Unbenutzte Switchports sind ein unterschätztes Sicherheitsrisiko: Ein freier Port ist ein potenzieller „Einstiegspunkt“ für fremde Geräte, Rogue-DHCP, VLAN-Hopping über Fehlkonfigurationen oder einfache Loops durch falsch gesteckte Kabel. Ein sauberer Standardprozess sorgt dafür, dass ungenutzte Ports nicht nur deaktiviert sind, sondern auch eindeutig markiert, in ein Parking-VLAN gelegt und gegen typische Edge-Risiken abgesichert werden. Diese Anleitung zeigt ein praxistaugliches Vorgehen auf Cisco Switches – inklusive Templates und Verifikation.
Zielbild: Was bedeutet „Port ist sicher unbenutzt“?
Ein unbenutzter Port ist dann wirklich „sicher“, wenn er administrativ down ist, nicht versehentlich als Trunk arbeiten kann und im Fall einer versehentlichen Aktivierung sofort auffällig wird. Dazu gehört eine klare Dokumentation.
- Port ist
shutdown(administrativ deaktiviert) - Port ist als Access definiert (kein dynamisches Trunking)
- Port liegt in einem dedizierten Parking-VLAN
- Edge-Schutz aktiv (PortFast/BPDU Guard, optional Storm Control)
- Description zeigt eindeutig „UNUSED“ + Ort/Kommentar
Standardprozess: Unbenutzte Ports identifizieren und gruppieren
Bevor du konfigurierst, identifiziere freie Ports. In der Praxis kombinierst du Interface-Status (connected/notconnect) mit Dokumentation und Patchfeld-Informationen.
Ports mit Status prüfen
show interfaces status
show interfaces description
Optional: MAC-Learning als Hinweis
show mac address-table dynamic
Schritt 1: Parking-VLAN anlegen (dediziert, nicht produktiv)
Ein Parking-VLAN ist ein „Quarantäne“-VLAN für ungenutzte Ports. Es sollte keine SVI/Gateway besitzen und nicht geroutet werden. Typisch sind VLAN-IDs wie 998/999 (je nach Design).
Parking-VLAN erstellen
enable
configure terminal
vlan 998
name PARKING
end
Wichtige Regel
Kein SVI, keine DHCP-Scopes, kein Routing. Das Parking-VLAN ist absichtlich „nutzlos“.
Schritt 2: Ports hart auf Access setzen und in Parking-VLAN legen
Setze Ports explizit auf Access, damit sie nicht dynamisch trunk werden können. Lege sie in das Parking-VLAN und setze eine klare Description.
Template für einen einzelnen Port
configure terminal
interface gigabitEthernet 1/0/30
description UNUSED-PARKED
switchport mode access
switchport access vlan 998
shutdown
end
Template für einen Port-Range (Standard im Betrieb)
configure terminal
interface range gigabitEthernet 1/0/25 - 48
description UNUSED-PARKED
switchport mode access
switchport access vlan 998
shutdown
end
Schritt 3: Edge-Härtung hinzufügen (BPDU Guard, Storm Control)
Auch wenn der Port shutdown ist: Sobald jemand ihn versehentlich aktiviert oder ein Port durch Prozessfehler freigeschaltet wird, sollen Schutzmechanismen greifen. BPDU Guard verhindert Rogue-Switches/Loops, Storm Control begrenzt Flooding.
BPDU Guard und PortFast auf geparkten Ports
configure terminal
interface range gigabitEthernet 1/0/25 - 48
spanning-tree portfast
spanning-tree bpduguard enable
end
Storm Control als zusätzlicher Notanker
configure terminal
interface range gigabitEthernet 1/0/25 - 48
storm-control broadcast level 1.00 0.50
storm-control multicast level 2.00 1.00
storm-control unicast level 2.00 1.00
end
Warum PortFast auf unbenutzten Ports sinnvoll ist
Wenn ein Port versehentlich aktiviert wird, kommt er schnell in Forwarding und BPDU Guard kann sofort greifen, sobald BPDUs auftauchen. Das reduziert das Risiko von STP-Transitions im Fehlerfall.
Schritt 4: Optional ACL-Strategie – wo ACLs sinnvoll sind (und wo nicht)
Auf klassischen Layer-2-Access-Ports sind IP-ACLs nur dann sinnvoll, wenn du ein SVI oder geroutete Policies einbindest (z. B. VLAN ACLs, PACLs, oder dACLs via AAA). Für unbenutzte Ports ist shutdown die effektivste Maßnahme. ACLs sind eher relevant für Management-Zugriffe (VTY-ACLs) und für geroutete VLANs.
Praktische Alternative zu Port-ACLs für Access-Security
- DHCP Snooping + DAI + IP Source Guard (gegen Rogue/Spoofing)
- Port Security (MAC-Limits) bei aktiv genutzten Ports
- 802.1X/MAB für kontrollierten Zugang (wenn Port später genutzt wird)
Schritt 5: Standardprozess zum Freischalten eines Ports
Ein guter Prozess ist nicht nur „zumachen“, sondern auch „sauber wieder öffnen“. Ziel: Port wird nur nach Ticket/Change freigeschaltet, korrekt in das Ziel-VLAN gesetzt und dann verifiziert.
- Ticket/Change mit Port-ID, Raum/Patchfeld, Zielgerät
- Port aus Parking-VLAN in Ziel-VLAN umstellen
- Port
no shutdown, PortFast/BPDU Guard beibehalten (Edge) - Verifikation: Link, VLAN, MAC-Learning, DHCP/Connectivity
Freischalt-Template (Beispiel Client-Port)
configure terminal
interface gigabitEthernet 1/0/30
description CLIENT-OFFICE-2.14
switchport mode access
switchport access vlan 10
no shutdown
spanning-tree portfast
spanning-tree bpduguard enable
end
Verifikation nach Freischaltung
show interfaces status
show interfaces gigabitEthernet 1/0/30 switchport
show mac address-table interface gigabitEthernet 1/0/30
Monitoring und Audit: Nachweis, dass Ports wirklich „zu“ sind
Regelmäßige Audits verhindern „Konfig-Drift“. Prüfe, ob geparkte Ports weiterhin shutdown sind, im Parking-VLAN liegen und ob niemand Trunking aktiviert hat.
Audit-Kommandos
show interfaces status
show interfaces description
show vlan brief
show running-config | section interface
Typische Drift-Probleme
- Port wurde no shutdown gesetzt, aber VLAN nicht angepasst
- Port steht noch in VLAN 1 (Default) statt Parking
- Description fehlt, Zuordnung unklar
- Einzelne Ports sind Trunk/dynamic geworden
Best Practices: Standard-Template für unbenutzte Ports
Dieses kompakte Template deckt die wichtigsten Maßnahmen ab: Parking-VLAN, Access-Mode, Shutdown, Edge-Schutz, Storm Control. Passe Interface-Ranges an dein Modell an.
configure terminal
vlan 998
name PARKING
exit
interface range gigabitEthernet 1/0/25 - 48
description UNUSED-PARKED
switchport mode access
switchport access vlan 998
spanning-tree portfast
spanning-tree bpduguard enable
storm-control broadcast level 1.00 0.50
storm-control multicast level 2.00 1.00
storm-control unicast level 2.00 1.00
shutdown
end
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
