Franz2

Hallo,

ich denke wenn du ESP Traffic sperrst sollte er in UDP Tunneln.

lg Franz

Gratuliere!

lg

Nein leider nicht.

Es gibt einen 3560-E der deine Anforderungen erfüllt.

Cisco Catalyst 3560E-48PD-F

Cisco Catalyst 3560-E Series Switches [Cisco Catalyst 3560-E Series Switches] - Cisco Systems

Der hat auch 2 10GE Uplinks.

Da bekommst du aber mehrere 2960' er dafür.

Es gäbe auch einen 2975 Switch

WS-C2975GS-48PS-L

Falls du Platz ím Rack frei hast sind wahrscheinlich 2 2960er die günstigere Lösung.

lg Franz

Also ich würde auf jeden Fall auto QOS verwenden.

Die QOS Konfiguration ist Switch spezifisch. Mit auto QOS wird eine auf den Switch angepasste QOS Konfiguration erstellt.

Ich hatte eigentlich noch nie Probleme damit.

Außer bei ganz alten IOS wo das DSCP Mapping nicht in Ordnung war.

lg franz

Den Trust solltest du auf DSCP ändern.

Ich würde Vorschlagen: auto qos voip trust.

Auch auf den Uplinks

https://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_37_se/command/reference/cli1.html#wp2737523

lg Franz

Ich denke du hast 2 Möglichkeiten.

Als Text in die Startup oder die Vlan.dat ins Flash kopieren.

http://www.cisco.or.at/en/US/docs/switches/lan/catalyst3750/software/release/12.1_11_ax/configuration/guide/swvtp.html#wp1216752

Habs aber noch nie getestet.

lg franz

Ja, stimmt.

Dann bleibt nur mehr eine NM-1E oder 4E.

Ist dann halt schon extrem alt. Kann nur 10Base-T.

lg Franz

Ich würde dir eine NM 1FE oder 2FE empfehlen.

Das sind "richtige" L3 Interfaces und keine SVI

lg franz

Sorry, hast natürlich recht. Port security geht nicht. Hab nicht an die Wireless Clients gedacht.

lg Franz

Ist zwar etwas her aber ich glaube es gibt in jedem Lan einen DR und BDR Router.

lg franz

Du kannst dann noch zusätzlich einen Trunk zwischen AP und Switch machen.

Die SSid bridged du dann in ein Vlan. Das Vlan 1 verwendest du nicht.

Damit erreichst du das auch ein Client mit der Mac- Addr. des AP nicht funktioniert.

Ist zwar auch nicht 100% ig sicher aber ein weiteres Hindernis

Statt 802.1x mit Mac Authentication Bypass könntest du auch port security machen. Da brauchst du keinen Radius Server.

lg Franz

Ich würde dir Cisco Hardware empfehlen.

Am besten wäre eine ASA 5505.

Die hat 7 Lan Ports. Vielleicht kannst du dir dadurch einen Switch sparen.

Hat aber kein DSL Modem eingebaut.

Falls du unbedingt einen Router mit Modem willst kannst du einen Cisco876 nehmen.

Es wäre auch möglich in der Zentralle eine ASA und in den Filialen einen Router zu nehmen.

lg Franz

Versuch es mal mit Hierarchischen shapping.

policy-map shape

class class-default

shape average 512000 Deine Upload Bandbreite

service-policy PrioList

lg Franz

Ein Command kenne ich keines. Sperren und wieder freigeben des Interface veranlassen ein Update.

lg Franz

Die Lösung von Zahni ist auf jeden Fall besser.

@Zahni, habe deinen Beitrag vorher nicht gelesen.

Ja, das ist normal.

Wenn das 2te Interface an ist wird es direkt zur Netzwerkkarte mit dem 192er Netz geroutet.

Wenn die Netzwerkarte aus ist fehlt natürlich auch der Routingeintrag für das 192er Netz. Deshalb wird es zum Gateway geschickt.

Die Lösung deines Problems ist gar nicht so einfach.

Ich sehe 3 Möglichkeiten.

1.) Du entfernst den Gateway und Routest alle Netze die du brauchst ins 172er Netz. Falls du über die Leitung surfst vergiß es gleich wieder.

2.) Du machst eine Route 192.168.0.0 mask 255.255.254.0 zu einer freien IP im 172er netz. Dein Rechner macht dann zwar einen arp request, wird aber nie eine Antwort bekommen und kein Packet versenden.

Die Addr. muß aber 100% ig frei sein.

Du kannst auch eine 2te IP ADDR auf das 172er Interface legen. Dann die Route auf eine IP Addr. in diesem Netz legen. Es sollte mit ziemlicher Sicherheit keinen Client mit dieser IP im Netz geben.

3) Eventuell gibt es eine Software Firewall bei der man bestimmte Netze sperren kann.

Ich kann dir aber eigentlich keine der 3 Lösungen empfehlen.

Am ehesten noch 3

lg Franz

3.)

Habe noch was gefunden.

PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access - Cisco Systems

lg franz

Poste bitte mal deine config. VPN ACL nat und der crypto Teil sollten reichen. Natürlich ohne offizeller ip und pwd.

Das der Tunnel nicht funktioniert hat lag vermutlich daran das die VPN ACL auf beiden Seiten gleich sein müssen.

Probier bitte ob du in der nonat und vpn ACL ein deny für das Netz das nicht genatted werden soll konfigurieren kannst.

lg Franz

lg Franz

Falls der Tunnel zwischen 2 ASA's gemacht wird:

PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example - Cisco Systems

Falls es sich um einen VPN Client handelt:

ASA/PIX: Allow Split Tunneling for VPN Clients on the ASA Configuration Example - Cisco Systems

lg franz

Zu deiner Anbtwort auf den 2ten Beitrag:

"Was soll man da groß erklären? Es soll lediglich verhindert werden das irgendeine Kommunikation auf Layer 2 Basis abläuft außer die Kommunikation zum Router. sämtliche andere Kommunikation muss über Layer 3 laufen. Eben genau das wozu private VLANs da sind. Verhindert MAC Spoofing und DHCP Snoofing und viele andere Sachen."

Das macht ein private Vlan! Warum willst du am Host noch was umstellen?

Falls es sich um einen Cisco handelt.

Eine kleine Hilfe zur konfiguration:

Configuring Isolated Private VLANs on Catalyst Switches - Cisco Systems

Was hast du für einen Switch ? Cisco?

lg Franz

Hallo,

was willst du damit erreichen.

Private Vlans sind eigentlich dazu da Traffic zwischen den Clients zu verhindern.

Vielleicht kannst du kurz erklären warum es Traffic zwischen den Hosts geben soll.

Schau mit einem Netzwerk Scanner ob der Client HTTP Requests sendet.

Z.B. Wireshark. Gibts auch als Portapps Version.

lg Franz

Bin auch der Meinung von TheCracked.

Ein Kunde hatte mal so eine Konfig auf einen HP Switch.

Hat zwar funktioniert aber :-( auf keinen Fall machen. :-)).

lg Franz

Proxy?