In modernen Netzwerken sind Sicherheitsmaßnahmen von entscheidender Bedeutung, um unbefugten Zugriff und Angriffe zu verhindern. In diesem Tutorial lernen wir, wie wir mehrere Sicherheitsfunktionen kombinieren können, um ein robustes Netzwerk zu schützen. Wir werden DHCP Snooping, Dynamic ARP Inspection (DAI), Port Security und VTY-Hardening konfigurieren, um potenziellen Bedrohungen entgegenzuwirken und das Netzwerk abzusichern.
1. DHCP Snooping aktivieren
DHCP Snooping ist eine Sicherheitsfunktion, die dazu dient, die Integrität des DHCP-Prozesses zu sichern. Sie hilft dabei, unbefugte DHCP-Server zu blockieren, indem sie nur autorisierte DHCP-Server im Netzwerk zulässt.
Konfiguration von DHCP Snooping
Um DHCP Snooping zu aktivieren, müssen wir es auf dem Switch konfigurieren und bestimmte Ports als vertrauenswürdig oder nicht vertrauenswürdig kennzeichnen.
ip dhcp snooping
ip dhcp snooping vlan 10
interface range GigabitEthernet0/1 - 2
ip dhcp snooping trust
interface range GigabitEthernet0/3 - 4
ip dhcp snooping limit rate 5In dieser Konfiguration haben wir DHCP Snooping auf VLAN 10 aktiviert, die Schnittstellen GigabitEthernet0/1 und GigabitEthernet0/2 als vertrauenswürdig markiert und eine Rate-Limitierung für DHCP-Anfragen auf den Schnittstellen GigabitEthernet0/3 und GigabitEthernet0/4 angewendet, um Angriffe wie DHCP Flooding zu verhindern.
2. Dynamic ARP Inspection (DAI)
DAI schützt vor ARP-Spoofing-Angriffen, indem es die ARP-Pakete überprüft, die auf einem Switch empfangen werden. Wenn die ARP-Anfrage oder Antwort nicht mit der Datenbank übereinstimmt, wird sie abgelehnt.
Konfiguration von Dynamic ARP Inspection
DAI kann aktiviert werden, um sicherzustellen, dass nur gültige ARP-Nachrichten im Netzwerk verarbeitet werden. Zunächst müssen wir DHCP Snooping aktivieren, da DAI auf die DHCP-Snooping-Datenbank zugreift, um die ARP-Nachrichten zu validieren.
ip arp inspection vlan 10
ip arp inspection validate src-mac dst-mac ip
interface range GigabitEthernet0/1 - 4
ip arp inspection trustDiese Konfiguration aktiviert DAI für VLAN 10 und validiert die Quelle und Ziel-MAC-Adressen sowie die IP-Adressen. Die vertrauenswürdigen Schnittstellen werden so konfiguriert, dass sie ARP-Pakete weiterleiten, während andere Schnittstellen überprüft werden.
3. Port Security konfigurieren
Port Security hilft, das Netzwerk vor unautorisierten Geräten zu schützen, indem es die Anzahl der MAC-Adressen begrenzt, die auf einem Port zugelassen werden. Dies verhindert, dass unbekannte Geräte auf das Netzwerk zugreifen.
Port Security konfigurieren
Die Konfiguration von Port Security beinhaltet die Festlegung einer maximalen Anzahl von MAC-Adressen pro Port und die Festlegung der Reaktion bei Sicherheitsverletzungen.
interface range GigabitEthernet0/1 - 4
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrictDiese Konfiguration beschränkt die Anzahl der MAC-Adressen auf maximal zwei pro Port und gibt an, dass bei einer Sicherheitsverletzung der Zugriff auf den Port eingeschränkt wird.
4. VTY-Hardening
Das VTY-Hardening schützt den Remote-Zugriff auf Netzwerkgeräte, indem es die Authentifizierung und den Zugriff auf das Gerät einschränkt. Dies stellt sicher, dass nur autorisierte Benutzer auf das Gerät zugreifen können.
Konfiguration von VTY-Hardening
Für das VTY-Hardening müssen wir sowohl ein Passwort für die Telnet- und SSH-Verbindungen festlegen als auch bestimmte IP-Adressen für den Zugriff zulassen.
line vty 0 4
password cisco123
login
transport input ssh
access-class 10 inIn dieser Konfiguration haben wir ein Passwort für die VTY-Leitungen gesetzt, den SSH-Zugriff aktiviert und eine Access-Control-Liste (ACL) definiert, um nur bestimmten IP-Adressen den Zugriff zu ermöglichen.
5. Sicherheitsüberprüfung und Testen
Nachdem die Sicherheitsfunktionen konfiguriert wurden, ist es wichtig, sie zu testen und zu überprüfen, ob sie korrekt arbeiten. Dies kann durch die folgenden Prüfungen erfolgen:
- Versuchen Sie, einen nicht autorisierten DHCP-Server zu starten und stellen Sie sicher, dass er blockiert wird.
- Testen Sie ARP-Spoofing-Angriffe, um sicherzustellen, dass DAI korrekt konfiguriert ist.
- Versuchen Sie, mit einem nicht autorisierten Gerät auf das Netzwerk zuzugreifen, und stellen Sie sicher, dass Port Security den Zugriff blockiert.
- Verifizieren Sie, dass der VTY-Zugang nur für autorisierte IP-Adressen verfügbar ist.
show ip dhcp snooping
show ip arp inspection
show port-security
show access-listsDiese Befehle helfen dabei, den Status der Sicherheitsfunktionen zu überprüfen und sicherzustellen, dass alle Regeln wie erwartet angewendet werden.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
