QinQ (802.1ad) auf Cisco: Provider Bridging in der Praxis

QinQ (802.1ad) ist in vielen Metro-Ethernet- und Provider-Umgebungen das pragmatische Werkzeug, um mehrere Kunden-VLANs transparent über eine Provider-Infrastruktur zu transportieren. In der Praxis spricht man häufig von „Provider Bridging“ oder „VLAN Stacking“: Ein Kunde nutzt weiterhin seine eigenen VLANs (C-VLANs), während der Provider außen ein zusätzliches Service-Tag (S-VLAN) ergänzt und damit Kundennetze sauber voneinander trennt.…

Cisco STP Tuning: Rapid-PVST, MST und Root Placement richtig wählen

Gutes Cisco STP Tuning ist einer der unterschätztesten Stabilitätsfaktoren in Campus- und Rechenzentrumsnetzen. Spanning Tree verhindert Layer-2-Loops – aber wie schnell Ihr Netz nach einem Link-Flap konvergiert, wie vorhersehbar die Pfadführung bleibt und wie groß die Störungsreichweite ist, hängt stark von der gewählten STP-Variante und einem sauberen Root Placement ab. In der Praxis entstehen viele…

STP Guard Features: BPDU Guard, Root Guard, Loop Guard als Baseline

STP Guard Features sind in modernen Campus- und Rechenzentrumsnetzen kein „Nice-to-have“, sondern ein zentraler Bestandteil einer robusten Layer-2-Baseline. Wer Layer-2-Redundanz betreibt, betreibt zwangsläufig auch Risiko: Ein einziger Fehlpatch, ein nicht autorisierter Switch am Endgeräteport oder ein unidirektionaler Linkfehler kann Spanning Tree in instabile Zustände treiben und im schlimmsten Fall einen Loop verursachen. Genau hier setzen…

EtherChannel/LACP für Experten: Hashing, MLAG-Design und Troubleshooting

EtherChannel/LACP für Experten ist weit mehr als „zwei Links bündeln und fertig“. In modernen Cisco-Netzen – vom Campus bis zum Rechenzentrum – entscheidet die Qualität Ihres Port-Channel-Designs über Performance, Stabilität und Fehlersuche-Zeit. Häufige Probleme entstehen nicht durch einen einzelnen Defekt, sondern durch subtile Kombinationen: Hashing verteilt Traffic unerwartet ungleich, LACP-Parameter sind inkonsistent, MLAG/vPC-Designs sind nicht…

Cisco IOS/IOS XE Konfiguration für Experten: Standards, Patterns und Fallstricke

Eine saubere Cisco IOS/IOS XE Konfiguration ist weit mehr als „ein paar Befehle für Routing und VLANs“. In produktiven Netzen entscheidet die Konfigurationsqualität über Stabilität, Sicherheit, Wiederherstellbarkeit und die Fähigkeit, Änderungen kontrolliert auszurollen. Gerade in Cisco IOS XE, das auf einer modularen Architektur basiert und zusätzliche Management- und Telemetrie-Mechanismen mitbringt, lohnt sich ein konsequenter Ansatz…

Port-Security richtig konfigurieren: Baseline ohne False Positives

Eine saubere Port-Security Konfiguration auf Cisco Switches ist ein wirksamer Baustein, um unautorisierte Geräte, MAC-Flooding und „zufällige“ Verkabelungsfehler am Access-Layer einzudämmen. Gleichzeitig ist Port-Security berüchtigt für False Positives: Ports gehen in Errdisable, Nutzer verlieren Verbindung, VoIP-Telefone registrieren neu, oder eine Dockingstation sorgt plötzlich für „MAC-Adresswechsel“, die wie ein Angriff aussehen. Genau deshalb sollte Port-Security nicht…

Cisco Switch Konfiguration auf Enterprise-Niveau: Best Practices von Access bis Core

Eine saubere Cisco Switch Konfiguration auf Enterprise-Niveau ist kein Sammelsurium aus „funktionierenden“ Befehlen, sondern ein durchdachtes Betriebsmodell: konsistente Standards, wiederholbare Templates, klare Sicherheitsgrenzen und ein Design, das vom Access-Switch bis zum Core skaliert. In großen Umgebungen entstehen die meisten Probleme nicht durch exotische Features, sondern durch inkonsistente Baselines, unkontrollierte Trunks, falsch platzierte Spanning-Tree-Rollen oder fehlende…

DHCP Snooping + DAI + IP Source Guard: L2 Security auf Cisco durchziehen

Eine konsequent umgesetzte Layer-2-Sicherheitsbaseline gehört zu den wirksamsten Maßnahmen, um typische Angriffe und Fehlkonfigurationen im Campus-Netz frühzeitig zu stoppen. Genau hier setzen DHCP Snooping, Dynamic ARP Inspection (DAI) und IP Source Guard an: Gemeinsam bilden sie ein abgestimmtes Schutzpaket gegen Rogue-DHCP-Server, ARP-Spoofing/Man-in-the-Middle und IP/MAC-Spoofing am Access-Port. In der Praxis scheitern diese Funktionen selten an „fehlenden…

Cisco Router Konfiguration für große Netze: Skalierung, Policies und Betrieb

Eine professionelle Cisco Router Konfiguration für große Netze ist kein „Baukasten aus Routing-Kommandos“, sondern ein skalierbares Betriebsmodell: klare Designprinzipien, konsistente Policies, sichere Management-Standards und ein Betriebskonzept, das Wachstum, Störungen und Änderungen kontrolliert abfedert. In Enterprise- und Provider-nahen Umgebungen steigen Komplexität und Risiko nicht linear, sondern sprunghaft: mehr Standorte, mehr VRFs, mehr BGP-Neighbors, mehr Sicherheitszonen, mehr…

Storm Control & Broadcast Protection: L2 Stürme verhindern

Storm Control & Broadcast Protection sind in Enterprise-Netzen ein entscheidender Baustein, um Layer-2-Stürme zu verhindern, bevor sie aus einem lokalen Problem einen flächigen Incident machen. Broadcast-, Multicast- und Unknown-Unicast-Traffic sind in Ethernet-Netzen normal: ARP, DHCP, Neighbor Discovery, Service Discovery oder bestimmte Applikationsmuster benötigen solche Frames. Kritisch wird es, wenn diese Trafficarten durch Fehlkonfiguration, defekte Endgeräte,…