Unbenutzte Ports absichern: Shutdown, VLAN, ACL – Standardprozess

Unbenutzte Switchports sind ein unterschätztes Sicherheitsrisiko: Ein freier Port ist ein potenzieller „Einstiegspunkt“ für fremde Geräte, Rogue-DHCP, VLAN-Hopping über Fehlkonfigurationen oder einfache Loops durch falsch gesteckte Kabel. Ein sauberer Standardprozess sorgt dafür, dass ungenutzte Ports nicht nur deaktiviert sind, sondern auch eindeutig markiert, in ein Parking-VLAN gelegt und gegen typische Edge-Risiken abgesichert werden. Diese Anleitung zeigt ein praxistaugliches Vorgehen auf Cisco Switches – inklusive Templates und Verifikation.

Zielbild: Was bedeutet „Port ist sicher unbenutzt“?

Ein unbenutzter Port ist dann wirklich „sicher“, wenn er administrativ down ist, nicht versehentlich als Trunk arbeiten kann und im Fall einer versehentlichen Aktivierung sofort auffällig wird. Dazu gehört eine klare Dokumentation.

• Port ist shutdown (administrativ deaktiviert)
• Port ist als Access definiert (kein dynamisches Trunking)
• Port liegt in einem dedizierten Parking-VLAN
• Edge-Schutz aktiv (PortFast/BPDU Guard, optional Storm Control)
• Description zeigt eindeutig „UNUSED“ + Ort/Kommentar

Standardprozess: Unbenutzte Ports identifizieren und gruppieren

Bevor du konfigurierst, identifiziere freie Ports. In der Praxis kombinierst du Interface-Status (connected/notconnect) mit Dokumentation und Patchfeld-Informationen.

Ports mit Status prüfen

show interfaces status
show interfaces description

Optional: MAC-Learning als Hinweis

show mac address-table dynamic

Schritt 1: Parking-VLAN anlegen (dediziert, nicht produktiv)

Ein Parking-VLAN ist ein „Quarantäne“-VLAN für ungenutzte Ports. Es sollte keine SVI/Gateway besitzen und nicht geroutet werden. Typisch sind VLAN-IDs wie 998/999 (je nach Design).

Parking-VLAN erstellen

enable
configure terminal
vlan 998
 name PARKING
end

Wichtige Regel

Kein SVI, keine DHCP-Scopes, kein Routing. Das Parking-VLAN ist absichtlich „nutzlos“.

Schritt 2: Ports hart auf Access setzen und in Parking-VLAN legen

Setze Ports explizit auf Access, damit sie nicht dynamisch trunk werden können. Lege sie in das Parking-VLAN und setze eine klare Description.

Template für einen einzelnen Port

configure terminal
interface gigabitEthernet 1/0/30
 description UNUSED-PARKED
 switchport mode access
 switchport access vlan 998
 shutdown
end

Template für einen Port-Range (Standard im Betrieb)

configure terminal
interface range gigabitEthernet 1/0/25 - 48
 description UNUSED-PARKED
 switchport mode access
 switchport access vlan 998
 shutdown
end

Schritt 3: Edge-Härtung hinzufügen (BPDU Guard, Storm Control)

Auch wenn der Port shutdown ist: Sobald jemand ihn versehentlich aktiviert oder ein Port durch Prozessfehler freigeschaltet wird, sollen Schutzmechanismen greifen. BPDU Guard verhindert Rogue-Switches/Loops, Storm Control begrenzt Flooding.

BPDU Guard und PortFast auf geparkten Ports

configure terminal
interface range gigabitEthernet 1/0/25 - 48
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Storm Control als zusätzlicher Notanker

configure terminal
interface range gigabitEthernet 1/0/25 - 48
 storm-control broadcast level 1.00 0.50
 storm-control multicast level 2.00 1.00
 storm-control unicast level 2.00 1.00
end

Warum PortFast auf unbenutzten Ports sinnvoll ist

Wenn ein Port versehentlich aktiviert wird, kommt er schnell in Forwarding und BPDU Guard kann sofort greifen, sobald BPDUs auftauchen. Das reduziert das Risiko von STP-Transitions im Fehlerfall.

Schritt 4: Optional ACL-Strategie – wo ACLs sinnvoll sind (und wo nicht)

Auf klassischen Layer-2-Access-Ports sind IP-ACLs nur dann sinnvoll, wenn du ein SVI oder geroutete Policies einbindest (z. B. VLAN ACLs, PACLs, oder dACLs via AAA). Für unbenutzte Ports ist shutdown die effektivste Maßnahme. ACLs sind eher relevant für Management-Zugriffe (VTY-ACLs) und für geroutete VLANs.

Praktische Alternative zu Port-ACLs für Access-Security

• DHCP Snooping + DAI + IP Source Guard (gegen Rogue/Spoofing)
• Port Security (MAC-Limits) bei aktiv genutzten Ports
• 802.1X/MAB für kontrollierten Zugang (wenn Port später genutzt wird)

Schritt 5: Standardprozess zum Freischalten eines Ports

Ein guter Prozess ist nicht nur „zumachen“, sondern auch „sauber wieder öffnen“. Ziel: Port wird nur nach Ticket/Change freigeschaltet, korrekt in das Ziel-VLAN gesetzt und dann verifiziert.

• Ticket/Change mit Port-ID, Raum/Patchfeld, Zielgerät
• Port aus Parking-VLAN in Ziel-VLAN umstellen
• Port no shutdown, PortFast/BPDU Guard beibehalten (Edge)
• Verifikation: Link, VLAN, MAC-Learning, DHCP/Connectivity

Freischalt-Template (Beispiel Client-Port)

configure terminal
interface gigabitEthernet 1/0/30
 description CLIENT-OFFICE-2.14
 switchport mode access
 switchport access vlan 10
 no shutdown
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Verifikation nach Freischaltung

show interfaces status
show interfaces gigabitEthernet 1/0/30 switchport
show mac address-table interface gigabitEthernet 1/0/30

Monitoring und Audit: Nachweis, dass Ports wirklich „zu“ sind

Regelmäßige Audits verhindern „Konfig-Drift“. Prüfe, ob geparkte Ports weiterhin shutdown sind, im Parking-VLAN liegen und ob niemand Trunking aktiviert hat.

Audit-Kommandos

show interfaces status
show interfaces description
show vlan brief
show running-config | section interface

Typische Drift-Probleme

• Port wurde no shutdown gesetzt, aber VLAN nicht angepasst
• Port steht noch in VLAN 1 (Default) statt Parking
• Description fehlt, Zuordnung unklar
• Einzelne Ports sind Trunk/dynamic geworden

Best Practices: Standard-Template für unbenutzte Ports

Dieses kompakte Template deckt die wichtigsten Maßnahmen ab: Parking-VLAN, Access-Mode, Shutdown, Edge-Schutz, Storm Control. Passe Interface-Ranges an dein Modell an.

configure terminal
vlan 998
 name PARKING
exit

interface range gigabitEthernet 1/0/25 - 48
 description UNUSED-PARKED
 switchport mode access
 switchport access vlan 998
 spanning-tree portfast
 spanning-tree bpduguard enable
 storm-control broadcast level 1.00 0.50
 storm-control multicast level 2.00 1.00
 storm-control unicast level 2.00 1.00
 shutdown
end

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.