Cable Diagnostics (TDR): Kupferkabel-Probleme per Cisco prüfen

Kupferkabel sind eine der häufigsten Ursachen für „komische“ Netzwerkprobleme: CRC-Fehler, Port-Flapping, niedriger Durchsatz oder sporadische Paketverluste. Wenn du den Verdacht hast, dass Patchkabel, Dose oder Leitungsstrecke beschädigt ist, kannst du auf vielen Cisco Switches eine Cable Diagnostics (TDR) Messung durchführen. TDR (Time Domain Reflectometry) sendet elektrische Impulse in die Adernpaare und erkennt Unterbrechungen, Kurzschlüsse oder…

SNMPv3 einrichten: Monitoring sicher ohne Klartext-Community

SNMP ist im Netzwerkbetrieb unverzichtbar: Monitoring-Systeme lesen Zähler, Interface-Status, CPU/Memory und senden Alarme bei Störungen. SNMPv1/v2c arbeiten jedoch mit Klartext-„Community Strings“ und sind damit in modernen Netzen sicherheitstechnisch problematisch. SNMPv3 löst das mit Authentifizierung und optionaler Verschlüsselung (AuthPriv). Damit kannst du Monitoring sicher betreiben, ohne Klartext-Communities zu verteilen. Diese Anleitung zeigt eine praxistaugliche SNMPv3-Konfiguration auf…

Cisco Switch Hardening Checklist: 25 Maßnahmen für mehr Sicherheit

Eine Hardening-Checkliste hilft, Cisco Switches konsistent und auditierbar abzusichern. Viele Sicherheitsvorfälle entstehen nicht durch „Zero-Days“, sondern durch offene Management-Zugänge, unsichere Defaults, zu breite Trunks oder fehlende Layer-2-Schutzmechanismen. Die folgenden 25 Maßnahmen sind praxisorientiert, schnell überprüfbar und decken Management Plane, Layer-2-Security, Port-Standards, Logging und Betrieb ab. Nutze sie als Baseline-Template für Access- und Distribution-Switches. Management Plane…

VLAN 1 vermeiden? Best Practices und realistische Alternativen

„VLAN 1 vermeiden“ ist ein häufiges Best-Practice-Mantra in Cisco-Umgebungen – und es hat gute Gründe: VLAN 1 ist das Default-VLAN vieler Switches, wird oft unbewusst genutzt und ist in vielen Designs mit Control-Plane- und Discovery-Traffic verknüpft. Gleichzeitig lässt sich VLAN 1 in der Praxis nicht vollständig „abschalten“, und manche Protokolle oder Defaults bleiben daran gebunden.…

Unbenutzte Ports absichern: Shutdown, VLAN, ACL – Standardprozess

Unbenutzte Switchports sind ein unterschätztes Sicherheitsrisiko: Ein freier Port ist ein potenzieller „Einstiegspunkt“ für fremde Geräte, Rogue-DHCP, VLAN-Hopping über Fehlkonfigurationen oder einfache Loops durch falsch gesteckte Kabel. Ein sauberer Standardprozess sorgt dafür, dass ungenutzte Ports nicht nur deaktiviert sind, sondern auch eindeutig markiert, in ein Parking-VLAN gelegt und gegen typische Edge-Risiken abgesichert werden. Diese Anleitung…

MAC Address Table Overflow: Angriff erkennen und abwehren

Ein MAC Address Table Overflow (auch CAM Table Overflow oder MAC Flooding) ist ein Layer-2-Angriff, bei dem ein Angreifer massenhaft gefälschte Quell-MAC-Adressen sendet. Ziel ist, die MAC-Tabelle des Switches zu füllen, sodass der Switch unbekannte Unicasts nicht mehr gezielt weiterleiten kann und stattdessen floodet. Das erleichtert das Mitschneiden von Traffic (Sniffing) und kann gleichzeitig Performance-Probleme…

Spanning Tree Schutzfeatures: BPDU Guard, Root Guard, Loop Guard richtig nutzen

Spanning Tree schützt dein Netzwerk vor Layer-2-Loops – aber erst die STP-Schutzfeatures machen den Betrieb wirklich robust gegen typische Praxisfehler: „Switch unter dem Tisch“, falsche Root Bridge, unidirektionale Links oder fehlende BPDUs. BPDU Guard, Root Guard und Loop Guard sind dabei die wichtigsten Werkzeuge auf Cisco Switches. Richtig platziert verhindern sie große Ausfälle, falsch platziert…

Control Plane Protection am Switch: Was möglich ist und was nicht

Control Plane Protection (CoPP/CPPr) zielt darauf ab, die CPU und Steuerfunktionen eines Switches vor Überlastung und Missbrauch zu schützen. In der Praxis bedeutet das: Management- und Control-Plane-Traffic (SSH, SNMP, Routing-/STP-relevante Pakete, ARP, ICMP, DHCP-Relay, etc.) wird kontrolliert, priorisiert und bei Bedarf rate-limited, damit ein Storm oder ein Angriff nicht die CPU „festnagelt“. Gleichzeitig ist wichtig…

Security Logs auswerten: Typische Hinweise auf Layer-2 Angriffe

Layer-2-Angriffe sind oft „laut“, aber nicht immer offensichtlich: Rogue DHCP, ARP Spoofing, MAC Flooding oder VLAN-Hopping äußern sich in Log-Meldungen, Inconsistent-States, err-disabled Ports, ungewöhnlichen Topology Changes oder auffälligen Counter-Spikes. Wer Security Logs auf Cisco Switches systematisch auswertet, erkennt solche Ereignisse früh und kann Ports, VLANs und betroffene Segmente schnell eingrenzen. Dieser Leitfaden zeigt typische Log-Hinweise,…

Switch-Port down/up (Flapping): Ursachenanalyse Schritt für Schritt

Port-Flapping (Switch-Port geht wiederholt down/up) ist eine der häufigsten Ursachen für sporadische Netzprobleme: kurze Aussetzer, DHCP-Probleme, VoIP-Aussetzer, STP-Topology-Changes und instabile Port-Channels. Die Herausforderung ist, dass Flapping sowohl durch Layer-1-Themen (Kabel, SFP, PoE, NIC) als auch durch Logik (STP/Guards, EtherChannel, Errdisable) entstehen kann. Mit einem strukturierten Vorgehen findest du in wenigen Minuten heraus, ob das Problem…