NeMeSiS
-
Gesamte Inhalte
10 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NeMeSiS
-
-
Ich habe zwar keine Zert´s (...habe ich frueher schon zu Novell
-Zeiten gehasst), aber Schulungs-technisch kann ich mit besten
Gewissen http://www.azlan.de empfehlen ...denn Du wirst
bestimmt erst ne Schulung und dann die Prueffung machen wollen, oder ? :cool: !
Ich habe dort den CCNA und den BCRAN-Kurs besucht und fand es
gut WAS Azlan aus den vorgegebenen (USA)-CISCO-Unterlagen
fuer den deutschen Cisco-Anwender und Schueler gemacht hat.
-=NeMeSiS=-
-
@ALL
DANKE fuer die Antworten !
Das Problem hat sich erstmal geloest.
Nachdem mir das DHCP-Vergabe-Problem zu merkwuerdig
wurde, habe ich mal ein SNIFFER-Tool "befragt" und dort
ging mir dann schnell ein Licht auf.
Die DHCP-Clients bekommen ihre ersten NetzInfos ueber
SourceAddress 0.0.0.0 und Dest.Address 255.255.255.255
(DHCP-Request und DHCP-Discover).
Da dieser globale Broadcast ueber ALLE Switchports geht (beide
Router haben nur ein EthernetInterface und sind ueber Switche
verbunden) greifen "natuerlich" die ACL´s hier nicht :shock:
Um ueber den globale Broadcast Herr zu werden, warte ich jetzt
auf ein zusaetzliches EthernetInterface und habe nach dessen
Einbau "wieder" 2 Broadcast-Domain´s und auch zwei unabhaengige IP-Netze ! :D
Ein extraDANKE an HenryNo1, mit ihm haben wir hier im Board
wirklich einen angagierten Mod !!!
-=NeMeSiS=-
-
@HenryNo1
ich fasse mal meinen ist-stand zusammen:
- 2 cisco 26xx
- beide physisch ueber switche im ethernet verbunden
*router1*
IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1)
interface Ethernet0/0
ip address 172.20.20.111 255.255.0.0 secondary
ip address 192.168.111.1 255.255.255.0
ip access-group 102 in
ip access-group 101 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.20.20.1
no ip http server
!
access-list 101 deny udp any eq bootps any
access-list 101 deny udp any eq bootpc any
access-list 101 deny udp any any eq bootps
access-list 101 deny udp any any eq bootpc
access-list 101 permit ip any any
access-list 102 deny udp any eq bootps any
access-list 102 deny udp any eq bootpc any
access-list 102 deny udp any any eq bootps
access-list 102 deny udp any any eq bootpc
access-list 102 permit ip any any
sh ip access-lists
Extended IP access list 101
deny udp any eq bootps any
deny udp any eq bootpc any
deny udp any any eq bootps
deny udp any any eq bootpc
permit ip any any (8270267 matches)
Extended IP access list 102
deny udp any eq bootps any (2727 matches)
deny udp any eq bootpc any (3216 matches)
deny udp any any eq bootps
deny udp any any eq bootpc
permit ip any any (17603850 matches)
*router2*
IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1)
interface Ethernet0/0
ip address 172.20.20.1 255.255.0.0
ip access-group 102 in
ip access-group 101 out
!
ip default-gateway 172.20.0.78
ip classless
ip route 0.0.0.0 0.0.0.0 172.20.0.78 permanent
ip route 172.20.0.0 255.255.0.0 Ethernet0/0
ip route 172.20.20.1 255.255.255.255 Ethernet0/0
ip route 192.168.111.0 255.255.255.0 172.20.20.111
no ip http server
!
access-list 101 deny udp any eq bootps any
access-list 101 deny udp any eq bootpc any
access-list 101 deny udp any any eq bootps
access-list 101 deny udp any any eq bootpc
access-list 101 permit ip any any
access-list 102 deny udp any eq bootps any
access-list 102 deny udp any eq bootpc any
access-list 102 deny udp any any eq bootps
access-list 102 deny udp any any eq bootpc
access-list 102 permit ip any any
sh ip access-lists
Extended IP access list 101
deny udp any eq bootps any
deny udp any eq bootpc any
deny udp any any eq bootps
deny udp any any eq bootpc
permit ip any any (3485320 matches)
Extended IP access list 102
deny udp any eq bootps any (2774 matches)
deny udp any eq bootpc any (3272 matches)
deny udp any any eq bootps
deny udp any any eq bootpc
permit ip any any (7643959 matches)
das ist der stand der dinge ...nach den matches koennte ich
einige ACL-zeilen wieder loeschen, aber so lange die cpu noch
ueber die ACLs "lacht" ...lasse ich sie erstmal
mein problem ist immer noch, dass diese ip-netze DHCP-technisch
getrennt sein sollen, aber immer noch (trotz ACLs) die dhcp-ip´s
wild gegenseitig vergeben werden
!!! ich danke fuer die muehe !!!
-=NeMeSiS=-
-
@HenryNo1
...das mit der "helper-addr." muss ich mir mal ansehen,
aber ich will ja KEIN bootps/bootpc zw. den netzen austauschen !
...ich sehe auch das die ACL´s greifen, aber scheinbar nicht
richtig, denn die DHCP-Adr. werden immer noch wild vergeben
...im I-Net habe ich jetzt noch gelesen, dass nicht nur udp (67/68)
DHCP... ist sondern auch tcp (67/68), aber wenn ich die ACL mit
den gleichen zeilen erweitere und nur tcp fuer udb eintrage
"mekert" das ios ...von wegen bootpc/ps geht nicht zu sperren
***ip access-list 101 deny tcp any eq bootpc any
************^*
% Invalid input detected at '^' marker.***
Fragen ueber Fragen und ich bin fuer jeden Tip dankbar !!! :(
------------------------------------------------------------------------------------
deny udp 172.20.0.0 0.0.255.255 eq bootps any
deny udp any eq bootps 172.20.0.0 0.0.255.255 (2 matches)
deny udp 172.20.0.0 0.0.255.255 eq bootpc any
deny udp any eq bootpc 172.20.0.0 0.0.255.255
permit ip any any (1931680 matches)
deny udp 192.168.111.0 0.0.0.255 eq bootps any (2334 matches)
deny udp 192.168.111.0 0.0.0.255 eq bootpc any (143 matches)
permit ip any any (11261652 matches)
------------------------------------------------------------------------------------
-=NeMeSiS=-
-
...kenne erst 2 tage diese page, aber fuehle mich unter den leuten schon sauwohl :cool:
-=NeMeSiS=-
-
@HenryNo1
danke fuer den tip - war natuerlich b***d von mir anzunehmen
wenn "nur" -deny udp- dann auch letzte zeile "nur" -permit udp
any any- :p
die matches der access-list zeigen schon erfolge :) nur die
dhcp-clients scheinen noch nicht ganz die sache "zu verstehen" :mad:
nach jedem 2. boot haben die ploetzlich wieder ne "falsche" ip
ich werde mal noch etwas an den ACL´s umherschrauben und
meine erfahrungen dann hier reinschreiben :suspect:
-=NeMeSiS=-
P.S.: DANKE fuer die Hilfe hier im Board - ich hoffe diese auch
mal zurueck geben zu koennen !!!
-
mit
access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootps
access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootpc
access-list 101 permit udp any any
schiesse ich mir den ganzen router ab, sprich ich bin mit meiner
telnet-sitzung sofort gekappt, wenn ich die access-group 101
auf das ethernet-interface lege !
ich werde mich jetzt weiter in die ACL-problematik rein-lesen.
evntl. sieht ja jemand noch nen fehler in meiner ACL
D-A-N-K-E
-=NeMeSiS=-
-
@VanHon
DANKE fuer die Antwort - ich werde mich heute gleich mal
mit dem Theme AccessListen belesen und es dann ausprobieren.
Das Ergebnis werde ich dann fuer ALLE hier reinstellen !
-=NeMeSiS=-
-
...ich wuerde mich auch sehr ueber knowhow-austausch
richtung cisco freuen (wir haben mehrere 26xx und 1720
im einsatz, aber schulungen sind fuer uns zu teuer - frei nach dem motto "learning by doing" bzw. "try and error" ;) )
-=NeMeSiS=-
-
hallo,
kennt jemand ne moeglichkeit wie ich es rechnern in verschiedenen ip-netzen abgewoehnen kann sich eine
ip beim "falschen" WinNT4-DHCP-server zu holen ?
...sowas wie eine DHCP-Grenze am Router !
(2 ip-netze / jedes hat seinen DHCP-Server / durch CiscoRouter getrennt)
die netze sind durch cisco-router "getrennt" wobei broadcast
fuer verschiedene netzdienste durchgelassen werden muss !
Danke fuer die Antworten !
-=NeMeSiS=-
Zertifikat
in Cisco Forum — Allgemein
Geschrieben
...Berichtigung:
Natuerlich meine ich nicht den CCNA sondern angefangen hat
es mit dem ICND-Kurs (Grundkurs) !!!
Wo war ich nur mit meinen Gedanken ? :rolleyes:
-=NeMeSiS=-