NeMeSiS

...Berichtigung:

 

Natuerlich meine ich nicht den CCNA sondern angefangen hat

es mit dem ICND-Kurs (Grundkurs) !!!

 

Wo war ich nur mit meinen Gedanken ? :rolleyes:

 

-=NeMeSiS=-

Ich habe zwar keine Zert´s (...habe ich frueher schon zu Novell

-Zeiten gehasst), aber Schulungs-technisch kann ich mit besten

Gewissen http://www.azlan.de empfehlen ...denn Du wirst

bestimmt erst ne Schulung und dann die Prueffung machen wollen, oder ? :cool: !

 

Ich habe dort den CCNA und den BCRAN-Kurs besucht und fand es

gut WAS Azlan aus den vorgegebenen (USA)-CISCO-Unterlagen

fuer den deutschen Cisco-Anwender und Schueler gemacht hat.

 

-=NeMeSiS=-

@ALL

 

DANKE fuer die Antworten !

 

Das Problem hat sich erstmal geloest.

 

Nachdem mir das DHCP-Vergabe-Problem zu merkwuerdig

wurde, habe ich mal ein SNIFFER-Tool "befragt" und dort

ging mir dann schnell ein Licht auf.

 

Die DHCP-Clients bekommen ihre ersten NetzInfos ueber

SourceAddress 0.0.0.0 und Dest.Address 255.255.255.255

(DHCP-Request und DHCP-Discover).

 

Da dieser globale Broadcast ueber ALLE Switchports geht (beide

Router haben nur ein EthernetInterface und sind ueber Switche

verbunden) greifen "natuerlich" die ACL´s hier nicht :shock:

 

Um ueber den globale Broadcast Herr zu werden, warte ich jetzt

auf ein zusaetzliches EthernetInterface und habe nach dessen

Einbau "wieder" 2 Broadcast-Domain´s und auch zwei unabhaengige IP-Netze ! :D

 

Ein extraDANKE an HenryNo1, mit ihm haben wir hier im Board

wirklich einen angagierten Mod !!!

 

-=NeMeSiS=-

@HenryNo1

 

ich fasse mal meinen ist-stand zusammen:

 

- 2 cisco 26xx

- beide physisch ueber switche im ethernet verbunden

 

*router1*

 

IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1)

 

interface Ethernet0/0

ip address 172.20.20.111 255.255.0.0 secondary

ip address 192.168.111.1 255.255.255.0

ip access-group 102 in

ip access-group 101 out

!

ip classless

ip route 0.0.0.0 0.0.0.0 172.20.20.1

no ip http server

!

access-list 101 deny udp any eq bootps any

access-list 101 deny udp any eq bootpc any

access-list 101 deny udp any any eq bootps

access-list 101 deny udp any any eq bootpc

access-list 101 permit ip any any

access-list 102 deny udp any eq bootps any

access-list 102 deny udp any eq bootpc any

access-list 102 deny udp any any eq bootps

access-list 102 deny udp any any eq bootpc

access-list 102 permit ip any any

 

sh ip access-lists

Extended IP access list 101

deny udp any eq bootps any

deny udp any eq bootpc any

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (8270267 matches)

Extended IP access list 102

deny udp any eq bootps any (2727 matches)

deny udp any eq bootpc any (3216 matches)

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (17603850 matches)

 

*router2*

 

IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1)

 

interface Ethernet0/0

ip address 172.20.20.1 255.255.0.0

ip access-group 102 in

ip access-group 101 out

!

ip default-gateway 172.20.0.78

ip classless

ip route 0.0.0.0 0.0.0.0 172.20.0.78 permanent

ip route 172.20.0.0 255.255.0.0 Ethernet0/0

ip route 172.20.20.1 255.255.255.255 Ethernet0/0

ip route 192.168.111.0 255.255.255.0 172.20.20.111

no ip http server

!

access-list 101 deny udp any eq bootps any

access-list 101 deny udp any eq bootpc any

access-list 101 deny udp any any eq bootps

access-list 101 deny udp any any eq bootpc

access-list 101 permit ip any any

access-list 102 deny udp any eq bootps any

access-list 102 deny udp any eq bootpc any

access-list 102 deny udp any any eq bootps

access-list 102 deny udp any any eq bootpc

access-list 102 permit ip any any

 

 

sh ip access-lists

Extended IP access list 101

deny udp any eq bootps any

deny udp any eq bootpc any

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (3485320 matches)

Extended IP access list 102

deny udp any eq bootps any (2774 matches)

deny udp any eq bootpc any (3272 matches)

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (7643959 matches)

 

das ist der stand der dinge ...nach den matches koennte ich

einige ACL-zeilen wieder loeschen, aber so lange die cpu noch

ueber die ACLs "lacht" ...lasse ich sie erstmal

 

mein problem ist immer noch, dass diese ip-netze DHCP-technisch

getrennt sein sollen, aber immer noch (trotz ACLs) die dhcp-ip´s

wild gegenseitig vergeben werden

 

!!! ich danke fuer die muehe !!!

 

-=NeMeSiS=-

@HenryNo1

 

...das mit der "helper-addr." muss ich mir mal ansehen,

aber ich will ja KEIN bootps/bootpc zw. den netzen austauschen !

 

...ich sehe auch das die ACL´s greifen, aber scheinbar nicht

richtig, denn die DHCP-Adr. werden immer noch wild vergeben

 

...im I-Net habe ich jetzt noch gelesen, dass nicht nur udp (67/68)

DHCP... ist sondern auch tcp (67/68), aber wenn ich die ACL mit

den gleichen zeilen erweitere und nur tcp fuer udb eintrage

"mekert" das ios ...von wegen bootpc/ps geht nicht zu sperren

 

***ip access-list 101 deny tcp any eq bootpc any

************^*

% Invalid input detected at '^' marker.***

 

Fragen ueber Fragen und ich bin fuer jeden Tip dankbar !!! :(

 

------------------------------------------------------------------------------------

deny udp 172.20.0.0 0.0.255.255 eq bootps any

deny udp any eq bootps 172.20.0.0 0.0.255.255 (2 matches)

deny udp 172.20.0.0 0.0.255.255 eq bootpc any

deny udp any eq bootpc 172.20.0.0 0.0.255.255

permit ip any any (1931680 matches)

 

deny udp 192.168.111.0 0.0.0.255 eq bootps any (2334 matches)

deny udp 192.168.111.0 0.0.0.255 eq bootpc any (143 matches)

permit ip any any (11261652 matches)

------------------------------------------------------------------------------------

 

-=NeMeSiS=-

...kenne erst 2 tage diese page, aber fuehle mich unter den leuten schon sauwohl :cool:

 

-=NeMeSiS=-

@HenryNo1

 

danke fuer den tip - war natuerlich b***d von mir anzunehmen

wenn "nur" -deny udp- dann auch letzte zeile "nur" -permit udp

any any- :p

 

die matches der access-list zeigen schon erfolge :) nur die

dhcp-clients scheinen noch nicht ganz die sache "zu verstehen" :mad:

 

nach jedem 2. boot haben die ploetzlich wieder ne "falsche" ip

 

ich werde mal noch etwas an den ACL´s umherschrauben und

meine erfahrungen dann hier reinschreiben :suspect:

 

-=NeMeSiS=-

 

P.S.: DANKE fuer die Hilfe hier im Board - ich hoffe diese auch

mal zurueck geben zu koennen !!!

mit

 

access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootps

access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootpc

access-list 101 permit udp any any

 

schiesse ich mir den ganzen router ab, sprich ich bin mit meiner

telnet-sitzung sofort gekappt, wenn ich die access-group 101

auf das ethernet-interface lege !

 

ich werde mich jetzt weiter in die ACL-problematik rein-lesen.

 

evntl. sieht ja jemand noch nen fehler in meiner ACL

 

D-A-N-K-E

 

-=NeMeSiS=-

@VanHon

 

DANKE fuer die Antwort - ich werde mich heute gleich mal

mit dem Theme AccessListen belesen und es dann ausprobieren.

 

Das Ergebnis werde ich dann fuer ALLE hier reinstellen !

 

-=NeMeSiS=-

...ich wuerde mich auch sehr ueber knowhow-austausch

richtung cisco freuen (wir haben mehrere 26xx und 1720

im einsatz, aber schulungen sind fuer uns zu teuer - frei nach dem motto "learning by doing" bzw. "try and error" ;) )

 

-=NeMeSiS=-

hallo,

 

kennt jemand ne moeglichkeit wie ich es rechnern in verschiedenen ip-netzen abgewoehnen kann sich eine

ip beim "falschen" WinNT4-DHCP-server zu holen ?

...sowas wie eine DHCP-Grenze am Router !

 

(2 ip-netze / jedes hat seinen DHCP-Server / durch CiscoRouter getrennt)

 

die netze sind durch cisco-router "getrennt" wobei broadcast

fuer verschiedene netzdienste durchgelassen werden muss !

 

Danke fuer die Antworten !

 

-=NeMeSiS=-