GRE (Generic Routing Encapsulation) ist ein Tunnelprotokoll, das beliebige Layer-3-Pakete in ein neues IP-Paket kapselt. Auf Cisco Routern wird GRE oft genutzt, um Routing-Protokolle, Multicast oder zusätzliche Netze sauber über ein IP-Netz (z. B. Internet, Provider-WAN) zu transportieren. Wichtig ist aber: GRE bietet keine Verschlüsselung. Wenn Vertraulichkeit oder Integrität benötigt wird, muss GRE typischerweise mit…
GRE over IPsec kombiniert zwei Welten: GRE liefert ein flexibles Overlay-Interface (ideal für dynamisches Routing, Multicast und viele Netze), IPsec liefert Verschlüsselung und Integrität über das unsichere Underlay (Internet/Provider-WAN). Das gängige Design ist: GRE kapselt den eigentlichen „Overlay“-Traffic, und IPsec verschlüsselt anschließend die GRE-Pakete zwischen den Public-Endpoints. So bekommst du einen „echten“ Tunnel (wie ein…
DMVPN (Dynamic Multipoint VPN) ist ein Cisco-Overlay-Design, mit dem du Hub-and-Spoke-Netze deutlich skalierbarer aufbauen kannst als mit vielen statischen Site-to-Site-Tunneln. Technisch kombiniert DMVPN mGRE (Multipoint GRE) für flexible Tunnel, NHRP (Next Hop Resolution Protocol) für dynamische Peer-Auflösung und IPsec für Verschlüsselung. Das Ergebnis: Spokes bauen zunächst einen sicheren Tunnel zum Hub auf und können –…
DMVPN-Probleme wirken oft „wie VPN kaputt“, sind aber in der Praxis meist eine Mischung aus Underlay-Erreichbarkeit, Tunnel-Interface-Status, NHRP-Registrierung und IPsec-Schutz. Ein solides Troubleshooting folgt deshalb einer festen Reihenfolge: erst Underlay (NBMA), dann Tunnel0 (GRE/mGRE), dann NHRP (Mappings/Registrierung), dann Routing (IGP/BGP), und erst am Ende IPsec-Counters/Policies. Mit dieser Systematik findest du typische Fehler in Minuten statt…
Split Tunneling ist ein Remote-Access-VPN-Konzept, bei dem nur „Unternehmensverkehr“ durch den VPN-Tunnel geleitet wird, während Internet-Traffic des Clients direkt über den lokalen Anschluss läuft. Das spart Bandbreite und entlastet zentrale Gateways, erhöht aber die Angriffsfläche: Der Client ist gleichzeitig im Unternehmensnetz und im offenen Internet. Für ein sicheres Unternehmensdesign musst du Split Tunneling deshalb bewusst…
VPN-Performance-Probleme wirken oft wie „langsam“ oder „instabil“, haben aber sehr konkrete Ursachen: zu große Pakete (MTU), Fragmentierung im Pfad, kaputtes Path MTU Discovery (PMTUD) oder CPU-Limits durch Verschlüsselung. Gerade bei IPsec, GRE over IPsec und DMVPN addiert sich Overhead, wodurch die effektive Nutzlast sinkt. Mit sauberem MTU/MSS-Tuning, gezielter Fragmentierungsstrategie und Throughput-Checks kannst du spürbar bessere…
QoS (Quality of Service) auf Cisco Routern sorgt dafür, dass zeitkritische Anwendungen wie VoIP auch unter Last stabil bleiben. Der Kern ist einfach: Wenn die Leitung nicht überlastet ist, bringt QoS kaum sichtbare Vorteile. Sobald jedoch Queues entstehen (typisch am WAN-Uplink), entscheidet QoS, welche Pakete bevorzugt werden und welche warten oder verworfen werden. Dieses Tutorial…
Traffic Shaping und Policing sind zwei grundlegende QoS-Mechanismen, die oft verwechselt werden. Beide kontrollieren Bandbreite, aber mit unterschiedlichem Verhalten: Shaping verzögert Pakete und glättet Bursts, Policing verwirft oder markiert Pakete, die ein Limit überschreiten. Für Unternehmens-WAN und VoIP ist Shaping häufig die erste Wahl, weil es Verluste reduziert und Queueing im Router kontrollierbar macht. Policing…
Auf Cisco Routern wird „Bandbreite messen“ häufig mit show interfaces und verwandten Statistik-Befehlen gemacht. Dabei ist wichtig: Der Router zeigt nicht nur die aktuelle Auslastung (bits/sec, packets/sec), sondern auch Zähler (Bytes, Drops, Errors) und eine konfigurierte „bandwidth“-Angabe, die nicht automatisch der echten Leitungskapazität entspricht. Wer diese Felder korrekt interpretiert, erkennt Engpässe, Duplex-/Speed-Probleme, Queue-Drops und QoS-Effekte…
NAT und VPN sind eine häufige Problemkombination: NAT verändert IP-Adressen und Ports, während VPNs (insbesondere IPsec) Integrität, Peer-Identität und oft auch „No-NAT“-Verhalten erwarten. Typische Symptome sind: Tunnel kommt nicht hoch, Phase 2 bricht, Traffic geht nur in eine Richtung oder bestimmte Subnetze sind nicht erreichbar. Mit sauberer NAT-Exemption, korrektem NAT-T (UDP/4500) und klaren ACLs lassen…
Got questions? Ideas? Fill out the form below & our specialist will contact you.