Layer-3-Fault-Isolation: Routing vs. Underlay nachweisen

Layer-3-Fault-Isolation: Routing vs. Underlay nachweisen ist im Betrieb großer Netzwerke eine Kernkompetenz, weil Layer-3-Incidents häufig „wie alles“ aussehen: Applikationen melden Timeouts, Monitoring zeigt Paketverlust, Nutzer berichten über langsame Verbindungen – aber die eigentliche Ursache kann in sehr unterschiedlichen Schichten liegen. Besonders tückisch wird es in modernen Umgebungen mit Overlays (z. B. VXLAN/EVPN), Anycast-Gateways, ECMP und…

Enterprise-IP-Adressierung designen: VLSM, Summarization und Wachstum

Ein belastbares Enterprise-Netzwerk steht und fällt mit sauberer IP-Adressierung. Wer am Anfang „irgendwie ein paar Netze“ verteilt, bezahlt später mit Routing-Komplexität, Overlaps, schwierigen Migrationen und unnötiger Betriebsarbeit. Ein gutes Design verbindet drei Ziele: effiziente Nutzung des Adressraums durch VLSM (Variable Length Subnet Mask), stabile Summarization (Route Aggregation) für übersichtliches Routing und ein realistisches Wachstumsmodell, das…

802.1X auf Layer 2: Architektur, Betrieb und Failure Modes

802.1X auf Layer 2 ist im Enterprise eine der wirkungsvollsten Maßnahmen, um den Netzwerkzugang am Switch-Port kontrolliert und nachvollziehbar zu steuern. Statt sich darauf zu verlassen, dass „nur berechtigte Geräte“ physisch angeschlossen werden, erzwingt 802.1X eine Authentifizierung, bevor ein Endgerät produktiven Zugriff erhält. Im Alltag bedeutet das: Ein Port bleibt zunächst in einem eingeschränkten Zustand,…

DHCP Snooping, DAI, IP Source Guard: Layer-2-Hardening

DHCP Snooping, DAI, IP Source Guard: Layer-2-Hardening ist im Enterprise eines der effektivsten Mittel, um klassische Layer-2-Angriffe und Fehlkonfigurationen frühzeitig zu stoppen, bevor sie sich zu großflächigen Incidents entwickeln. In vielen Netzwerken sind VLANs und Switchports historisch gewachsen: Gäste, IoT, BYOD, Drucker, Produktionsgeräte und Office-Clients teilen sich häufig dieselbe Access-Infrastruktur. Genau dort entsteht ein Risiko,…

LACP & MLAG: Redundanz ohne Loops designen

LACP & MLAG: Redundanz ohne Loops designen ist im Enterprise und im Data Center ein zentrales Thema, weil Sie gleichzeitig drei Ziele erreichen müssen: hohe Verfügbarkeit, gute Linkauslastung und stabile Layer-2-Topologien. Klassische Redundanz mit zwei parallelen Uplinks führt in Layer 2 schnell zu Schleifen – und damit zu Broadcast-Stürmen, MAC-Flapping und schwer eingrenzbaren Incidents. Spanning…

ARP/ND-Storm: Erkennung, Auswirkungen und Telemetrie-basierte Behebung

Ein ARP/ND-Storm gehört zu den unangenehmsten Layer-2/Layer-3-Grenzfällen im Betrieb, weil er sich selten als „klarer Ausfall“ zeigt, sondern häufig als breite Degradation: Latenzspitzen, sporadischer Paketverlust, stockende Anwendungen, instabile Sessions und scheinbar zufällige Timeouts. Der gemeinsame Nenner ist, dass Adressauflösung im Netz plötzlich dominant wird. Bei IPv4 ist das ARP (Address Resolution Protocol), bei IPv6 übernimmt…

Modernes STP: RSTP/MSTP und wann man es hinter sich lassen sollte

Modernes STP: RSTP/MSTP und wann man es hinter sich lassen sollte ist für viele Netzwerke ein wiederkehrendes Thema, weil Spanning Tree gleichzeitig Lebensversicherung und Schmerzpunkt sein kann. Auf der einen Seite verhindert STP Layer-2-Loops, die sonst in Sekunden Broadcast-Stürme, MAC-Flapping und massive Paketverluste auslösen würden. Auf der anderen Seite wird STP oft als „Altlast“ wahrgenommen:…

EVPN-VXLAN vs. STP: Die Evolution von L2/L3-Data-Center-Fabrics

EVPN-VXLAN vs. STP: Die Evolution von L2/L3-Data-Center-Fabrics beschreibt einen grundlegenden Paradigmenwechsel im Rechenzentrumsnetz: Weg von großen, übergreifenden Layer-2-Domänen mit Spanning Tree und blockierten Links, hin zu skalierbaren, weitgehend loop-freien Layer-3-Fabrics mit einer Control Plane, die Ethernet- und IP-Informationen gezielt verteilt. In klassischen Designs wurde Layer 2 häufig über viele Switches hinweg „gestreckt“, um Workloads flexibel…

MAC-Table-Overflow: Symptome, Auswirkungen und Mitigation-Techniken

MAC-Table-Overflow: Symptome, Auswirkungen und Mitigation-Techniken ist ein Thema, das in Enterprise- und Data-Center-Netzen regelmäßig unterschätzt wird, weil der Fehler nicht immer als „hartes Down“ sichtbar wird. Wenn die MAC-Adress-Tabelle eines Switches (häufig als CAM-Table bezeichnet) an ihre Kapazitätsgrenze stößt oder instabil wird, verändert sich das Weiterleitungsverhalten schlagartig: Unicast-Verkehr kann als „unknown“ eingestuft und geflutet werden,…

VLAN-Design fürs Enterprise: Segmentierung, Trunking und Risiken

VLAN-Design fürs Enterprise: Segmentierung, Trunking und Risiken ist eine der Grundlagen für stabile, sichere und gut betreibbare Netzwerke. VLANs wirken auf den ersten Blick simpel: Man trennt Broadcast-Domains, ordnet Ports logisch zu und transportiert mehrere Netze über gemeinsame Uplinks. Im Enterprise-Umfeld sind VLANs jedoch weit mehr als „ein paar IDs auf dem Switch“. Sie beeinflussen…