfache, aber wirksame Schutzmaßnahme.

Welche Arten von sicheren MAC-Adressen gibt es?

Bei Port Security kann man unterschiedliche Arten von erlaubten MAC-Adressen verwenden. Für die CCNA-Grundlagen sind besonders diese Varianten wichtig:

  • Statisch konfigurierte MAC-Adressen
  • Dynamisch gelernte sichere MAC-Adressen
  • Sticky MAC-Adressen

Diese Varianten unterscheiden sich darin, wie der Switch die erlaubten MAC-Adressen bekommt oder speichert.

Was sind statisch konfigurierte sichere MAC-Adressen?

Bei dieser Methode trägt der Administrator die erlaubte MAC-Adresse manuell in die Konfiguration ein. Das ist sehr kontrolliert, aber auch mit mehr Arbeit verbunden.

Einfach erklärt

Statisch bedeutet:

Der Administrator sagt dem Switch genau, welche MAC-Adresse erlaubt ist.

Für Anfänger ist wichtig: Diese Methode ist sehr klar, aber weniger flexibel.

Was sind dynamisch gelernte sichere MAC-Adressen?

Der Switch kann sichere MAC-Adressen auch automatisch lernen, wenn ein Gerät zum ersten Mal am Port arbeitet. Diese Adressen gelten dann für den laufenden Betrieb, sind aber nicht immer dauerhaft in der Konfiguration gespeichert.

Einfach erklärt

Dynamisch bedeutet:

Der Switch lernt erlaubte MAC-Adressen selbst im Betrieb.

Für Anfänger ist wichtig: Diese Methode ist einfacher, aber oft weniger dauerhaft.

Was ist Sticky MAC?

Sticky MAC ist eine sehr nützliche Funktion. Dabei lernt der Switch die MAC-Adresse automatisch, schreibt sie aber in einer Form in die laufende Konfiguration. So verbindet Sticky die einfache automatische Erkennung mit einer besseren dauerhaften Nutzung.

Einfach erklärt

Sticky bedeutet:

Der Switch lernt die MAC-Adresse automatisch und merkt sie sich wie eine feste Regel.

Für Anfänger ist wichtig: Sticky ist oft eine sehr praktische Lösung für Port Security.

Warum ist Sticky MAC so beliebt?

Sticky MAC spart Arbeit, weil der Administrator nicht jede Adresse manuell eintippen muss. Gleichzeitig ist die Lösung kontrollierter als rein dynamisches Lernen, weil die Adresse im Gerät sichtbarer und besser nutzbar bleibt.

Typische Vorteile von Sticky

  • Weniger manuelle Arbeit
  • Automatisches Lernen
  • Bessere Nachvollziehbarkeit
  • Praktisch für viele Access Ports

Für Anfänger ist wichtig: Sticky MAC ist im Cisco-Alltag sehr bekannt und nützlich.

Was ist eine Security Violation?

Eine Security Violation passiert, wenn die Port-Security-Regeln verletzt werden. Das ist zum Beispiel der Fall, wenn zu viele MAC-Adressen an einem Port auftauchen oder wenn eine nicht erlaubte MAC-Adresse den Port benutzt.

Einfach erklärt

Eine Security Violation bedeutet:

Ein Gerät oder Verkehr verstößt gegen die Port-Security-Regeln.

Für Anfänger ist wichtig: Port Security wird erst wirklich wichtig, wenn eine Verletzung erkannt wird.

Welche Violation-Modi gibt es?

Wenn eine Security Violation passiert, kann der Switch unterschiedlich reagieren. Für die CCNA-Grundlagen sind drei wichtige Modi bekannt:

  • protect
  • restrict
  • shutdown

Diese Modi legen fest, wie stark der Switch auf einen Verstoß reagiert.

Was bedeutet der Violation-Modus protect?

Im Modus protect verwirft der Switch unerlaubten Verkehr still. Der Port bleibt aber grundsätzlich aktiv. Es gibt im Vergleich zu anderen Modi weniger sichtbare Reaktionen.

Einfach erklärt

Protect bedeutet:

Unerlaubter Verkehr wird verworfen, aber der Port bleibt aktiv.

Für Anfänger ist wichtig: Protect ist eher still und zurückhaltend.

Was bedeutet der Violation-Modus restrict?

Im Modus restrict verwirft der Switch ebenfalls unerlaubten Verkehr, aber zusätzlich kann er Zähler erhöhen und Meldungen erzeugen. Dadurch sieht der Administrator besser, dass etwas passiert ist.

Einfach erklärt

Restrict bedeutet:

Unerlaubter Verkehr wird blockiert und der Vorfall wird sichtbarer gemacht.

Für Anfänger ist wichtig: Restrict ist informativer als Protect.

Was bedeutet der Violation-Modus shutdown?

Im Modus shutdown wird der Port bei einer Security Violation deaktiviert. Er geht dann oft in den Zustand err-disabled. Das ist die stärkste Reaktion und auch die häufig bekannte Standardreaktion in vielen einfachen Beispielen.

Einfach erklärt

Shutdown bedeutet:

Bei einem Verstoß wird der ganze Port abgeschaltet.

Für Anfänger ist wichtig: Das ist der härteste und sichtbarste Modus.

Was ist err-disabled?

Err-disabled bedeutet, dass ein Port wegen eines Problems oder einer Sicherheitsverletzung deaktiviert wurde. Bei Port Security passiert das oft im Violation-Modus shutdown.

Dann funktioniert der Port nicht mehr normal, bis der Fehler behandelt oder der Port wieder aktiviert wird.

Einfach erklärt

Err-disabled bedeutet:

Der Port wurde wegen eines Fehlers oder Verstoßes automatisch stillgelegt.

Wie konfiguriert man Port Security auf einem Cisco Switch?

Für eine einfache Grundkonfiguration braucht man mehrere Schritte. Zuerst wird der Port als Access Port eingerichtet. Danach wird Port Security aktiviert und dann die maximale Anzahl oder weitere Optionen gesetzt.

Ein einfaches Grundbeispiel

interface fastethernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown

Diese Konfiguration bedeutet:

  • Der Port arbeitet als Access Port
  • Port Security wird aktiviert
  • Nur eine MAC-Adresse ist erlaubt
  • Bei einem Verstoß wird der Port abgeschaltet

Für Anfänger ist wichtig: Ohne Access-Port-Modus passt die Funktion oft nicht zum gewünschten Einsatz.

Wie aktiviert man Sticky MAC auf einem Cisco Switch?

Wenn der Switch die MAC-Adresse automatisch lernen und festhalten soll, kann man Sticky aktivieren.

Beispiel

interface fastethernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky

Damit lernt der Switch die erste passende MAC-Adresse automatisch und behandelt sie als sichere Adresse.

Einfach erklärt

Mit Sticky lernt der Switch selbst, welches Gerät erlaubt ist.

Wie konfiguriert man eine statische sichere MAC-Adresse?

Wenn eine ganz bestimmte MAC-Adresse erlaubt werden soll, kann man sie direkt eintragen.

Beispiel

interface fastethernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address 00AA.11BB.22CC

Damit darf genau diese MAC-Adresse den Port benutzen.

Einfach erklärt

Das ist die manuelle und sehr kontrollierte Variante.

Wie prüft man Port Security auf Cisco Switches?

Nach der Konfiguration sollte man immer prüfen, ob Port Security wirklich aktiv ist und wie der aktuelle Zustand aussieht. Dafür gibt es wichtige Cisco-Befehle.

Allgemeine Port-Security-Informationen anzeigen

show port-security

Details für einen bestimmten Port anzeigen

show port-security interface fastethernet0/1

Gelernte sichere MAC-Adressen anzeigen

show port-security address

Für Anfänger ist wichtig: Prüfen ist genauso wichtig wie Konfigurieren.

Wo wird Port Security typischerweise eingesetzt?

Port Security wird vor allem an Ports eingesetzt, an denen Endgeräte angeschlossen sind. Das sind also typische Benutzer- oder Arbeitsplatzports am Rand des Netzwerks.

Typische Einsatzbereiche

  • Büro-PCs
  • Drucker
  • Feste Arbeitsplatzanschlüsse
  • Nicht genutzte Access Ports
  • Öffentlich zugängliche Netzwerkdosen

Für Anfänger ist wichtig: Port Security ist eine typische Edge-Sicherheitsmaßnahme im Layer 2.

Welche Vorteile hat Port Security?

Port Security bringt mehrere praktische Vorteile für die lokale Netzwerksicherheit.

Wichtige Vorteile

  • Unbekannte Geräte werden begrenzt
  • Layer-2-Zugriff wird besser kontrolliert
  • Einfache physische Sicherheitslücken werden kleiner
  • Unerlaubte Anschlussversuche werden sichtbarer

Für Anfänger ist wichtig: Port Security ist einfach, aber sehr nützlich.

Welche Grenzen hat Port Security?

Port Security ist hilfreich, aber nicht perfekt. Wenn ein Angreifer eine erlaubte MAC-Adresse kopiert oder andere Methoden nutzt, gibt es weiterhin Risiken. Außerdem ersetzt Port Security keine vollständige Netzwerksicherheitsstrategie.

Typische Grenzen

  • Nur eine Teilmaßnahme der Sicherheit
  • MAC-Adressen können grundsätzlich nachgeahmt werden
  • Nicht jede Bedrohung im LAN wird damit gelöst

Für Anfänger ist wichtig: Port Security ist ein wichtiger Baustein, aber nicht die einzige Schutzmaßnahme.

Welche typischen Fehler machen Anfänger bei Port Security?

Viele Anfänger verstehen die Grundidee, machen aber kleine Konfigurationsfehler. Das ist normal, weil mehrere Bedingungen zusammenpassen müssen.

Häufige Fehler

  • Port Security ohne Access-Port-Konfiguration nutzen wollen
  • Zu viele oder zu wenige MAC-Adressen erlauben
  • Den falschen Violation-Modus wählen
  • Sticky MAC aktivieren, aber die Adresse nicht prüfen
  • Nicht wissen, warum der Port plötzlich err-disabled ist

Ein weiterer häufiger Fehler ist, Port Security auf ungeeigneten Ports einzusetzen.

Wie hilft dieses Wissen bei der Fehlersuche?

Wenn ein Gerät plötzlich keine Verbindung mehr hat oder ein Switch-Port unerwartet deaktiviert ist, kann Port Security eine wichtige Ursache sein. Mit dem richtigen Grundwissen kannst du gezielt prüfen, ob eine Security Violation oder ein err-disabled-Zustand vorliegt.

Wichtige Prüffragen

  • Ist Port Security auf dem Port aktiv?
  • Wie viele MAC-Adressen sind erlaubt?
  • Welche MAC-Adresse wurde gelernt?
  • Gab es eine Security Violation?
  • Ist der Port im Zustand err-disabled?

Gerade diese Fragen helfen sehr im Cisco-Lab und im echten Netzwerkbetrieb.

Wie lernen Anfänger Port Security am besten?

Der beste Weg ist, zuerst die Grundidee zu verstehen: Ein Switch-Port soll nur bekannte oder begrenzte Geräte akzeptieren. Danach solltest du die Begriffe sichere MAC-Adresse, Violation-Modus und Sticky MAC sauber lernen. Mit kleinen Cisco-Labs wird das Thema sehr schnell klarer.

Ein guter Lernweg

  • Zuerst Port Security als Layer-2-Schutzmaßnahme einordnen
  • Dann maximale MAC-Anzahl und sichere MAC-Adressen verstehen
  • Protect, Restrict und Shutdown direkt vergleichen
  • Sticky MAC praktisch üben
  • Mit show port-security und show port-security interface die Ergebnisse prüfen

Wenn du Port Security auf Cisco Switches wirklich sauber verstanden hast, hast du eine sehr wichtige Grundlage für Layer-2-Sicherheit und für die CCNA-Prüfung. Genau dieses Thema hilft dir dabei, unbefugten Zugriff im lokalen Netzwerk besser zu verhindern und Cisco-Switch-Ports sicherer zu konfigurieren.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Passwortrichtlinien verstehen: Komplexität, Verwaltung, MFA und Zertifikate

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt