Port-Security richtig konfigurieren: Baseline ohne False Positives

Eine saubere Port-Security Konfiguration auf Cisco Switches ist ein wirksamer Baustein, um unautorisierte Geräte, MAC-Flooding und „zufällige“ Verkabelungsfehler am Access-Layer einzudämmen. Gleichzeitig ist Port-Security berüchtigt für False Positives: Ports gehen in Errdisable, Nutzer verlieren Verbindung, VoIP-Telefone registrieren neu, oder eine Dockingstation sorgt plötzlich für „MAC-Adresswechsel“, die wie ein Angriff aussehen. Genau deshalb sollte Port-Security nicht…

Cisco Switch Konfiguration auf Enterprise-Niveau: Best Practices von Access bis Core

Eine saubere Cisco Switch Konfiguration auf Enterprise-Niveau ist kein Sammelsurium aus „funktionierenden“ Befehlen, sondern ein durchdachtes Betriebsmodell: konsistente Standards, wiederholbare Templates, klare Sicherheitsgrenzen und ein Design, das vom Access-Switch bis zum Core skaliert. In großen Umgebungen entstehen die meisten Probleme nicht durch exotische Features, sondern durch inkonsistente Baselines, unkontrollierte Trunks, falsch platzierte Spanning-Tree-Rollen oder fehlende…

DHCP Snooping + DAI + IP Source Guard: L2 Security auf Cisco durchziehen

Eine konsequent umgesetzte Layer-2-Sicherheitsbaseline gehört zu den wirksamsten Maßnahmen, um typische Angriffe und Fehlkonfigurationen im Campus-Netz frühzeitig zu stoppen. Genau hier setzen DHCP Snooping, Dynamic ARP Inspection (DAI) und IP Source Guard an: Gemeinsam bilden sie ein abgestimmtes Schutzpaket gegen Rogue-DHCP-Server, ARP-Spoofing/Man-in-the-Middle und IP/MAC-Spoofing am Access-Port. In der Praxis scheitern diese Funktionen selten an „fehlenden…

Cisco Router Konfiguration für große Netze: Skalierung, Policies und Betrieb

Eine professionelle Cisco Router Konfiguration für große Netze ist kein „Baukasten aus Routing-Kommandos“, sondern ein skalierbares Betriebsmodell: klare Designprinzipien, konsistente Policies, sichere Management-Standards und ein Betriebskonzept, das Wachstum, Störungen und Änderungen kontrolliert abfedert. In Enterprise- und Provider-nahen Umgebungen steigen Komplexität und Risiko nicht linear, sondern sprunghaft: mehr Standorte, mehr VRFs, mehr BGP-Neighbors, mehr Sicherheitszonen, mehr…

Storm Control & Broadcast Protection: L2 Stürme verhindern

Storm Control & Broadcast Protection sind in Enterprise-Netzen ein entscheidender Baustein, um Layer-2-Stürme zu verhindern, bevor sie aus einem lokalen Problem einen flächigen Incident machen. Broadcast-, Multicast- und Unknown-Unicast-Traffic sind in Ethernet-Netzen normal: ARP, DHCP, Neighbor Discovery, Service Discovery oder bestimmte Applikationsmuster benötigen solche Frames. Kritisch wird es, wenn diese Trafficarten durch Fehlkonfiguration, defekte Endgeräte,…

Multilayer Switching: L3-Switch Konfiguration in der Praxis

Multilayer Switching beschreibt die Kombination aus Switching (Layer 2) und Routing (Layer 3) auf einem einzigen Gerät. Ein moderner L3-Switch kann VLANs nicht nur trennen, sondern den Datenverkehr zwischen VLANs auch direkt im Hardware-Pfad weiterleiten – schnell, skalierbar und oft einfacher zu betreiben als ein separates Router-on-a-Stick-Design. In der Praxis bedeutet Multilayer Switching: Sie konfigurieren…

MTU und Fragmentierung: Cisco Einstellungen richtig wählen

Ob ein Netzwerk „einfach funktioniert“ oder regelmäßig mit schwer erklärbaren Fehlern kämpft, entscheidet sich oft an Details, die im Alltag unterschätzt werden. Eines dieser Details ist die Kombination aus MTU und Fragmentierung. MTU (Maximum Transmission Unit) bestimmt, wie groß ein Layer-3-Paket auf einem Link maximal sein darf, ohne zerlegt zu werden. Wenn MTU-Werte im Pfad…

Jumbo Frames konfigurieren: Wann es Sinn macht und worauf achten

Jumbo Frames konfigurieren klingt zunächst nach einem einfachen Leistungs-Upgrade: Statt der klassischen Ethernet-MTU von 1500 Bytes werden deutlich größere Frames (häufig rund 9000 Bytes) übertragen. In der Theorie sinkt dadurch der Protokoll-Overhead, die CPU-Last pro übertragenem Byte kann sinken, und bestimmte Workloads profitieren messbar. In der Praxis ist Jumbo jedoch kein „einfach einschalten und schneller“-Schalter.…

Cisco Konfiguration prüfen: Die wichtigsten Show Commands

Wer im Netzwerkbetrieb schnell und sicher arbeiten will, muss eine Cisco Konfiguration prüfen können, ohne jedes Mal die komplette running-config Zeile für Zeile zu lesen. Genau dafür sind die Show Commands in Cisco IOS/IOS XE (und mit Abweichungen auch in NX-OS) gedacht: Sie liefern in Sekunden den Zustand von Interfaces, VLANs, Routing, Nachbarschaften, Security-Features, Logging…

Cisco Troubleshooting Guide: Top 25 Fehler und schnelle Lösungen

Ein guter Cisco Troubleshooting Guide ist im Alltag oft wertvoller als jede theoretische Zertifizierungsfolie. In produktiven Netzwerken zählt nicht, ob ein Thema „eigentlich klar“ ist, sondern ob Sie in wenigen Minuten die Ursache finden und eine schnelle, saubere Lösung umsetzen können. Die meisten Cisco-Störungen folgen dabei wiederkehrenden Mustern: Ein Port ist down oder in errdisable,…