VRF Lite auf Cisco: Multi-Tenant ohne MPLS sauber umsetzen

VRF Lite auf Cisco ist eine der saubersten Methoden, um Multi-Tenant- oder Multi-Domain-Segmentierung ohne MPLS aufzubauen. Der Kernnutzen ist einfach, aber enorm: Sie trennen Routing-Tabellen auf einem Router oder Layer-3-Switch, sodass identische IP-Adressräume parallel existieren können, ohne sich gegenseitig zu beeinflussen. Damit lösen Sie typische Enterprise-Probleme wie „Zwei Tochtergesellschaften nutzen beide 10.0.0.0/8“, „OT/IoT darf niemals…

NetFlow/Flexible NetFlow: Traffic Visibility mit Cisco richtig aufbauen

NetFlow/Flexible NetFlow ist in Cisco-Umgebungen eines der zuverlässigsten Werkzeuge, um Traffic sichtbar zu machen, Kapazitätsengpässe nachzuweisen und Security-Fragen mit belastbaren Daten zu beantworten. Während klassische Interface-Counter nur „wie viel“ zeigen, liefern Flow-Daten das entscheidende „wer spricht mit wem, wie lange, wie viel und über welche Ports“. Genau dieser Kontext macht NetFlow im Betrieb so wertvoll:…

MPLS L3VPN auf Cisco: VRFs, RD/RT und Route Target Policies

MPLS L3VPN auf Cisco ist ein bewährtes Architekturmodell, um mehrere Mandanten oder Routing-Domänen sauber über ein gemeinsames Provider-Backbone zu transportieren – skalierbar, sicher trennbar und betrieblich gut standardisierbar. Der Kern besteht aus drei Bausteinen: VRFs als getrennte Routing-Tabellen auf den PE-Routern, RD (Route Distinguisher) zur eindeutigen Identifikation überlappender Prefixe und RT (Route Targets) als Policy-Tags,…

EVPN/VXLAN auf Cisco NX-OS: VNI Mapping, Anycast Gateway, IRB

EVPN/VXLAN auf Cisco NX-OS ist heute eines der etabliertesten Fabrik-Designs, um Layer-2- und Layer-3-Konnektivität in Datacentern skalierbar, deterministisch und betrieblich sauber umzusetzen. Statt große, flächige VLAN-Domänen durch das gesamte Rechenzentrum zu ziehen, kapselt VXLAN Layer-2-Segmente in IP/UDP und transportiert sie über ein robustes Layer-3-Underlay. EVPN liefert dazu die Control Plane: MAC-Adressen, IP-Bindings und Multicast-/Flooding-Informationen werden…

VXLAN BGP EVPN Control Plane: Konfigurationsmuster für Experten

Eine stabile VXLAN BGP EVPN Control Plane ist der Unterschied zwischen einer skalierbaren, vorhersehbaren Fabric und einem Overlay, das nur „im Lab“ gut aussieht. In modernen Datacenter-Designs soll VXLAN Layer-2-Segmente über ein Layer-3-Underlay transportieren, ohne dass Flood-and-Learn den Betrieb dominiert. Genau dafür ist EVPN als BGP-basierte Control Plane entstanden: MAC-Adressen, IP-Bindings, Multihoming-Informationen und BUM-Mechanismen (Broadcast/Unknown…

Multicast auf Cisco: PIM, RP Placement und Anycast-RP konfigurieren

Multicast auf Cisco ist in Enterprise- und Provider-Netzen oft der Schlüssel für effiziente Verteilung von Video, IPTV, Streaming, Telemetrie, Börsendaten oder Echtzeit-Feeds – aber nur, wenn PIM-Design, RP-Placement und Failover sauber umgesetzt werden. Viele Multicast-Probleme entstehen nicht durch „Multicast ist schwierig“, sondern durch inkonsistente Grundlagen: PIM ist auf manchen Transitlinks aktiv und auf anderen nicht,…

IGMP Snooping Tuning: IPTV und Multicast stabil betreiben

IGMP Snooping Tuning ist in IPTV- und Multicast-Netzen der entscheidende Hebel, um Stabilität, Performance und Fehlertoleranz im Layer-2-Bereich sicherzustellen. In der Theorie wirkt Multicast „einfach“: Ein Receiver sendet einen Join, der Stream kommt. In der Praxis scheitert ein stabiler IPTV-Betrieb jedoch häufig nicht an PIM oder am Multicast-Routing, sondern an der Switch-Ebene: Multicast wird zu…

MSDP vs. Anycast-RP: Multicast-Designentscheidungen auf Cisco

MSDP vs. Anycast-RP ist eine der wichtigsten Designentscheidungen, wenn Sie Multicast in großen Cisco-Netzen stabil, hochverfügbar und betrieblich nachvollziehbar umsetzen möchten. In vielen Umgebungen ist PIM Sparse Mode (PIM-SM) der Standard, und damit rückt der Rendezvous Point (RP) automatisch in den Mittelpunkt: Er ist für (*,G)-State, Source-Registrierung und den initialen Aufbau des Shared Trees verantwortlich.…

Cisco IPv6 Konfiguration: RA, DHCPv6, ND und Security Controls

Eine professionelle Cisco IPv6 Konfiguration steht und fällt mit vier Bausteinen: Router Advertisements (RA) für die Host-Konfiguration, DHCPv6 für adress- und parameterbasierte Steuerung, Neighbor Discovery (ND) als „IPv6-ARP“ inklusive DAD und NDP-Caches, sowie Security Controls, die genau diese Mechanismen gegen Missbrauch absichern. In vielen Netzwerken wird IPv6 zwar „aktiviert“, aber nicht gestaltet: RAs sind unkontrolliert,…

IPv6 ACLs auf Cisco: Best Practices und typische Fehler

IPv6 ACLs auf Cisco sind kein „IPv4-ACLs mit längeren Adressen“, sondern ein eigener Sicherheits- und Betriebsbaustein, weil IPv6 deutlich mehr Control-Plane-Mechanik im Segment nutzt: Neighbor Discovery (ND), Router Advertisements (RA), ICMPv6-basierte Fehler- und Path-MTU-Signale sowie häufige Dual-Stack-Übergänge. Viele IPv6-Ausfälle in Enterprise-Netzen entstehen nicht durch Routing, sondern durch zu restriktive oder falsch platzierte ACLs: ICMPv6 wird…