Outbound Access List filtert die Control Plane nicht
iACL Steuerung von Traffic zur Control Plane (BGP, SSH, OSPF, EIGRP etc.)
Traffic zur Control Plane braucht keine Fragmentiere Datenpakete (Ausnahme TFTP)
Disabling unused serivces
no cdp run - im global config mode
no cdp enable - auf dem Interface
no ip source-route - deaktivieren von source routing global
no ip proxy-arp - one device wil answer an ARP request what is sent to another device; bspw. antwortet der router auf einen ARP request auf einem Client dahinter
Port Security
Schränkt MAC-Address Learning Prozess ein
Default 1 MAC Adresse pro Port
Statische MAC Adressen konfiguration
Dynamische MAC Adressen: Adresse gelernt beim Anschluss vom Gerät und für eine bestimmt Zeit nur diese MAC zulassen
nach default 10 min werden andere zugelassen
Soll vor Maleware schützen die MAC Adressen
Sticky Secure: Port wird frei geschaltet und die erste MAC Adresse die angeschlossen wird, bleibt dort erhalten bis es manuell vom Admin gelöscht wird
Wenn die MAC an einem Port gelernt ist und sich am anderen Port meldet, dann wird der andere Port auch im Shutdown versetzt
Policy Actions
Protect: Frame is dropped; Kompletter Traffic ist gedroppt
Restrict: wie Protect; Frame dropped; aber zusätzlich wird Syslog geschrieben und Error Counter hochgesetzt
Shutdown: Frame dropped; Interface placed in err-disabled; shut und no shut benötigt
Configuration
Port Security geht nur auf einen Access oder Trunk Port und mit deaktivierten DTP
