Port Security ist eine einfache, aber sehr wirkungsvolle Sicherheitsfunktion auf Cisco Switches: Sie begrenzt, wie viele (und welche) MAC-Adressen auf einem Switchport zugelassen sind. Damit schützt du Access-Ports vor unerwünschten Switches, „MAC-Flooding“-Effekten und ungeplanten Mehrfachanschlüssen. In der Praxis wird Port Security häufig mit MAC-Limits, Sticky MAC (automatisches Lernen) und passenden Violation-Mode-Einstellungen betrieben. Dieses Tutorial zeigt eine saubere Konfiguration, typische Einsatzfälle (Client, Voice, Printer) und die wichtigsten Troubleshooting-Befehle.
Grundprinzip: Was Port Security kontrolliert
Port Security überwacht die Quelle-MAC-Adressen, die ein Port im Forwarding sieht. Du definierst entweder konkrete MACs oder eine maximale Anzahl. Bei Überschreitung greift der konfigurierte Violation Mode.
- MAC-Limit: maximale Anzahl erlaubter MACs pro Port
- Secure MACs: explizit definierte oder „sticky“ gelernte MACs
- Violation Mode: Verhalten bei Verstoß (protect/restrict/shutdown)
Wann Port Security sinnvoll ist
Port Security ist besonders nützlich auf klassischen Access-Ports ohne 802.1X/NAC. In Umgebungen mit 802.1X ergänzt es oft die Edge-Härtung.
Voraussetzungen und typische Fallstricke
Port Security ist primär für Layer-2 Access-Ports gedacht. Auf Trunks oder dynamischen Ports kann es zu unerwarteten Sperren kommen. Plane außerdem realistische MAC-Limits (z. B. Telefon + PC = 2 MACs).
- Ideal: Access-Ports (Clients, Drucker, Kameras)
- Vorsicht: Trunks, AP-Ports, Hypervisor-Ports (viele MACs)
- Voice+PC: meist 2 MACs erforderlich
- VM/Virtualisierung: Port Security oft ungeeignet ohne sauberes Design
Status und aktuelle MACs prüfen
show interfaces status
show mac address-table interface gigabitEthernet 1/0/10
MAC-Limits konfigurieren: Der saubere Standard für Client-Ports
Für einen klassischen Client-Port ist ein MAC-Limit von 1 üblich. Damit verhinderst du, dass jemand einen Switch anschließt oder mehrere Geräte dahinter betreibt.
Beispiel: Client-Port mit Maximum 1 MAC
enable
configure terminal
interface gigabitEthernet 1/0/10
description CLIENT-OFFICE-2.14
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
spanning-tree portfast
spanning-tree bpduguard enable
end
Warum „restrict“ oft der beste Default ist
restrict blockiert unerlaubte MACs, erhöht den Violation Counter und erzeugt Logs/Traps – ohne den Port komplett abzuschalten. Für produktive Büroumgebungen ist das oft praktikabler als shutdown.
Sticky MAC: Automatisch lernen und in der Config speichern
Sticky MAC lernt die aktuell gesehene MAC-Adresse(n) automatisch als „secure“ und schreibt sie in die Running-Config. Nach dem Speichern bleiben diese MACs auch nach einem Reload erhalten.
Sticky MAC aktivieren (Client-Port)
configure terminal
interface gigabitEthernet 1/0/10
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict
end
Sticky MAC dauerhaft machen
copy running-config startup-config
Sticky MAC anzeigen
show port-security interface gigabitEthernet 1/0/10
show running-config interface gigabitEthernet 1/0/10
Voice + PC: Port Security richtig dimensionieren
An einem Telefon-Port hängen oft zwei Geräte (IP-Telefon + PC). Setze daher das MAC-Limit typischerweise auf 2. In manchen Umgebungen kann zusätzlich ein Drucker oder ein Dock dahinter hängen – dann musst du die Policy bewusst entscheiden.
Beispiel: Voice VLAN mit Maximum 2 MACs
configure terminal
interface gigabitEthernet 1/0/15
description IP-PHONE+PC
switchport mode access
switchport access vlan 10
switchport voice vlan 20
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security violation restrict
spanning-tree portfast
spanning-tree bpduguard enable
end
Praktischer Hinweis
Wenn Telefone regelmäßig getauscht werden, kann Sticky MAC zu Betriebsaufwand führen. Dann ist ein reines MAC-Limit ohne Sticky oft die robustere Wahl.
Violation Modes: protect, restrict, shutdown richtig wählen
Der Violation Mode bestimmt, was passiert, wenn eine unerlaubte MAC auftaucht. Die Wahl ist eine Balance aus Security und Betrieb.
- protect: nur droppen, keine Logs/Counter-Erhöhung (leise)
- restrict: droppen + Counter + Logs/SNMP (sichtbar, aber Port bleibt up)
- shutdown: Port err-disabled (hart, sehr sicher, aber Tickets)
Shutdown-Mode (High-Security Edge)
configure terminal
interface gigabitEthernet 1/0/10
switchport port-security violation shutdown
end
Err-Disable prüfen und beheben (nach Ursachenbehebung)
show interface status err-disabled
show logging | include PORT_SECURITY|ERRDISABLE
configure terminal
interface gigabitEthernet 1/0/10
shutdown
no shutdown
end
Monitoring und Troubleshooting: So findest du Verstöße schnell
Port Security ist nur dann nützlich, wenn du Verstöße erkennst. Nutze die Port-Security-Show-Kommandos und Logs, um betroffene Ports und MACs zu identifizieren.
Globaler Überblick
show port-security
show port-security address
Port-spezifische Analyse
show port-security interface gigabitEthernet 1/0/10
show mac address-table interface gigabitEthernet 1/0/10
show logging | include PORT_SECURITY|SECURE|VIOLATION
Saubere Alternativen und Ergänzungen: Wenn Port Security nicht reicht
Port Security ist gut für einfache Edge-Kontrolle, ersetzt aber keine starke Authentifizierung. Für größere Umgebungen sind 802.1X/MAB/NAC oft die langfristig bessere Lösung. Port Security bleibt dann ein ergänzendes Sicherheitsnetz.
- 802.1X (User/Device Auth) als Enterprise-Standard
- MAB für Geräte ohne 802.1X (z. B. Printer/IoT)
- PortFast + BPDU Guard als Loop-/Edge-Schutz
- Storm-Control als „Notanker“ gegen Broadcast-Flood
Best Practices: Port Security als Betrieb-Template
Ein gutes Template ist konsistent, realistisch dimensioniert und erzeugt verwertbare Logs. Vermeide überstrenge Defaults, die im Alltag nur Tickets erzeugen.
- Client-Port: max 1, violation restrict (oder shutdown in High-Security Zonen)
- Voice+PC: max 2, je nach Betrieb mit/ohne Sticky
- Keine Port Security auf AP-/Hypervisor-Trunks ohne klare MAC-Policy
- Logs/Monitoring aktiv nutzen, Verstöße regelmäßig reviewen
show port-security
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
