Port Security? Was Router können (und was Switches besser machen)

„Port Security“ ist klassisch ein Switch-Thema: Es kontrolliert auf Layer 2, welche MAC-Adressen an einem Access-Port zulässig sind und was bei Verstößen passiert. Router arbeiten primär auf Layer 3 und sehen nicht dieselbe MAC-Dynamik wie ein Switch-Port im Access-LAN. Trotzdem können Router Management- und Access-Sicherheit umsetzen – nur mit anderen Werkzeugen: ACLs, Control-Plane-Policies, DHCP-Features, uRPF und Interface-Hardening. Dieser Überblick zeigt, was Router wirklich können und warum Switches Port Security in den meisten Fällen besser machen.

Was „Port Security“ auf Switches eigentlich bedeutet

Switch-Port-Security schützt Access-Ports, indem sie MAC-Adressen limitiert, Sticky-MACs lernt und bei Abweichungen Ports einschränkt oder abschaltet. Das ist effektiv, weil ein Switch auf Layer 2 direkt am Endgerät sitzt.

• MAC-Limit pro Port (z. B. max. 1–3 MACs)
• Sticky MAC (automatisch lernen und speichern)
• Violation-Action: protect/restrict/shutdown
• Schutz gegen „Hub/Switch anstecken“ oder MAC-Flooding am Access-Port

Typische Switch-Konfig (zur Einordnung)

Switch(config)# interface gigabitEthernet1/0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation restrict

Warum Router „Port Security“ nicht 1:1 ersetzen

Ein Router portiert keine Frames innerhalb eines VLANs wie ein Switch. Er routet IP-Pakete zwischen Netzen. Die MAC-Adresse ist dabei pro L2-Segment relevant, aber der Router ist typischerweise nicht der Punkt, an dem viele Endgeräte-MACs direkt am gleichen Port auftauchen.

• Router-Port ist oft ein Uplink zu einem Switch (Trunk/Access)
• Viele Endgeräte hängen hinter dem Switch, nicht direkt am Router
• MAC-Limits auf Router-Ports sind daher selten sinnvoll oder verfügbar

Was Router stattdessen gut können: Layer-3 Access Control (ACLs)

Router können sehr effektiv kontrollieren, wer wohin darf – auf IP-, Protokoll- und Port-Ebene. Das ist kein „Port Security“, aber im Enterprise-Design oft wichtiger: Segmentierung, Least Privilege und saubere Zonen.

• Traffic nach Quelle/Ziel/Port filtern (Extended ACL)
• Management-Zugriff einschränken (VTY ACL)
• NAT/Port-Forwarding absichern (Outside-ACL)

Beispiel: Clients dürfen nur DNS + HTTPS ins Internet

Router(config)# ip access-list extended USERS_OUT
Router(config-ext-nacl)# permit udp 192.168.10.0 0.0.0.255 any eq 53
Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 53
Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface gigabitEthernet0/0
Router(config-if)# ip access-group USERS_OUT in

Router-Hardening am Interface: „Unnötiges“ abschalten

Viele Angriffe zielen auf Control-Plane oder Discovery-Mechanismen. Router können pro Interface Features deaktivieren, die in einem Segment nicht benötigt werden, und so Angriffsfläche reduzieren.

• Unnötige Redirects/Proxy-ARP deaktivieren
• ICMP/Management nur gezielt erlauben
• Unbenutzte Interfaces administrativ down

Beispiel: Basis-Interface-Hardening (typisch im LAN)

Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# no ip redirects
Router(config-if)# no ip proxy-arp
Router(config-if)# no shutdown
Router(config-if)# end

Control Plane Protection (CoPP): Router gegen Management-Angriffe schützen

Switch-Port-Security schützt den Access-Port. Router brauchen zusätzlich Schutz für die Control-Plane: SSH, BGP, OSPF, ICMP, SNMP. CoPP/CPPr erlaubt, Management-Traffic zu klassifizieren und zu rate-limitieren.

• Schutz gegen ICMP-Floods und Management-Scanning
• Rate Limits für Control-Plane-Protokolle
• Stabilität unter Angriff/Fehlkonfiguration

CoPP-Prinzip (vereinfacht)

class-map match-any CP-MGMT
 match protocol ssh
 match protocol snmp
policy-map CP-POLICY

class CP-MGMT

police 32000
control-plane

service-policy input CP-POLICY

DHCP-basierte Schutzmechanismen: Router als „Policy Point“

Wenn der Router das Default Gateway ist, kann er DHCP-Designs und IP-Policies indirekt absichern: z. B. nur definierte Netze bekommen Adressen, oder DHCP wird zentralisiert. Das ersetzt keine Port Security, hilft aber gegen „Wildwuchs“.

• DHCP-Pools kontrollieren (wer bekommt IPs)
• Rogue DHCP im Segment durch Switch-Funktionen besser lösbar (DHCP Snooping)
• Router-seitig: DHCP-Server sauber konfigurieren, Excludes setzen

uRPF: Spoofing-Schutz auf Layer 3

Unicast Reverse Path Forwarding (uRPF) prüft, ob die Quell-IP eines Pakets aus Sicht der Routing-Tabelle plausibel ist. Damit kannst du Spoofing in gerouteten Netzen reduzieren. Das ist ein Router-Feature, das Switch-Port-Security nicht abdeckt.

• Schutz gegen Source-IP-Spoofing
• Besonders sinnvoll an Edge/Internet oder in Provider-Designs
• Erfordert sauberes Routing (sonst False Positives)

uRPF aktivieren (Prinzip, Interface-basiert)

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip verify unicast source reachable-via rx
Router(config-if)# end

Was Switches besser machen: Layer-2 Access-Security am Endgerät

Alles, was direkt am Endgeräteport passiert, ist Switch-Domäne. Dort gehören Port Security und verwandte Funktionen hin, weil sie den Zugriff auf dem ersten Meter kontrollieren.

• Port Security (MAC-Limits/Sticky/Violation)
• 802.1X (User/Device Auth) – deutlich stärker als MAC-Bindings
• DHCP Snooping, Dynamic ARP Inspection, IP Source Guard
• Storm Control, BPDU Guard, Root Guard

Praxisempfehlung: Sinnvolle Kombination aus Router und Switch

Ein sauberes Design trennt Zuständigkeiten: Switch sichert den Access-Port (Layer 2), Router segmentiert und kontrolliert den Verkehr zwischen Netzen (Layer 3) und schützt seine Control-Plane.

• Switch: Port Security/802.1X + L2-Protections
• Router: ACLs/Zonen + uRPF (wo passend) + CoPP + Management-Hardening
• Management: SSH-only, VTY ACL, AAA, Timeouts

Verifikation: Was solltest du prüfen?

Nach dem Hardening willst du sicherstellen, dass nur gewünschter Traffic möglich ist und Management stabil erreichbar bleibt. Prüfe ACL-Hit-Counter, Management-Sessions und Control-Plane-Logs.

Router# show ip access-lists
Router# show ip interface gigabitEthernet0/0
Router# show users
Router# show logging

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.