Port Security konfigurieren: MAC-Limits, Sticky MAC & Violation Modes

Port Security ist eine einfache, aber sehr wirkungsvolle Sicherheitsfunktion auf Cisco Switches: Sie begrenzt, wie viele (und welche) MAC-Adressen auf einem Switchport zugelassen sind. Damit schützt du Access-Ports vor unerwünschten Switches, „MAC-Flooding“-Effekten und ungeplanten Mehrfachanschlüssen. In der Praxis wird Port Security häufig mit MAC-Limits, Sticky MAC (automatisches Lernen) und passenden Violation-Mode-Einstellungen betrieben. Dieses Tutorial zeigt eine saubere Konfiguration, typische Einsatzfälle (Client, Voice, Printer) und die wichtigsten Troubleshooting-Befehle.

Grundprinzip: Was Port Security kontrolliert

Port Security überwacht die Quelle-MAC-Adressen, die ein Port im Forwarding sieht. Du definierst entweder konkrete MACs oder eine maximale Anzahl. Bei Überschreitung greift der konfigurierte Violation Mode.

• MAC-Limit: maximale Anzahl erlaubter MACs pro Port
• Secure MACs: explizit definierte oder „sticky“ gelernte MACs
• Violation Mode: Verhalten bei Verstoß (protect/restrict/shutdown)

Wann Port Security sinnvoll ist

Port Security ist besonders nützlich auf klassischen Access-Ports ohne 802.1X/NAC. In Umgebungen mit 802.1X ergänzt es oft die Edge-Härtung.

Voraussetzungen und typische Fallstricke

Port Security ist primär für Layer-2 Access-Ports gedacht. Auf Trunks oder dynamischen Ports kann es zu unerwarteten Sperren kommen. Plane außerdem realistische MAC-Limits (z. B. Telefon + PC = 2 MACs).

• Ideal: Access-Ports (Clients, Drucker, Kameras)
• Vorsicht: Trunks, AP-Ports, Hypervisor-Ports (viele MACs)
• Voice+PC: meist 2 MACs erforderlich
• VM/Virtualisierung: Port Security oft ungeeignet ohne sauberes Design

Status und aktuelle MACs prüfen

show interfaces status
show mac address-table interface gigabitEthernet 1/0/10

MAC-Limits konfigurieren: Der saubere Standard für Client-Ports

Für einen klassischen Client-Port ist ein MAC-Limit von 1 üblich. Damit verhinderst du, dass jemand einen Switch anschließt oder mehrere Geräte dahinter betreibt.

Beispiel: Client-Port mit Maximum 1 MAC

enable
configure terminal
interface gigabitEthernet 1/0/10
 description CLIENT-OFFICE-2.14
 switchport mode access
 switchport access vlan 10
switchport port-security

switchport port-security maximum 1

switchport port-security violation restrict

spanning-tree portfast

spanning-tree bpduguard enable

end

Warum „restrict“ oft der beste Default ist

restrict blockiert unerlaubte MACs, erhöht den Violation Counter und erzeugt Logs/Traps – ohne den Port komplett abzuschalten. Für produktive Büroumgebungen ist das oft praktikabler als shutdown.

Sticky MAC: Automatisch lernen und in der Config speichern

Sticky MAC lernt die aktuell gesehene MAC-Adresse(n) automatisch als „secure“ und schreibt sie in die Running-Config. Nach dem Speichern bleiben diese MACs auch nach einem Reload erhalten.

Sticky MAC aktivieren (Client-Port)

configure terminal
interface gigabitEthernet 1/0/10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation restrict
end

Sticky MAC dauerhaft machen

copy running-config startup-config

Sticky MAC anzeigen

show port-security interface gigabitEthernet 1/0/10
show running-config interface gigabitEthernet 1/0/10

Voice + PC: Port Security richtig dimensionieren

An einem Telefon-Port hängen oft zwei Geräte (IP-Telefon + PC). Setze daher das MAC-Limit typischerweise auf 2. In manchen Umgebungen kann zusätzlich ein Drucker oder ein Dock dahinter hängen – dann musst du die Policy bewusst entscheiden.

Beispiel: Voice VLAN mit Maximum 2 MACs

configure terminal
interface gigabitEthernet 1/0/15
 description IP-PHONE+PC
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20
switchport port-security

switchport port-security maximum 2

switchport port-security mac-address sticky

switchport port-security violation restrict
spanning-tree portfast

spanning-tree bpduguard enable

end

Praktischer Hinweis

Wenn Telefone regelmäßig getauscht werden, kann Sticky MAC zu Betriebsaufwand führen. Dann ist ein reines MAC-Limit ohne Sticky oft die robustere Wahl.

Violation Modes: protect, restrict, shutdown richtig wählen

Der Violation Mode bestimmt, was passiert, wenn eine unerlaubte MAC auftaucht. Die Wahl ist eine Balance aus Security und Betrieb.

• protect: nur droppen, keine Logs/Counter-Erhöhung (leise)
• restrict: droppen + Counter + Logs/SNMP (sichtbar, aber Port bleibt up)
• shutdown: Port err-disabled (hart, sehr sicher, aber Tickets)

Shutdown-Mode (High-Security Edge)

configure terminal
interface gigabitEthernet 1/0/10
 switchport port-security violation shutdown
end

Err-Disable prüfen und beheben (nach Ursachenbehebung)

show interface status err-disabled
show logging | include PORT_SECURITY|ERRDISABLE
configure terminal

interface gigabitEthernet 1/0/10

shutdown

no shutdown

end

Monitoring und Troubleshooting: So findest du Verstöße schnell

Port Security ist nur dann nützlich, wenn du Verstöße erkennst. Nutze die Port-Security-Show-Kommandos und Logs, um betroffene Ports und MACs zu identifizieren.

Globaler Überblick

show port-security
show port-security address

Port-spezifische Analyse

show port-security interface gigabitEthernet 1/0/10
show mac address-table interface gigabitEthernet 1/0/10
show logging | include PORT_SECURITY|SECURE|VIOLATION

Saubere Alternativen und Ergänzungen: Wenn Port Security nicht reicht

Port Security ist gut für einfache Edge-Kontrolle, ersetzt aber keine starke Authentifizierung. Für größere Umgebungen sind 802.1X/MAB/NAC oft die langfristig bessere Lösung. Port Security bleibt dann ein ergänzendes Sicherheitsnetz.

• 802.1X (User/Device Auth) als Enterprise-Standard
• MAB für Geräte ohne 802.1X (z. B. Printer/IoT)
• PortFast + BPDU Guard als Loop-/Edge-Schutz
• Storm-Control als „Notanker“ gegen Broadcast-Flood

Best Practices: Port Security als Betrieb-Template

Ein gutes Template ist konsistent, realistisch dimensioniert und erzeugt verwertbare Logs. Vermeide überstrenge Defaults, die im Alltag nur Tickets erzeugen.

• Client-Port: max 1, violation restrict (oder shutdown in High-Security Zonen)
• Voice+PC: max 2, je nach Betrieb mit/ohne Sticky
• Keine Port Security auf AP-/Hypervisor-Trunks ohne klare MAC-Policy
• Logs/Monitoring aktiv nutzen, Verstöße regelmäßig reviewen

show port-security
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.