Unbenutzte Ports absichern: Shutdown, VLAN, ACL – Standardprozess

Unbenutzte Switchports sind ein unterschätztes Sicherheitsrisiko: Ein freier Port ist ein potenzieller „Einstiegspunkt“ für fremde Geräte, Rogue-DHCP, VLAN-Hopping über Fehlkonfigurationen oder einfache Loops durch falsch gesteckte Kabel. Ein sauberer Standardprozess sorgt dafür, dass ungenutzte Ports nicht nur deaktiviert sind, sondern auch eindeutig markiert, in ein Parking-VLAN gelegt und gegen typische Edge-Risiken abgesichert werden. Diese Anleitung…

MAC Address Table Overflow: Angriff erkennen und abwehren

Ein MAC Address Table Overflow (auch CAM Table Overflow oder MAC Flooding) ist ein Layer-2-Angriff, bei dem ein Angreifer massenhaft gefälschte Quell-MAC-Adressen sendet. Ziel ist, die MAC-Tabelle des Switches zu füllen, sodass der Switch unbekannte Unicasts nicht mehr gezielt weiterleiten kann und stattdessen floodet. Das erleichtert das Mitschneiden von Traffic (Sniffing) und kann gleichzeitig Performance-Probleme…

Spanning Tree Schutzfeatures: BPDU Guard, Root Guard, Loop Guard richtig nutzen

Spanning Tree schützt dein Netzwerk vor Layer-2-Loops – aber erst die STP-Schutzfeatures machen den Betrieb wirklich robust gegen typische Praxisfehler: „Switch unter dem Tisch“, falsche Root Bridge, unidirektionale Links oder fehlende BPDUs. BPDU Guard, Root Guard und Loop Guard sind dabei die wichtigsten Werkzeuge auf Cisco Switches. Richtig platziert verhindern sie große Ausfälle, falsch platziert…

Control Plane Protection am Switch: Was möglich ist und was nicht

Control Plane Protection (CoPP/CPPr) zielt darauf ab, die CPU und Steuerfunktionen eines Switches vor Überlastung und Missbrauch zu schützen. In der Praxis bedeutet das: Management- und Control-Plane-Traffic (SSH, SNMP, Routing-/STP-relevante Pakete, ARP, ICMP, DHCP-Relay, etc.) wird kontrolliert, priorisiert und bei Bedarf rate-limited, damit ein Storm oder ein Angriff nicht die CPU „festnagelt“. Gleichzeitig ist wichtig…

Security Logs auswerten: Typische Hinweise auf Layer-2 Angriffe

Layer-2-Angriffe sind oft „laut“, aber nicht immer offensichtlich: Rogue DHCP, ARP Spoofing, MAC Flooding oder VLAN-Hopping äußern sich in Log-Meldungen, Inconsistent-States, err-disabled Ports, ungewöhnlichen Topology Changes oder auffälligen Counter-Spikes. Wer Security Logs auf Cisco Switches systematisch auswertet, erkennt solche Ereignisse früh und kann Ports, VLANs und betroffene Segmente schnell eingrenzen. Dieser Leitfaden zeigt typische Log-Hinweise,…

Switch-Port down/up (Flapping): Ursachenanalyse Schritt für Schritt

Port-Flapping (Switch-Port geht wiederholt down/up) ist eine der häufigsten Ursachen für sporadische Netzprobleme: kurze Aussetzer, DHCP-Probleme, VoIP-Aussetzer, STP-Topology-Changes und instabile Port-Channels. Die Herausforderung ist, dass Flapping sowohl durch Layer-1-Themen (Kabel, SFP, PoE, NIC) als auch durch Logik (STP/Guards, EtherChannel, Errdisable) entstehen kann. Mit einem strukturierten Vorgehen findest du in wenigen Minuten heraus, ob das Problem…

show interface richtig lesen: Errors, CRC, Drops und Speed/Duplex

show interfaces ist eines der wichtigsten Troubleshooting-Tools auf Cisco Switches. Der Output wirkt auf den ersten Blick lang, liefert aber sehr konkrete Hinweise: Ist der Link wirklich stabil? Gibt es physische Fehler (CRC/FCS), Duplex-/Speed-Probleme, Drops durch Überlast, Queue-Engpässe oder Anzeichen für Loops und Storms? Wer die wichtigsten Felder richtig interpretiert, kann in wenigen Minuten zwischen…

Duplex Mismatch erkennen: Symptome und schneller Fix

Ein Duplex Mismatch ist ein Klassiker im Netzwerkbetrieb: Der Link steht „up“, aber Performance ist schlecht, Verbindungen wirken instabil und es treten merkwürdige Fehlerzähler auf. Typisch ist eine Situation, in der eine Seite auf Full-Duplex läuft, die andere auf Half-Duplex (oder Autonegotiation ist einseitig deaktiviert). Das führt zu Kollisionen, Retransmits und stark schwankendem Durchsatz. Moderne…

VLAN Problem? Checkliste für Access- und Trunk-Fehler

VLAN-Probleme wirken in der Praxis oft unspezifisch: „Client bekommt keine IP“, „kommt nicht ins richtige Netz“, „Ping geht nur manchmal“ oder „nur ein Standort ist betroffen“. Häufig liegt die Ursache nicht im VLAN selbst, sondern an einem Access-Port im falschen VLAN, an einem Trunk, der VLANs nicht transportiert (Allowed VLANs), an Native-VLAN-Mismatches oder an STP/Port-Channel-Inkonsistenzen.…

IP Source Guard: Schutz vor IP Spoofing am Access-Port

IP Spoofing am Access-Port ist ein häufig unterschätztes Risiko: Ein Endgerät kann sich einfach eine fremde IP-Adresse geben (z. B. die eines Servers oder Gateways) und damit Policies umgehen, Logging verfälschen oder Konflikte auslösen. IP Source Guard ist die Cisco-Gegenmaßnahme auf Layer 2: Der Switch erlaubt IP-Traffic auf einem Port nur dann, wenn die IP/MAC/VLAN/Port-Kombination…