802.1X ist der Standard, um Netzwerkzugang auf Switchports sicher zu steuern: Ein Endgerät bekommt erst dann Zugriff, wenn es sich erfolgreich authentifiziert hat. In Campus- und Mittelstandsnetzen ersetzt 802.1X damit unsichere „offene“ Access-Ports und reduziert Risiken durch fremde Geräte, Rogue-Switches oder unkontrollierte IoT-Endpoints. In der Praxis wird 802.1X fast immer mit AAA/RADIUS (z. B. Cisco…
Viele Spanning-Tree Topology Changes (TCNs) und „Flapping“ sind ein Warnsignal für Instabilität auf Layer 2: Ports gehen ständig up/down, STP-States wechseln, MAC-Tabellen werden geleert und Endgeräte verlieren kurzzeitig Konnektivität. In der Praxis äußert sich das als „kurze Aussetzer“, „VoIP knackt“, „WLAN-Clients verlieren IP“ oder „alles ist sporadisch langsam“. Dieser Leitfaden zeigt, wie du TCNs korrekt…
MAB (MAC Authentication Bypass) ist eine pragmatische Ergänzung zu 802.1X: Wenn ein Endgerät keinen 802.1X-Supplicant unterstützt (z. B. Drucker, IoT, Kameras, Türcontroller), kann der Switch stattdessen die MAC-Adresse als „Identität“ an einen RADIUS-Server senden. Der RADIUS entscheidet dann per Policy, ob das Gerät Zugriff bekommt und in welches VLAN bzw. mit welchen ACLs. Wichtig: MAB…
Layer-2-Loops gehören zu den gefährlichsten Störungen in Ethernet-Netzen: Sie können innerhalb von Sekunden Broadcast-Stürme auslösen, MAC-Tabellen „flappen“ lassen und ganze Standorte unbenutzbar machen. Das Tückische: Ein Loop entsteht oft durch einfache Ursachen wie ein falsch gestecktes Patchkabel oder ein kleiner Switch, der redundant angeschlossen wird. Dieser Leitfaden zeigt, wie du Layer-2-Loops schnell erkennst, welche Logs…
Ein Rogue DHCP Server kann ein ganzes VLAN in Minuten „kapern“: Clients bekommen falsche IPs, falsche Gateways oder DNS-Server und verlieren den Zugriff auf interne Systeme. Häufig reicht dafür schon ein falsch konfigurierter Router, ein Internet-Router im Büro oder ein „hilfsbereiter“ WLAN-Hotspot. DHCP Snooping ist die Cisco-Standardmaßnahme dagegen: Der Switch unterscheidet zwischen vertrauenswürdigen (trusted) und…
Die Migration von PVST+/Rapid PVST+ zu MSTP ist ein typischer Schritt, wenn ein Netzwerk viele VLANs hat und der STP-Overhead reduziert werden soll. Die zentrale Frage lautet oft: „Geht das ohne Downtime?“ Praktisch betrachtet: Eine vollständig unterbrechungsfreie Migration ist selten garantiert, weil jede STP-Mode-Änderung Topologie-Neuberechnungen auslöst. Mit sauberer Planung, Boundary-Strategie und einem schrittweisen Rollout lässt…
ARP Spoofing (auch ARP Poisoning) ist ein klassischer Layer-2-Angriff: Ein Angreifer sendet gefälschte ARP-Antworten, um sich als Gateway oder als anderes Gerät auszugeben. Dadurch kann Traffic umgeleitet, mitgeschnitten oder komplett gestört werden. Dynamic ARP Inspection (DAI) ist die Cisco-Gegenmaßnahme: Der Switch prüft ARP-Pakete gegen eine vertrauenswürdige Zuordnung von IP↔MAC↔VLAN↔Port (meist aus DHCP Snooping) und verwirft…
STP-Instabilität entsteht selten „einfach so“. In den meisten Fällen ist sie die Folge von Design- und Standardisierungsfehlern: Root Bridge nicht geplant, Edge-Ports nicht gehärtet, Trunks inkonsistent, Redundanz ohne Port-Channels oder physische Probleme, die STP permanent zum Reagieren zwingen. Das Ergebnis sind häufige Topology Changes (TCNs), blockierte Ports an unerwarteten Stellen, MAC-Flapping und sporadische Aussetzer. Dieser…
EtherChannel bündelt mehrere physische Links zu einem logischen Port-Channel. Das erhöht Bandbreite, verbessert Redundanz und verhindert typische STP-Probleme bei parallelen Uplinks (ein Link wird sonst blockiert). Mit LACP (Link Aggregation Control Protocol, IEEE 802.3ad/802.1AX) wird der Channel dynamisch aufgebaut und überwacht – das ist in Enterprise-Netzen der empfohlene Standard. Diese Anleitung zeigt die EtherChannel-Konfiguration auf…
PAgP (Port Aggregation Protocol) und LACP (Link Aggregation Control Protocol) sind Protokolle, um EtherChannels dynamisch aufzubauen und zu überwachen. Beide bündeln mehrere physische Links zu einem logischen Port-Channel und verbessern Bandbreite sowie Redundanz. In der Praxis stellt sich oft die Frage: Welches Protokoll ist „besser“? Kurz gesagt: LACP ist der offene Standard (IEEE) und heute…
Got questions? Ideas? Fill out the form below & our specialist will contact you.