Sailer

Nein, eben nicht, es passiert nichts mehr.

Also ein nicht reproduzierbarer Fehler, schade :rolleyes:

Hätte mich interessiert ob das auch auf anderen Switchports passiert. Bin immer noch erstaunt was so eine NIC im ausgeschaltenen Zustand so alles kann :wink2:

Hat diese NIC eine TOE (Tcp-offload-Engine)? Ich hab zwar noch nie von Problemen dieser Art gehört aber immerhin besitzen solche NICs ein bisschen mehr Intelligenz als normale. Also eher eine Frage für die Statistik :D

Wie soll das entstehen? Der Rechner wurde eingeschaltet und das Problem war weg, ist bis heute nicht wieder aufgetreten.

Ok, das schließt die Dose aus aber dann macht die NIC doch irgendetwas "komisches"?!

Da ich bezweifle, dass die NIC von sich aus soviel Traffic erzeugen könnte, dass sie das ganze Netz lahm legt, halte ich hier eine Brücke zwischen den Adern im ausgeschaltenen Zustand immer noch für wahrscheinlicher?!

Passiert das immer wenn der Rechner ausgeschalten ist?

Ja, genau

Der Ersteller ist gleichzeitig auch Besitzer der Datei.

Das kannst du dir mit Rechstklick -> Eigenschaften -> Sicherheit -> Erweitert -> Besitzer ansehen

DHCP vergibt nur IPs aus einem passenden Bereich -> der Router weiß an welchem Interface (somit auch den IP-Range) die Anfrage kam.

Sollte eine Anfrage kommen die mittels "ip-helper" weitergeleitet wurde, steht dort auch die Info drin für welches Netz der DHCP-Client eine Adresse braucht. Diese Info kommt dann vom ip-helper.

Was für mich nicht zusammen passt ist der Anspruch auf hohe Leistung (weshalb sonst zwei Netzwerkkarten load balancen?) und XP als "pseudo" Server.

Was spricht dagegen das mit WinXP zu machen? Die Leistung hängt doch von der Hardware ab? :suspect:

Oder hat Microsoft in den Clientbetriebssystemen künstliche Bremsen eingebaut??? :eek:

Was m.E. gegen XP spricht wäre der Umstand, dass nur 10 gleichzeitige Verbindungen möglich sind aber wenn das für ihre Anforderungen genügt, warum nicht...

@Rac117:

Die Sende- und Empfangs-Bandbreite ist bei Full-Duplex ohnehin getrennt.

8-adriges CAT-Kabel => je ein Adernpaar bei 10/100MBit bzw. je zwei Paare pro Richtung bei Gigabit

Beim Loadbalancing wird daher eher pro Session gebalanced.

Ich halte es für ziemlich unwahrscheinlich, dass ein Standard-PC ein Netzwerk völlig dicht machen könnte. Klingt daher auch für mich nach einem Loop durch "Kurzschluss" auf der NIC oder in der Dose.

So einen Loop kann STP nicht erkennen auch wenn dieses Protokoll aktiviert ist. STP schaut ob BPDUs die auf einem Interface abgeschickt wurden, auf anderen Interfaces wieder daherkommen -> tun sie in diesem Fall nicht, sie kommen am selben Port daher :(

Zu einigen deiner Fragen:

Interface Tracking heißt, die HSRP-Priorität eines Devices wird um einen vorgegebenen Wert gesenkt wenn bestimmte Interfaces ausfallen. Dadurch kann man erreichen, dass ein anderer Router aktiv wird sobald der primäre z.B. einen wichtigen Uplink verloren hat. Das Routing lässt sich somit optimieren.

Eine Firewall arbeitet i.d.R. auf Layer3 und Layer4 d.h. wenn im gleichen Subnet auf ein Device zugegriffen wird kann sie gar nichts machen -> dann müsste es schon eine Layer2-Firewall (Bridging) sein.

Zur CPU-Auslastung: Du musst die Prozentwerte nicht zusammenzählen, in der obersten Zeile steht doch die Gesamtauslastung. Die kumulierten Werte in der Liste ergeben meist nicht die Gesamtauslastung!

Bezüglich HSRP: Sieht so aus als würde einer der Route dauernd versuchen Active-Router zu werden?!

Poste doch mal deine Config und "debug standby errors" + "debug standby events", da sieht man vermutlich den Fehler.

Hallo,

ein ähnliches Thema wurde vor ein paar Wochen hier behandelt http://www.mcseboard.de/windows-forum-lan-wan-32/herausfinden-unbekannten-maschine-netzwerk-3-119162.html

Sofern die MAC-Adresse nicht bekannt ist mittels "show arp | include ..." an einem Router die MAC-rausfinden.

Anschließend mittels "show mac-address-table | include ..." den Switches entlang hangeln bis du zu dem Port kommst an dem nur noch diese eine Adresse ist.

Ports mit mehreren Adressen deuten auf einen benachbarten Switch hin, dieser muss aber nicht zwangsläufig CDP sprechen.

Zu einigen anderen Tips hier:

Mit "show running-config" kann man sich (wie der Name schon sagt) die Konfiguration des Switches ansehen -> da natürlich keine Client-MACs oder IPs am Switch konfiguriert werden, bringt das in diesem Fall nichts.

"show ip interface brief" zweigt den Layer3 Status der Interfaces an -> auf einem Router würde man so sehen ob die Interfaces IP mäßig auch up sind. Am Switch beschränkt sich dieser Befehl (bei normaler Konfiguration) auf die "int vlan" Interfaces.

Eine Anmerkung noch zum Schluss:

In deinem zweiten Posting lese ich, dass ihr ein geswitches Netz habt in dem ALLE 1200 Geräte in einem Subnet sind? :eek:

Wie sieht es bei euch mit der Performance aus? Die Empfehlung für maximale Subnetgrößen liegt bei einem C-Netz, also 254 Adressen. Der Rest sollte durch Router verbunden werden. Bei 1200 Geräten geht vermutlich der größte Teil der Bandbreite durch Broadcasts drauf!!! ;)

Ein Router entscheidet immer nach "longest match" d.h. beispielsweise eine Host-Route von 10.10.10.10/32 wird immer bevorzugt gegenüber etwas ungenauerem wie z.B.10.10.10.0/24.

Also um so genauer die Subnetmask ein Ziel beschreibt, um so eher wird die Router verwendet.

Daher wird 0.0.0.0/0 auch immer die letzte Route sein die in Erwägung gezogen wird.

In deinem Beispiel wird also alles was mit 10. beginnt über 192.168.2.1 geroutet AUSSER es fällt in den Bereich von 10.0.48.0/21, dann wird 192.168.3.1 verwendet weil das mit /21 die "genauere" Angabe ist. :wink2:

Hallo Windows-User,

das selbe Thema haben wir vor kurzem hier diskutiert http://www.mcseboard.de/windows-forum-lan-wan-32/switch-mac-filter-118160.html

Dabei haben wir auch erörtert warum Zugriffschutz per MAC-Adresse nur sehr wenig Schutz bietet und kaum managebar ist.

Lies dich mal durch den Beitrag ;)

Das hört sich schon gut an, aber es ist doch etwas trivial.

Ich kenne genug Installationen die nicht mal die Hälfte von allem genannten überwachen.

Was du hier als "trivial" bezeichnest ist leider nicht mal Standard :rolleyes:

Außerdem gilt hier IMHO wieder mal die 80-20 Regel. Mit 20% Überwachung lassen sich 80% aller Fehler schnell finden, erklären oder verhindern :D

man hört immer nur Cisco und HP.

Naja, damit haben wohl die meisten Leute Erfahrung -> ich persönlich habe keine Erfahrung mit 3Com und kann daher auch keine Empfehlung dazu abgeben.

Vielleicht kannst du bp158 mal einen ungefähren Richtpreis für deinen Vorschlag nennen?

Ob man nun auf Cisco, 3Com, HP oder sonst wen setzt, bedarf immer eine sehr genauen Betrachtung der Bedürfnise, etwas das sie Möglichkeiten eines Forums einfach übersteigt.

Ich kann hier nur noch mal generell sagen, dass Cisco IMHO das größte Produktportfolio bietet und man somit eine Lösung "aus einem Guss" erhält. Was natürlich nicht heißen soll, dass andere Hersteller in ihrem speziellen Bereich nicht bessere, billigere, performantere Geräte liefern können.

...da im Falle eines DSL-Ausfalls die Emails auf dem Backupserver der T-Com landen...

Vielleicht verstehe ich dich falsch aber genau das will man doch mit der MX-Preference erreichen :suspect:

Wenn der zweite Server kein Backup-Server ist dann sollte er auch nicht als MX propagiert werden.

Wenn er einer ist dann versucht er die Mails an den anderen Server weiterzuleiten sobald dieser wieder erreichbar ist.

Den "Netgear FVL328 " kenne ich nicht aber im Prinzip funktioniert das so wie du geschrieben hast.

Da du von deinem Provider aber bestimmt eine dynamische IP-Adresse zugewiesen bekommst, sollte dein Router sich auch bei "DynDNS" o.ä. registrieren können damit du die IP "wiederfindest" ;)

Ich persönlich würde einen Cisco der 3560er Reihe nehmen. Aus deinem Posting schließe ich allerdings, dass ihr nicht sooooo hohe Ansprüche ans Netzwerk bzw. neue Technologien stellt? :wink2:

Würde daher in eurem Fall eher zu einem HP ProCurve 2650 tendieren.

Nur mal zum Vergleich:

ein Cisco C3560-48Port liegt bei ca. €2.500,- und dann noch mal ca. €500,- für zwei GBit-Module

ein HP 2650 kostet in etwa €900,- und hat bereits zwei GBit Module integriert.

Der Cisco Switch könnte natürlich viel viel mehr als der HP, dazu bedarf es aber doch einiges KnowHow's in Netzwerktechnik um ihn ordentlich auszureizen.

Netzwerkkomponenten:

-Memory

-Interface-Statistiken (Bandbreite Up/Down; Errors Up/Down)

-Status von Etherchannels

-Status von STP

-Status von HSRP

-Temperatur

-bestimmte Syslog Messages

Server:

-CPU/Memory

-Disks Auslastungen

-Ethernet-Statistiken (Bandbreite Up/Down; Errors Up/Down)

-Temperatur

-installierte Software/Patches/Hotfixes/SPs

-kritische Fehler im Eventlog

nur mal so auf die Schnelle, man kann gar nicht genug überwachen... ;)

Werde es vielleicht nächste Woche schaffen.

Ui, ein unbekanntes Gerät noch eine Woche am Netz :D

Ist der Ansatz den Switchport eine Option für dich oder gibts Gründe die dagegen sprechen? Viel Glück noch bei der "Jagd" :p

@StefanK:

Nur mal so Interessehalber, hast du das Gerät inzwischen gefunden? :wink2:

Hab geschreiben "je nach Belieben" d.h. du kannst unbekannte Geräte auch einfach aussperren -> oft werden unbekannte Geräte halt in ein VLAN verschoeben in dem sie "nur" Internetzugang haben. Sehr praktisch wenn Gäste/Consultants/externe Mitarbeiter nicht auf eure Infrastruktur zugreifen sollen aber trotzdem ins Internet müssen

Vielleicht hast du vorher auch was falsch verstanden, natürlich wird nicht jeder User in ein eigenes VLAN verschoeben. Jede Gruppe wird ins gleiche VLAN verschoben und hat somit eben Zugriff auf alles oder nur bestimmte Bereiche.

Der Vorteil von 802.1x gegenüber deiner Lösung mit MAC-Filtern:

1) einmal zentral konfiguriert (RADIUS-Server) gilt dann für alle Switches

2) wesentlich sicherer weil man mit Zertifikaten arbeiten kann

3) Sicherheitsstufe kann pro User (nicht nur pro Gerät) vergeben werden

Ja, mit 802.1x kannst du im Grunde VLAN-Zuordnung machen. Authentifizierte Geräte und/oder Benutzer kommen ins "normale" LAN, Gäste ins GuestLAN... Je nach Belieben :D

Hallo Firefox,

kann dir nur allgemeine Antworten geben da ich die Watchguard X Edge Serie im Speziellen nicht kenne.

zu 1) i.d.R. sollte jede Firewall auch ohne speziellen Client zurecht kommen und auch mit dem IPSec Client von WinXP o.ä. klar kommen. Die "speziellen" Clients bieten halt meist noch ein paar tolle Zusatzfeatures wie z.B. Desktop Firewall am PC/Laptop, bessere zentralle Managebarkeit usw.

Sind das dann einfach verschlüsselte IPSec Verbindungen oder echte Tunnel?

Kennst du denn den Unterschied? :suspect:

IPSec kann man im TunnelMode oder im TransportMode ausführen. In beiden Fällen wird die Payload verschlüsselt aber im TunnelMode wird zusätzlich ein neuer IP-Header kreirt und vorgeschalten.

Übers Internet wirst du sowieso im TunnelMode fahren müssen.

zu 6) da sag ich besser nichts dazu, ich hab so meine Vorurteile was Security-Devices angeht :D

zu 7) Da mir, wie schon gesagt, der Vergleich zur Watchguard fehlt, kann ich hier nur mal generell in den Raum stellen: Cisco weiß wie man Netzwerkt :wink2:

...zwei "komplette/richtige" Fast-Ethernet Interface zu machen.

Was meinst du mit zwei echten FastEthernet Interfaces? :suspect:

Die vier Interfaces sind doch von Haus aus ein "Switch" mit vier FastEthernet Interfaces...

Worauf zielt deine Frage eigentlich ab? :suspect:

Machbar ist es auf jeden Fall, je nach deiner praktischen Erfahrung im Cisco Umfeld eben mit mehr oder weniger (Lern)Aufwand.

Kurse musst du keine besucht haben um zur Prüfung antreten zu dürfen (falls dir diese Frage durch den Kopf ging)

Hallo Pastors,

ich kann deiner Fehlerbeschreibung nur schwer folgen, ein Layout deiner Topologie (inkl. IP Adressen) wäre extrem hilfreich. ;)

Mir ist nicht ganz klar wieviele Netze du eigentlich hast. Du schreibst von einem Netz in dem die PIX und ein Router sind, außerdem von der DMZ -> sind das nun zwei Netze oder eines?

Wenn es zwei Netze sind dann hast du schon mal ein Problem mit deiner Subnetmask. Um 192.168.20.x und 192.168.21.x unterscheiden zu können müsstest du schon mindestens eine /23 Maske verwenden (die unterscheiden sich erst im letzten Bit des dritten Octet)

Was mir noch auffällt. Du hast zwei Geräte die aufeinander mit einer Default-Route zeigen. Ohne deine Topologie und Konfiguration genau zu kennen kann ich dazu nur sagen, dass so etwas leicht zu einem Routing-Loop führen kann. Hast du es statt mit Pings schon mal mit Traceroute versucht, damit könntest du Routingloops erkennen.

Ganz wichtig wäre auch zu wissen von wo aus du immer getestet hast bzw. wo du dann das gefault Gateway entfernt hast usw. Und wie gesagt, ein Bild sagt mehr als 1000 Worte :D