BGP im Data Center (EVPN): Betrieb, Policies und Debugging

BGP im Data Center (EVPN) hat sich in modernen Rechenzentrums-Fabrics als de-facto-Standard etabliert, weil es Skalierung, Multi-Tenancy und kontrollierbares Routing besser unterstützt als klassische Layer-2-Konzepte mit großflächigen Broadcast-Domains. Gleichzeitig ist der operative Betrieb anspruchsvoll: EVPN bringt neue Kontroll- und Datenebenen-Mechanismen (Route Types, Route Targets, MAC/IP-Advertisement, Multihoming), und BGP als Protokoll reagiert sehr präzise auf Policies,…

Underlay vs. Overlay: Fehl-Diagnosen mit OSI vermeiden

Underlay vs. Overlay ist in modernen Rechenzentren und Cloud-Architekturen mehr als ein Designkonzept – es ist eine der häufigsten Ursachen für Fehl-Diagnosen im Betrieb. Wenn „das Netzwerk langsam“ ist, wird oft vorschnell am Overlay (VXLAN, GRE, IPsec, Service Mesh) gesucht, obwohl der Underlay (physische Links, MTU, ECMP, Routing, Queues) die eigentliche Fehlerquelle ist. Umgekehrt können…

Segmentierung und Microsegmentation: Nachweise für Kontrollen von L2–L7

Segmentierung und Microsegmentation sind heute zentrale Bausteine moderner Sicherheitsarchitekturen – nicht nur technisch, sondern auch im Kontext von Audit, Compliance und interner Governance. Wer Netzwerke, Plattformen und Anwendungen in Zonen, Sicherheitsdomänen oder Workload-Gruppen aufteilt, verfolgt ein klares Ziel: Angriffsflächen verkleinern, laterale Bewegung erschweren und die Auswirkungen von Incidents begrenzen. In der Praxis scheitert die Wirksamkeit…

Network Policies in Kubernetes: Vom CNI bis zur OSI-Schicht

Network Policies in Kubernetes sind der Schlüssel, um Ost-West-Traffic (Pod-zu-Pod) und Egress-Verbindungen (Pod-nach-außen) kontrolliert, nachvollziehbar und sicher zu betreiben. Viele Teams starten mit Kubernetes, weil Deployments und Skalierung schnell gehen – und stellen später fest, dass „ein Cluster“ ohne saubere Netzgrenzen zu einem flachen Netzwerk wird: Jeder Pod kann theoretisch jeden anderen erreichen, Services werden…

Firewall, NGFW, WAF: Security-Kontrollen ins OSI-Modell einordnen

Firewall, NGFW, WAF – diese drei Begriffe werden im Alltag oft durcheinandergeworfen, obwohl sie unterschiedliche Security-Kontrollen darstellen und auf verschiedenen Ebenen wirken. Wer Security-Architekturen planen, Incidents schneller diagnostizieren oder Compliance-Anforderungen sauber nachweisen möchte, profitiert davon, Firewall, NGFW und WAF systematisch ins OSI-Modell einzuordnen. Das OSI-Modell liefert eine gemeinsame Sprache, um zu klären, welche Daten eine…

OSI-Modell für Compliance: Audit-Evidence pro Schicht

Das OSI-Modell für Compliance ist eine überraschend praktische Methode, um Audit-Anforderungen in der IT nicht nur „irgendwie“ zu erfüllen, sondern nachvollziehbar, wiederholbar und prüffest umzusetzen. In vielen Unternehmen scheitern Audits nicht daran, dass Kontrollen fehlen, sondern daran, dass die Audit-Evidence unvollständig, uneinheitlich oder nicht eindeutig einer Kontrolle zugeordnet ist. Genau hier hilft die Aufteilung nach…

Fault Domains designen: Core/Edge/Access aus OSI-Perspektive

Fault Domains designen ist eine der wirksamsten Maßnahmen, um Ausfälle in Unternehmensnetzwerken vorhersehbar zu begrenzen und die Wiederherstellung zu beschleunigen. Gemeint ist die bewusste Einteilung einer Infrastruktur in Bereiche, deren Fehler sich möglichst nicht gegenseitig „anstecken“: ein defekter Access-Switch soll nicht gleich den Core beeinträchtigen, ein Routing-Bug im Edge nicht das gesamte Rechenzentrum lahmlegen. Aus…

Multi-Cloud-Networking: Underlay/Overlay aufs OSI-Modell mappen

Multi-Cloud-Networking: Underlay/Overlay aufs OSI-Modell mappen – das klingt zunächst nach Theorie, ist in der Praxis aber ein sehr wirksames Werkzeug für Architekturentscheidungen, Fehlersuche und Governance. Sobald Anwendungen über mehrere Clouds, Rechenzentren und SaaS-Anbindungen verteilt sind, wird die Netzwerklandschaft schnell unübersichtlich: Transit-Gateways, Virtual WANs, Cloud Routers, VPNs, Interconnects, Private Links, Service Meshes und Load Balancer erzeugen…

Zero-Trust-Networking: Kontrollen pro OSI-Schicht umsetzen

Zero-Trust-Networking: Kontrollen pro OSI-Schicht umsetzen bedeutet, Sicherheitsmaßnahmen nicht als einzelne „Big Bang“-Lösung zu betrachten, sondern als konsistente, messbare Kontrollen entlang der gesamten Kommunikationskette. Der Kern von Zero Trust ist dabei nicht Misstrauen um jeden Preis, sondern verifizierte Vertrauenswürdigkeit: Jeder Zugriff wird anhand von Identität, Gerätezustand, Kontext, Richtlinien und Risiko bewertet – unabhängig davon, ob der…

Strategisches Packet Capture: Wo capturen für schnelle RCA?

Strategisches Packet Capture ist eine der effektivsten Methoden, um in kritischen Störungen schnell zur belastbaren Root Cause Analysis (RCA) zu kommen. Während Metriken und Logs meist zeigen, dass etwas schiefläuft, beweisen Pakete, was wirklich auf dem Draht passiert: Handshakes, Retransmissions, Timeouts, Resets, TLS-Alerts, fehlerhafte Header, MTU-Probleme oder unerwartete Middlebox-Eingriffe. Gleichzeitig ist Packet Capture teuer: Es…