February 23, 2026

Port Security konfigurieren: MAC-Limits und Sticky MAC

Wer Access-Switches in Büro- oder Campus-Netzwerken betreibt, kennt das Risiko: Ein unkontrollierter Switchport kann zum Einfallstor werden – sei es durch das Anstecken eines privaten Routers, eines Mini-Switches, eines fremden Geräts oder durch versehentliche Fehlverkabelung. Genau hier setzt Port Security konfigurieren auf Cisco Switches an. Mit Port Security begrenzen Sie, welche und wie viele MAC-Adressen an einem Port gelernt werden dürfen, und Sie können diese MAC-Adressen wahlweise statisch festlegen oder über Sticky MAC automatisch „einsammeln“ und in die Konfiguration schreiben lassen. Das ist besonders praktisch, wenn Sie Endgeräte wie PCs, Drucker, VoIP-Telefone oder IoT-Geräte an Access-Ports absichern möchten, ohne jedes Gerät manuell zu inventarisieren. Gleichzeitig ist Port Security kein Allheilmittel: In Umgebungen mit häufig wechselnden Endgeräten, Dockingstations, Virtualisierung oder BYOD kann eine zu harte MAC-Policy schnell zu Supportfällen führen. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie MAC-Limits sinnvoll wählen, Sticky MAC richtig einsetzen, die passenden Violation-Optionen (protect/restrict/shutdown) auswählen, typische Stolperfallen vermeiden und die Konfiguration zuverlässig verifizieren. Ziel ist eine praxisnahe, wartbare Port-Security-Strategie, die Sicherheit erhöht, ohne den Betrieb unnötig zu blockieren.

Was ist Cisco Port Security und was schützt es wirklich?

Cisco Port Security ist eine Layer-2-Sicherheitsfunktion für Switchports. Sie kontrolliert, wie viele MAC-Adressen ein Port lernen darf und welche MAC-Adressen das konkret sind. Damit lässt sich verhindern, dass an einem Access-Port unbemerkt mehrere Geräte betrieben werden (z. B. über einen privaten Switch) oder dass ein Gerät durch ein anderes ersetzt wird, ohne dass der Betrieb es merkt.

  • Schutz vor unkontrollierten Erweiterungen: Ein zusätzlicher Switch oder WLAN-Router am Port führt schnell zu vielen MAC-Adressen – Port Security kann das blockieren.
  • Basis-Zugriffskontrolle: Nur bekannte MAC-Adressen werden akzeptiert.
  • Begrenzung von MAC-Flooding: MAC-Limits reduzieren, wie viele Einträge ein Port verursachen kann.

Wichtig ist die Erwartung: Port Security ersetzt keine starke Authentifizierung wie 802.1X oder NAC, weil MAC-Adressen fälschbar sind. Port Security ist eine sinnvolle zusätzliche Hürde und ein sehr effektiver „Guardrail“ gegen typische Alltagsprobleme im Access-Layer.

MAC-Limits verstehen: Maximum, Dynamisch, Statisch, Sticky

Im Kern arbeiten Sie bei Port Security mit diesen Bausteinen:

  • Maximum: Anzahl erlaubter MAC-Adressen pro Port (z. B. 1 für PC-Port, 2 für Telefon+PC).
  • Secure MAC Address: MAC-Adressen, die als „erlaubt“ gelten.
  • Statisch: Sie tragen MAC-Adressen manuell ein (sehr kontrolliert, aber pflegeintensiv).
  • Dynamisch: Der Switch lernt MACs zur Laufzeit, speichert sie aber nicht dauerhaft in der Konfiguration.
  • Sticky MAC: Der Switch lernt MACs zur Laufzeit und schreibt sie in die Running-Config, sodass sie bei Speicherung dauerhaft werden.

Die meisten Teams nutzen Sticky MAC, weil es den besten Kompromiss aus Sicherheit und Administrationsaufwand bietet – mit dem klaren Hinweis: Sticky MAC muss bewusst verwaltet werden, sonst „zementieren“ Sie versehentlich falsche Geräte.

Welche Ports sind gute Kandidaten für Port Security?

Port Security ist besonders sinnvoll auf klassischen Access-Ports, an denen Endgeräte hängen. Typische Kandidaten:

  • PC-Ports in Büros (Maximum häufig 1)
  • Druckerports (Maximum 1)
  • IoT-Ports (Maximum 1, oft restriktivere Violation)
  • Ports mit IP-Telefon + PC (Maximum häufig 2 oder 3, je nach Setup)

Weniger geeignet ist Port Security typischerweise auf Uplinks/Trunks, auf Ports zu anderen Switches oder auf dynamischen Umgebungen mit häufig wechselnden Geräten (z. B. Hot-Desking ohne standardisiertes Device-Management). Für solche Umgebungen sind 802.1X, MAB oder NAC-Konzepte meist die stabilere Lösung.

Vorbereitung: Den Port korrekt als Access-Port betreiben

Port Security ist in der Praxis am zuverlässigsten auf Access-Ports. Ein typisches Basissetup (ohne Nummerierung) umfasst:

configure terminal
interface GigabitEthernet1/0/10
description Office-PC
switchport mode access
switchport access vlan 10
spanning-tree portfast
end

Hinweis: PortFast gehört zum sauberen Access-Design für Endgeräte, sollte aber nicht auf echten Uplink-Ports verwendet werden.

Schritt-für-Schritt: Port Security aktivieren und MAC-Limit setzen

Das Minimalziel lautet: Port Security aktivieren und ein Maximum setzen. Beispiel: PC-Port mit genau einer MAC-Adresse.

configure terminal
interface GigabitEthernet1/0/10
switchport port-security
switchport port-security maximum 1
end

Damit haben Sie bereits eine wirksame Kontrolle: Sobald der Port versucht, eine zweite MAC-Adresse zu lernen, entsteht ein Verstoß (abhängig von der Violation-Policy). Im nächsten Schritt definieren Sie, was bei einem Verstoß passieren soll.

Violation-Modi: protect, restrict oder shutdown?

Port Security bietet typischerweise drei Verhaltensweisen, wenn eine nicht erlaubte MAC-Adresse auftaucht oder das MAC-Limit überschritten wird:

  • protect: Verbotener Traffic wird still verworfen, keine Logs, kein Counter-Anstieg in vielen Varianten. Sehr „leise“, aber weniger transparent.
  • restrict: Verbotener Traffic wird verworfen, und es werden Verstöße gezählt sowie meist Logs/SNMP-Traps erzeugt. Gute Balance für Betrieb.
  • shutdown: Der Port geht in den Err-Disable-Zustand (Port wird deaktiviert). Sehr strikt, aber erzeugt Supportaufwand.

Best Practice im Alltag: Für normale Office-Ports ist restrict oft sinnvoll, weil Sie Verstöße sehen und trotzdem nicht sofort den Port „hart“ abschalten. Für besonders kritische Bereiche (z. B. IoT/OT, sensible Zonen) kann shutdown gewünscht sein.

Beispiel: restrict als Standard

configure terminal
interface GigabitEthernet1/0/10
switchport port-security violation restrict
end

Beispiel: shutdown für kritische Ports

configure terminal
interface GigabitEthernet1/0/20
description IoT-Sensor
switchport mode access
switchport access vlan 20
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
end

Sticky MAC: Automatisch lernen und dauerhaft speichern

Sticky MAC ist besonders beliebt, weil Sie nicht jede MAC-Adresse manuell eintragen müssen. Der Switch lernt die MAC des angeschlossenen Geräts und schreibt sie als „secure MAC address“ in die Running-Config. Wenn Sie anschließend die Konfiguration speichern, ist die MAC dauerhaft fixiert.

Beispiel: Sticky MAC für einen PC-Port

configure terminal
interface GigabitEthernet1/0/10
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict
end

Wichtig: Sticky MAC schreibt MAC-Adressen in die Running-Config, aber sie sind erst nach copy running-config startup-config dauerhaft im Startup-Config gesichert. Das ist ein Vorteil (Sie können prüfen, bevor Sie speichern), aber auch ein Risiko (nach Reload gehen sie verloren, wenn nicht gesichert).

Praxisfall: IP-Telefon + PC am gleichen Port

Sehr häufig hängt ein PC hinter einem IP-Telefon. Dann sieht der Switchport in der Regel mindestens zwei MAC-Adressen: eine vom Telefon, eine vom PC. Je nach Telefonmodell und Zusatzfunktionen (z. B. integrierter Switch, zusätzliche virtuelle Interfaces) können es auch mehr sein. Best Practice ist deshalb:

  • Maximum realistisch setzen: häufig 2, manchmal 3 (um unnötige Verstöße zu vermeiden).
  • Sticky MAC nutzen: Telefon und PC werden automatisch gelernt.
  • Violation nicht zu hart: oft restrict statt shutdown, um Supportaufwand zu senken.

Beispiel: Port mit Voice VLAN und Sticky MAC

configure terminal
interface GigabitEthernet1/0/15
description Telefon+PC
switchport mode access
switchport access vlan 10
switchport voice vlan 40
spanning-tree portfast
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security violation restrict
end

Praxis-Hinweis: Wenn Sie regelmäßig „echte“ Nutzerwechsel (Hot Desking) haben, kann Sticky MAC die falsche Wahl sein, weil jeder Wechsel einen Eingriff erfordert. In solchen Szenarien ist 802.1X oder MAB (MAC Authentication Bypass) meist besser geeignet.

Sticky MAC verwalten: Entfernen, Ersetzen, Aufräumen

Der größte Betriebshebel bei Sticky MAC ist das Management: Was passiert, wenn ein Gerät ersetzt wird? Dann müssen Sie die alte sticky MAC entfernen, sonst bleibt der Port gesperrt. Typische Ansätze:

  • Sticky MAC gezielt entfernen und neu lernen lassen
  • Port kurzzeitig deaktivieren/aktivieren, damit neue MAC gelernt wird (nur sinnvoll, wenn alte entfernt ist)
  • Konfigurationsbereinigung im Rahmen von Changes (z. B. Gerätewechsel-Ticket)

Beispiel: Sticky MAC auf einem Port entfernen

Je nach IOS/IOS XE-Variante entfernen Sie die konfigurierte MAC-Adresse durch ein no vor dem spezifischen Eintrag oder durch Entfernen der Sticky-Konfiguration und erneutes Aktivieren. Ein pragmatisches Vorgehen ist oft:

configure terminal
interface GigabitEthernet1/0/10
no switchport port-security mac-address sticky
switchport port-security mac-address sticky
end

In vielen Umgebungen ist es besser, die konkrete sticky MAC gezielt zu entfernen, um nicht unbeabsichtigt mehrere Ports zu beeinflussen. Die exakte Syntax hängt vom Modell ab; nutzen Sie dafür die Kommandoreferenz: Cisco IOS Command Reference.

Errdisable bei shutdown: Recovery sauber planen

Wenn Sie violation shutdown nutzen, kann ein Verstoß dazu führen, dass der Port in Err-Disable geht. Das ist sicher, aber betrieblich relevant. Sie sollten deshalb zwei Dinge klar haben:

  • Wie erkennen Sie Err-Disable schnell (Monitoring, Logs, Tickets)?
  • Wie erfolgt Recovery (manuell oder automatisch)?

Manuelle Wiederherstellung

configure terminal
interface GigabitEthernet1/0/20
shutdown
no shutdown
end

Bevor Sie den Port wieder aktivieren, sollten Sie die Ursache beseitigen (z. B. falsches Gerät entfernen, sticky MAC korrigieren), sonst tritt der Verstoß sofort erneut auf.

Verifikation: So prüfen Sie, ob Port Security wirklich greift

Port Security ist gut messbar. Im Betrieb sollten Sie regelmäßig prüfen:

  • Ist Port Security aktiv?
  • Wie viele Secure MACs sind gelernt?
  • Gibt es Violations und in welchem Modus?
  • Stehen Ports auf Err-Disable?

Wichtige Show-Befehle (typisch)

show port-security interface GigabitEthernet1/0/10
show port-security address
show interfaces status
show logging

Interpretation in der Praxis:

  • Wenn die „Secure MAC Address“-Liste leer bleibt, ist Sticky MAC ggf. nicht aktiv oder der Port hat noch keinen Traffic gelernt.
  • Wenn Violations steigen, steckt oft ein zusätzlicher Switch, ein Hub, ein Dock oder ein unerwartetes Gerät dahinter.
  • Wenn Ports err-disabled sind, ist der Violation-Modus vermutlich shutdown und es gab einen Verstoß.

Typische Stolperfallen und wie Sie sie vermeiden

  • Zu niedriger Maximum-Wert: Telefon+PC benötigt meist mehr als 1 MAC. Lösung: Maximum realistisch setzen.
  • Sticky MAC ohne Prozess: Gerätewechsel führt zu Ausfällen. Lösung: Change-Prozess für Austauschgeräte und klare Anleitung zum Entfernen alter MACs.
  • shutdown überall: Hohe Sicherheit, aber viele Tickets. Lösung: shutdown nur für kritische Ports, sonst restrict.
  • Port Security auf Uplinks: Trunks lernen viele MACs, das führt zu unnötigen Violations. Lösung: Port Security primär auf Access-Ports.
  • Hot-Desking/BYOD: Port Security kollidiert mit wechselnden Geräten. Lösung: 802.1X/MAB als langfristig bessere Lösung.
  • Unklare Dokumentation: Niemand weiß, warum ein Port „plötzlich“ blockt. Lösung: description/remark in der Portkonfiguration und saubere Namenskonventionen.

Best Practices: Ein praxistauglicher Standard für MAC-Limits und Sticky MAC

  • Office-PC-Port: Maximum 1, Sticky MAC, Violation restrict
  • Drucker/IoT: Maximum 1, Sticky MAC (optional), Violation shutdown für kritische Zonen
  • Telefon+PC: Maximum 2 (oder 3), Sticky MAC, Violation restrict
  • Gäste/Meetingräume: Port Security nur, wenn Geräte stabil sind; sonst eher 802.1X oder dynamische VLANs
  • Monitoring: Violations und Err-Disable Ereignisse zentral erfassen
  • Dokumentation: Portbeschreibung, VLAN, Maximum, Violation-Modus nachvollziehbar festhalten

Port Security im Kontext: Wann 802.1X die bessere Lösung ist

Port Security ist eine gute Basissicherung, aber MAC-Adressen sind nicht kryptografisch geschützt. Wenn Sie echte Identitätskontrolle benötigen (z. B. pro Benutzer/Device, dynamische VLAN-Zuweisung, posture checks), ist 802.1X in der Regel die bessere Wahl. Port Security bleibt dennoch nützlich als zusätzliche Schicht, z. B. als „MAC-Limit“ gegen unkontrollierte Erweiterungen.

Als Einstieg in Cisco-Sicherheitskonzepte rund um Switching eignet sich die Dokumentationsübersicht zu Cisco Switch Security über den Anchor-Text Cisco Enterprise Security Design sowie die Kommandoreferenz für konkrete Syntaxvarianten: Cisco IOS Command Reference.

Praxis-Checkliste: Port Security konfigurieren und sauber betreiben

  • Ist der Port ein echter Access-Port (kein Uplink/Trunk), der für Port Security geeignet ist?
  • Ist maximum realistisch gesetzt (PC=1, Telefon+PC=2/3)?
  • Ist der Violation-Modus passend (restrict als Standard, shutdown nur für kritische Ports)?
  • Wird Sticky MAC bewusst genutzt und gibt es einen Prozess für Gerätewechsel?
  • Werden Violations und Err-Disable Ereignisse überwacht und dokumentiert?
  • Wird die Konfiguration nach dem „Anlernen“ gespeichert, falls Sticky dauerhaft sein soll?

copy running-config startup-config

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern