Link Aggregation Design: Best Practices für Access–Distribution

Ein sauberes Link-Aggregation-Design (EtherChannel/LACP) zwischen Access- und Distribution-Switches ist einer der größten Stabilitätsgewinne im Campus: Es reduziert STP-Blockierungen, nutzt Bandbreite aktiv, erhöht Redundanz und macht Failover planbarer. Gleichzeitig ist Link Aggregation nur dann „langweilig und stabil“, wenn du konsequent Standards einhältst: identische Member-Konfiguration, klare Trunk-Whitelists, definierte Native VLAN, saubere Root-Planung und robuste Physik (Kabel/SFP). Dieser…

Multi-Chassis EtherChannel (MEC): Konzepte und Voraussetzungen

Multi-Chassis EtherChannel (MEC) beschreibt das Prinzip, einen einzigen Port-Channel über zwei physische Switches hinweg zu spannen. Für ein angebundenes Gerät (z. B. Access-Switch, Server, Firewall) wirkt das wie ein normaler LACP-Port-Channel – nur dass die Member-Links auf zwei unterschiedlichen Chassis enden. Der Vorteil: echte aktive/aktive Redundanz ohne STP-Blocking und oft mit sehr ruhigem Failover. Der…

High Availability im Campus: Praktisches Design mit Cisco Switches

High Availability (HA) im Campus-Netz bedeutet: Das Netzwerk bleibt trotz einzelner Ausfälle nutzbar – ohne „großen Knall“ und ohne lange Konvergenzzeiten. In der Praxis geht es um redundante Switches, redundante Uplinks, sauberes STP- und LACP-Design, stabile Gateways (FHRP) und klar definierte Failure-Domains. Dieses Blueprint zeigt ein praxistaugliches HA-Design mit Cisco Switches für typische Mittelstands- und…

Port Security konfigurieren: MAC-Limits, Sticky MAC & Violation Modes

Port Security ist eine einfache, aber sehr wirkungsvolle Sicherheitsfunktion auf Cisco Switches: Sie begrenzt, wie viele (und welche) MAC-Adressen auf einem Switchport zugelassen sind. Damit schützt du Access-Ports vor unerwünschten Switches, „MAC-Flooding“-Effekten und ungeplanten Mehrfachanschlüssen. In der Praxis wird Port Security häufig mit MAC-Limits, Sticky MAC (automatisches Lernen) und passenden Violation-Mode-Einstellungen betrieben. Dieses Tutorial zeigt…

STP Troubleshooting: show spanning-tree richtig interpretieren

Wenn Layer-2-Probleme auftreten, ist show spanning-tree oft der schnellste Weg zur Ursache: Warum ist ein Port blockiert? Wer ist Root? Warum gibt es viele Topology Changes? Und weshalb sind Ports „inconsistent“? Wer den Output korrekt liest, spart in Incidents viel Zeit und vermeidet gefährliche Quick-Fixes wie „STP ausschalten“. Dieser Leitfaden erklärt die wichtigsten show spanning-tree-Ausgaben…

802.1X auf Cisco Switch: Netzwerkzugang sicher steuern (Praxis)

802.1X ist der Standard, um Netzwerkzugang auf Switchports sicher zu steuern: Ein Endgerät bekommt erst dann Zugriff, wenn es sich erfolgreich authentifiziert hat. In Campus- und Mittelstandsnetzen ersetzt 802.1X damit unsichere „offene“ Access-Ports und reduziert Risiken durch fremde Geräte, Rogue-Switches oder unkontrollierte IoT-Endpoints. In der Praxis wird 802.1X fast immer mit AAA/RADIUS (z. B. Cisco…

STP TCNs und Flapping: Ursachen finden und beheben

Viele Spanning-Tree Topology Changes (TCNs) und „Flapping“ sind ein Warnsignal für Instabilität auf Layer 2: Ports gehen ständig up/down, STP-States wechseln, MAC-Tabellen werden geleert und Endgeräte verlieren kurzzeitig Konnektivität. In der Praxis äußert sich das als „kurze Aussetzer“, „VoIP knackt“, „WLAN-Clients verlieren IP“ oder „alles ist sporadisch langsam“. Dieser Leitfaden zeigt, wie du TCNs korrekt…

MAB (MAC Authentication Bypass): Wenn 802.1X nicht geht

MAB (MAC Authentication Bypass) ist eine pragmatische Ergänzung zu 802.1X: Wenn ein Endgerät keinen 802.1X-Supplicant unterstützt (z. B. Drucker, IoT, Kameras, Türcontroller), kann der Switch stattdessen die MAC-Adresse als „Identität“ an einen RADIUS-Server senden. Der RADIUS entscheidet dann per Policy, ob das Gerät Zugriff bekommt und in welches VLAN bzw. mit welchen ACLs. Wichtig: MAB…

Layer-2 Loops erkennen: Symptome, Logs und Sofortmaßnahmen

Layer-2-Loops gehören zu den gefährlichsten Störungen in Ethernet-Netzen: Sie können innerhalb von Sekunden Broadcast-Stürme auslösen, MAC-Tabellen „flappen“ lassen und ganze Standorte unbenutzbar machen. Das Tückische: Ein Loop entsteht oft durch einfache Ursachen wie ein falsch gestecktes Patchkabel oder ein kleiner Switch, der redundant angeschlossen wird. Dieser Leitfaden zeigt, wie du Layer-2-Loops schnell erkennst, welche Logs…

DHCP Snooping aktivieren: Rogue DHCP Server stoppen

Ein Rogue DHCP Server kann ein ganzes VLAN in Minuten „kapern“: Clients bekommen falsche IPs, falsche Gateways oder DNS-Server und verlieren den Zugriff auf interne Systeme. Häufig reicht dafür schon ein falsch konfigurierter Router, ein Internet-Router im Büro oder ein „hilfsbereiter“ WLAN-Hotspot. DHCP Snooping ist die Cisco-Standardmaßnahme dagegen: Der Switch unterscheidet zwischen vertrauenswürdigen (trusted) und…