ISSU im Campus: Voraussetzungen, Reality Check und Fallback Plan

In modernen Campusnetzwerken ist ein ISSU (In-Service Software Upgrade) eine Schlüsseltechnik, um Software-Updates durchzuführen, ohne den Betrieb zu unterbrechen. Diese Methode ermöglicht es Netzwerkadministratoren, die neuesten Funktionen und Sicherheitsupdates zu implementieren, ohne dass es zu einer Ausfallzeit kommt. Doch bevor man ISSU in einem Campusnetzwerk implementiert, gibt es eine Reihe von Voraussetzungen und Best Practices,…

TrustSec/SGT im Campus: Segmentierung ohne ACL-Spaghetti

In modernen Campusnetzwerken ist eine effektive Segmentierung der Schlüssel zur Sicherstellung der Sicherheit und Leistung. Traditionelle Methoden wie Access Control Lists (ACLs) bieten zwar grundlegende Sicherheit, aber bei komplexen Netzwerkinfrastrukturen können sie schnell unübersichtlich werden. Cisco TrustSec, zusammen mit Security Group Tags (SGT), stellt eine elegantere Lösung dar, indem es eine rollenbasierte Zugriffskontrolle und Segmentierung…

Power Redundancy & PoE Budget: HA auch bei Strom sauber planen

Im modernen Campusnetzwerk ist Power over Ethernet (PoE) eine wichtige Technologie, die es ermöglicht, Geräte wie IP-Telefone, Access Points und Kameras über das Ethernet-Kabel mit Strom zu versorgen. Eine zuverlässige Stromversorgung ist unerlässlich, um den kontinuierlichen Betrieb dieser Geräte sicherzustellen. Power Redundancy und das PoE-Budget sind dabei entscheidende Faktoren, die bei der Planung von Hochverfügbarkeit…

SGACL vs. VLAN/VRF: Welche Segmentierung passt für welchen Use-Case?

In modernen Netzwerkinfrastrukturen ist es entscheidend, das richtige Segmentierungskonzept zu wählen, um Sicherheit, Performance und Skalierbarkeit zu gewährleisten. Zwei gängige Methoden der Segmentierung sind SGACLs (Security Group Access Control Lists) und VLAN/VRF-basierte Segmentierung. Beide Methoden haben ihre spezifischen Anwendungsfälle und Vor- sowie Nachteile, die bei der Planung und Umsetzung berücksichtigt werden müssen. In diesem Artikel…

Hitless Failover? Messmethoden für echte Downtime im LAN

Im Netzwerkdesign wird oft das Ziel verfolgt, ein „hitless failover“ zu erreichen, also einen Ausfall ohne wahrnehmbare Unterbrechung der Dienste. Dies ist besonders in kritischen Infrastrukturen wie in Rechenzentren oder Campusnetzwerken von Bedeutung. Dabei wird ein Übergang von einem ausgefallenen System auf ein funktionierendes System ohne Ausfallzeit oder signifikante Latenz erreicht. Doch wie misst man…

Wartungsfenster im Campus: Vorgehen für risikoarme Core/Dist Changes

Die Durchführung von Wartungsarbeiten in einem Campusnetzwerk erfordert präzise Planung und Durchführung, um Ausfallzeiten und Risiken zu minimieren. Besonders beim Arbeiten an den Core- und Distribution-Switches ist es entscheidend, dass Änderungen sicher und ohne Unterbrechung des Betriebs vorgenommen werden. In diesem Artikel wird ein strukturiertes Vorgehen für risikoarme Wartungsfenster vorgestellt, das sowohl die Planung als…

802.1X Design im Enterprise: Rollen, VLANs, DACLs, Fail-Open/Fail-Closed

802.1X ist ein Netzwerkzugangskontrollprotokoll, das zur Absicherung von Netzwerkressourcen verwendet wird, indem es die Authentifizierung von Geräten und Benutzern vor dem Zugang zum Netzwerk erzwingt. Die Implementierung von 802.1X in einem Unternehmensnetzwerk kann jedoch komplex sein, da verschiedene Designüberlegungen berücksichtigt werden müssen, darunter Rollen, VLANs, DACLs (Dynamic Access Control Lists) sowie Fail-Open und Fail-Closed-Strategien. In…

Cisco ISE + Catalyst: Best Practices für Policy Sets und Skalierung

Die Kombination aus Cisco Identity Services Engine (ISE) und Catalyst Switches bietet eine leistungsstarke Lösung für die Netzwerksicherheit und das Zugriffsmanagement in Unternehmen. Um diese Lösung effektiv zu nutzen, ist es entscheidend, Policy Sets und deren Skalierung richtig zu planen und umzusetzen. In diesem Artikel werden Best Practices für die Konfiguration von Cisco ISE in…

MAB als Fallback: Sicher designen ohne „Alles erlaubt“

Die Nutzung von MAB (MAC Authentication Bypass) als Fallback-Mechanismus ist in Netzwerken eine gängige Praxis, um sicherzustellen, dass Geräte, die keine 802.1X-Unterstützung bieten, dennoch Zugang zum Netzwerk erhalten. Es ist jedoch wichtig, MAB sicher zu implementieren, um zu verhindern, dass unautorisierte Geräte ungehindert auf das Netzwerk zugreifen können. In diesem Artikel wird erläutert, wie MAB…

802.1X Troubleshooting Masterclass: EAPOL, RADIUS, Supplicant Issues

Die 802.1X-Authentifizierung ist eine weit verbreitete Methode zur Sicherstellung der Netzwerksicherheit, insbesondere in Campusnetzwerken. Trotz ihrer Effizienz können beim Einsatz von 802.1X verschiedene Probleme auftreten, die die Authentifizierung von Geräten verhindern. In dieser Masterclass gehen wir auf die häufigsten Fehlerquellen ein und bieten praxisorientierte Lösungsansätze für die Diagnose und Behebung von Problemen, die mit EAPOL,…