TACACS+ vs. RADIUS: AAA-Design für Cisco-Umgebungen

TACACS+ vs. RADIUS ist in Cisco-Umgebungen keine akademische Frage, sondern eine zentrale Designentscheidung für sichere und betrieblich stabile AAA-Architekturen (Authentication, Authorization, Accounting). Wer Geräte-Administration, Automatisierung, Netzwerkzugang (802.1X), VPN-Authentifizierung und Audit-Anforderungen sauber abbilden will, muss verstehen, wofür TACACS+ und RADIUS jeweils optimiert sind – und wo die typischen Fallstricke liegen. In der Praxis scheitern AAA-Projekte selten…

MPLS auf Cisco: LDP, RSVP-TE und Best Practices

MPLS auf Cisco ist in vielen Enterprise- und Provider-nahen Netzen das Rückgrat für skalierbares Routing, VPNs und Traffic Engineering. Wer MPLS nur als „Label statt IP“ versteht, unterschätzt schnell die eigentlichen Erfolgsfaktoren: ein sauberes Underlay (IGP), konsistente Label-Verteilung (typisch LDP), klare Rollen im Netz (P/PE/CE), sowie ein kontrollierter Betrieb mit Monitoring, Fast Reroute und nachvollziehbaren…

RBAC auf Cisco: Rollen, Views und Command Authorization

RBAC auf Cisco (Role-Based Access Control) ist die Grundlage, um Netzwerkgeräte professionell zu betreiben, ohne jedem Administrator „Full Admin“ zu geben. In der Praxis entscheidet RBAC darüber, ob ein Netzwerkteam sicher skalieren kann: Wer darf nur lesen (Viewer), wer darf operativ handeln (Operator), wer darf konfigurieren (Engineer) und wer darf sicherheitskritische Änderungen durchführen (Security/Admin)? Ohne…

Segment Routing (SR-MPLS) auf Cisco: Konfiguration und Migration

Segment Routing (SR-MPLS) auf Cisco ist für viele Netzbetreiber der nächste logische Schritt nach klassischem MPLS mit LDP und RSVP-TE: weniger zustandsbehaftete Signalisierung im Core, klarere Steuerung über IGP-Erweiterungen, bessere Automatisierbarkeit und eine Migration, die sich schrittweise und risikoarm gestalten lässt. SR-MPLS verschiebt den Fokus weg von „per Tunnel stateful signalisieren“ hin zu „Pfadintention als…

SNMPv3 sauber konfigurieren: Security und Monitoring ohne Risiken

SNMPv3 sauber konfigurieren ist in Cisco-Umgebungen einer der wichtigsten Schritte, um Monitoring zuverlässig zu betreiben, ohne sich dabei neue Sicherheits- und Betriebsrisiken einzuhandeln. Viele Netzwerke sind historisch mit SNMPv2c gewachsen: Community-Strings, großzügige „read-only“-Zugriffe und Polling aus vielen Systemen. Das funktioniert „irgendwie“, bis es nicht mehr funktioniert – etwa wenn Community-Strings in Logs, Tickets oder Skripten…

SRv6 auf Cisco: Grundlagen, Konfiguration und Use Cases

SRv6 auf Cisco (Segment Routing over IPv6) gilt als eines der wichtigsten Architekturthemen für moderne Provider- und große Enterprise-Backbones, weil es Traffic Engineering, Service Chaining und VPN-Funktionen direkt in die IPv6-Datenebene verlagert. Im Gegensatz zu MPLS-basiertem Segment Routing (SR-MPLS), das Labels als Segment-Identitäten nutzt, setzt SRv6 auf IPv6-Adressen als Segmente (SIDs) und trägt die Segmentliste…

Syslog & Logging: Severity, Buffering und Remote Logging Best Practices

Syslog & Logging sind im Netzwerkbetrieb nicht „nice to have“, sondern die Grundlage für Troubleshooting, Security-Analysen, Compliance und belastbare Betriebsprozesse. In Cisco-Umgebungen entscheidet die Qualität der Log-Strategie darüber, ob ein Incident in Minuten oder Stunden eingegrenzt wird: War es ein Link-Flap, ein STP-Event, ein Routing-Reset, eine AAA-Störung, eine Control-Plane-Überlast oder ein reales Security-Event? Ohne sauberes…

VRF Lite auf Cisco: Multi-Tenant ohne MPLS sauber umsetzen

VRF Lite auf Cisco ist eine der saubersten Methoden, um Multi-Tenant- oder Multi-Domain-Segmentierung ohne MPLS aufzubauen. Der Kernnutzen ist einfach, aber enorm: Sie trennen Routing-Tabellen auf einem Router oder Layer-3-Switch, sodass identische IP-Adressräume parallel existieren können, ohne sich gegenseitig zu beeinflussen. Damit lösen Sie typische Enterprise-Probleme wie „Zwei Tochtergesellschaften nutzen beide 10.0.0.0/8“, „OT/IoT darf niemals…

NetFlow/Flexible NetFlow: Traffic Visibility mit Cisco richtig aufbauen

NetFlow/Flexible NetFlow ist in Cisco-Umgebungen eines der zuverlässigsten Werkzeuge, um Traffic sichtbar zu machen, Kapazitätsengpässe nachzuweisen und Security-Fragen mit belastbaren Daten zu beantworten. Während klassische Interface-Counter nur „wie viel“ zeigen, liefern Flow-Daten das entscheidende „wer spricht mit wem, wie lange, wie viel und über welche Ports“. Genau dieser Kontext macht NetFlow im Betrieb so wertvoll:…

MPLS L3VPN auf Cisco: VRFs, RD/RT und Route Target Policies

MPLS L3VPN auf Cisco ist ein bewährtes Architekturmodell, um mehrere Mandanten oder Routing-Domänen sauber über ein gemeinsames Provider-Backbone zu transportieren – skalierbar, sicher trennbar und betrieblich gut standardisierbar. Der Kern besteht aus drei Bausteinen: VRFs als getrennte Routing-Tabellen auf den PE-Routern, RD (Route Distinguisher) zur eindeutigen Identifikation überlappender Prefixe und RT (Route Targets) als Policy-Tags,…