March 4, 2026

VLAN Hopping Szenarien: Risiken demonstrieren und Gegenmaßnahmen üben

VLAN Hopping ist ein Angriff, bei dem ein Angreifer in einem VLAN-Setup in ein anderes VLAN eindringt, um Zugriff auf vertrauliche Daten oder Systeme zu erhalten. Dieser Angriff nutzt Fehler oder Fehlkonfigurationen in der Netzwerkarchitektur aus. In diesem Artikel werden wir verschiedene Szenarien von VLAN Hopping durchgehen, die Risiken analysieren und wirksame Gegenmaßnahmen üben, um Ihre Netzwerksicherheit zu stärken.

1. Was ist VLAN Hopping?

VLAN Hopping tritt auf, wenn ein Angreifer in der Lage ist, den Datenverkehr zwischen VLANs zu manipulieren oder in ein anderes VLAN zu gelangen, ohne dafür autorisiert zu sein. Dies kann durch die Ausnutzung von Switch-Fehlkonfigurationen, Trunk-Ports oder anderen Sicherheitslücken geschehen.

1.1 Risiken des VLAN Hopping

  • Unbefugter Zugriff auf vertrauliche Daten und Systeme in anderen VLANs.
  • Verletzung der Netzwerksicherheit durch ungewollte Kommunikation zwischen VLANs.
  • Potenzielle Denial-of-Service (DoS)-Angriffe, indem der Angreifer in einem anderen VLAN überlastet wird.

2. Szenarien für VLAN Hopping

Es gibt mehrere Methoden, die ein Angreifer nutzen kann, um VLAN Hopping durchzuführen. Zwei der häufigsten Angriffsarten sind der Double-Tagging-Angriff und der Switch-Port-Sicherheit-Angriff.

2.1 Double-Tagging-Angriff

Der Double-Tagging-Angriff nutzt die Tatsache aus, dass ein Trunk-Link mehrere VLAN-Tags in einem Ethernet-Frame verarbeiten kann. Der Angreifer sendet einen Frame mit zwei VLAN-Tags, wobei das erste Tag von einem Switch entfernt wird und der Frame mit dem zweiten Tag in das Ziel-VLAN gelangt.


Switch(config)# interface gig0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q

Durch die oben stehende Konfiguration wird der Trunk-Port für das Tagging von VLANs vorbereitet. Der Double-Tagging-Angriff nutzt diesen Mechanismus aus, um den Trunk zu überlisten und ein anderes VLAN zu erreichen.

2.2 Switch-Port-Sicherheits-Angriff

Dieser Angriff tritt auf, wenn ein Angreifer einen Switch-Port im Access-Modus betreibt und das VLAN-Tag manipuliert, um auf ein anderes VLAN zuzugreifen. Normalerweise sind Switch-Ports im Access-Modus einem einzelnen VLAN zugewiesen, aber ein falsch konfigurierter Trunk-Port kann einem Angreifer ermöglichen, auf verschiedene VLANs zuzugreifen.


Switch(config)# interface range gig0/1 - 2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10

3. Gegenmaßnahmen gegen VLAN Hopping

Es gibt mehrere Techniken, um VLAN Hopping zu verhindern und sicherzustellen, dass Ihr Netzwerk vor Angriffen geschützt ist. Die wichtigsten Gegenmaßnahmen umfassen die ordnungsgemäße Konfiguration von Trunk-Ports und die Implementierung von Sicherheitsrichtlinien für Switch-Ports.

3.1 Verwenden von „VLAN Access Maps“

VLAN Access Maps ermöglichen es Ihnen, den Datenverkehr basierend auf VLAN-Tags zu filtern. Sie können eine Access Map konfigurieren, um den Zugriff auf unbefugte VLANs zu verhindern. Dies kann helfen, den Double-Tagging-Angriff zu stoppen.


Switch(config)# vlan access-map block-vlan 10
Switch(config-access-map)# match vlan 10
Switch(config-access-map)# action drop

Die Access Map blockiert den Datenverkehr auf VLAN 10 und verhindert so den Zugriff von unbefugten Quellen.

3.2 Trunk-Port-Absicherung

Stellen Sie sicher, dass alle Trunk-Ports korrekt konfiguriert sind und nur die VLANs erlauben, die benötigt werden. Dies kann durch die Konfiguration des „Allowed VLANs“-Befehls auf einem Trunk-Port erreicht werden, um unbefugte VLANs zu blockieren.


Switch(config)# interface gig0/1
Switch(config-if)# switchport trunk allowed vlan 10,20,30

Mit diesem Befehl erlauben Sie nur den Verkehr der VLANs 10, 20 und 30 über den Trunk-Port und verhindern so, dass nicht autorisierte VLANs übertragen werden.

3.3 Native VLAN absichern

Das Native VLAN sollte niemals auf VLAN 1 belassen werden, da dieses standardmäßig auf vielen Geräten verwendet wird und daher ein häufiges Ziel für Angreifer darstellt. Konfigurieren Sie das Native VLAN auf eine weniger offensichtliche VLAN-ID.


Switch(config)# interface gig0/1
Switch(config-if)# switchport trunk native vlan 100

3.4 Port-Security aktivieren

Port-Security schützt Switch-Ports vor unbefugtem Zugriff, indem es die Anzahl und den Typ der MAC-Adressen überwacht, die auf einem Port zugelassen sind. Aktivieren Sie Port-Security, um Angreifer zu blockieren, die versuchen, die VLAN-Zuweisung zu ändern oder auf unbefugte VLANs zuzugreifen.


Switch(config)# interface range gig0/1 - 2
Switch(config-if-range)# switchport port-security
Switch(config-if-range)# switchport port-security maximum 2
Switch(config-if-range)# switchport port-security violation restrict

Diese Konfiguration stellt sicher, dass nur maximal zwei MAC-Adressen pro Port zugelassen werden und dass Verstöße gegen die Port-Security mit einer Restriktion geahndet werden.

4. Fehlersuche und Monitoring von VLAN Hopping

Es ist wichtig, kontinuierlich zu überwachen, ob es Versuche gibt, VLAN Hopping durchzuführen. Sie können die folgenden Befehle verwenden, um Anomalien in der VLAN-Zuweisung oder bei der Trunk-Konfiguration zu erkennen:

4.1 Überwachung der Trunk-Ports

Verwenden Sie den Befehl show interfaces trunk, um zu überprüfen, welche VLANs auf den Trunk-Ports erlaubt sind und ob es dabei Anomalien gibt.


Switch# show interfaces trunk

4.2 Überprüfung der Port-Security

Überprüfen Sie regelmäßig die Port-Security-Konfiguration mit dem Befehl show port-security, um sicherzustellen, dass keine unerlaubten Geräte auf den Switch-Ports zugelassen wurden.


Switch# show port-security

Dieser Befehl gibt Ihnen eine Übersicht über alle konfigurierten Port-Security-Einstellungen und deren Status.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind