Port Security ist eine Sicherheitsfunktion, die auf Switches verwendet wird, um den Zugriff auf das Netzwerk zu steuern. Sie ermöglicht es, unbekannte Geräte an bestimmten Ports zu blockieren, um unbefugten Zugriff zu verhindern. In diesem Lab zeigen wir, wie Sie Port Security konfigurieren, um nur autorisierte Geräte auf einem Switch zuzulassen und unbekannte Geräte zu blockieren. Diese Übung richtet sich an Einsteiger und Junior Network Engineers, die mehr über Netzwerksicherheit und die Anwendung von Port Security lernen möchten.
1. Konfiguration von Port Security
Port Security kann auf Switch-Ports angewendet werden, um zu verhindern, dass unbekannte Geräte Zugriff auf das Netzwerk erhalten. Es gibt verschiedene Modi, in denen Port Security arbeiten kann, darunter „Shutdown“, „Protect“ und „Restrict“. Wir konzentrieren uns auf den „Shutdown“-Modus, der den Port deaktiviert, wenn ein unbekanntes Gerät erkannt wird.
1.1 Aktivierung von Port Security auf einem Switch-Port
Um Port Security auf einem Switch-Port zu aktivieren, verwenden Sie die folgenden Befehle:
Switch# configure terminal
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# exit
Mit diesen Befehlen aktivieren wir Port Security auf Port FastEthernet 0/1, legen die maximale Anzahl von MAC-Adressen auf 2 fest und konfigurieren den „shutdown“-Modus, wenn eine Verletzung der Sicherheitsrichtlinie auftritt. Außerdem aktivieren wir den mac-address sticky-Modus, der automatisch die MAC-Adressen der angeschlossenen Geräte speichert und nur diese Adressen zulässt.
2. Testen der Port Security-Konfiguration
Nachdem Port Security konfiguriert wurde, sollten wir testen, ob die Sicherheitsrichtlinien korrekt angewendet werden. Wenn ein unbekanntes Gerät an den Port angeschlossen wird, sollte der Port deaktiviert werden.
2.1 Testen der Verbindung eines autorisierten Geräts
Schließen Sie ein autorisiertes Gerät an den Switch-Port an. Da das Gerät eine bekannte MAC-Adresse hat, sollte der Zugriff problemlos funktionieren. Überprüfen Sie mit dem folgenden Befehl, ob die MAC-Adresse des Geräts korrekt gelernt wurde:
Switch# show port-security interface fastEthernet 0/1
Dieser Befehl zeigt die Sicherheitskonfiguration des Ports, einschließlich der zugelassenen MAC-Adressen, an.
2.2 Testen der Verbindung eines unbekannten Geräts
Schließen Sie nun ein unbekanntes Gerät an denselben Port an. Da die MAC-Adresse des Geräts nicht in der „sticky“-Liste des Switches gespeichert ist, sollte der Port nach der Konfiguration in den „shutdown“-Modus wechseln. Überprüfen Sie dies mit:
Switch# show port-security interface fastEthernet 0/1
Sie sollten sehen, dass der Port aufgrund einer Sicherheitsverletzung deaktiviert wurde.
3. Wiederherstellung des Ports
Wenn der Port aufgrund einer Sicherheitsverletzung in den „shutdown“-Modus versetzt wurde, kann er durch den folgenden Befehl wieder aktiviert werden:
Switch# configure terminal
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Switch(config-if)# exit
Diese Befehle setzen den Port zurück und aktivieren ihn wieder, damit er erneut für autorisierte Geräte verfügbar ist.
4. Erweiterte Konfigurationen von Port Security
Port Security bietet auch erweiterte Optionen wie die Verwendung von „static MAC“-Adressen und die Integration mit RADIUS-Authentifizierung für noch mehr Sicherheit.
4.1 Konfiguration einer statischen MAC-Adresse
Um eine statische MAC-Adresse zu konfigurieren, die immer an einem bestimmten Port zugelassen wird, verwenden Sie den folgenden Befehl:
Switch# configure terminal
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport port-security mac-address 0011.2233.4455
Switch(config-if)# exit
Dieser Befehl stellt sicher, dass nur das Gerät mit der MAC-Adresse 0011.2233.4455 Zugriff auf den Port hat.
5. Überwachung und Fehlerbehebung
Es ist wichtig, die Funktionalität von Port Security kontinuierlich zu überwachen und sicherzustellen, dass die Sicherheitsrichtlinien korrekt angewendet werden. Verwenden Sie die folgenden Befehle zur Fehlerbehebung und Überwachung:
show port-security: Zeigt eine Zusammenfassung der Port-Sicherheitskonfiguration an.show port-security violations: Listet alle Port-Sicherheitsverletzungen auf.clear port-security violation: Setzt die Sicherheitsverletzungen zurück.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
