Blacky_24

Debugging / Logging auf dem TFTP einschalten, dann sieht man erstens wonach der Router genau fragt (Dateiname) und zweitens ob die Berechtigungen passen. Nach der Fehlermeldung liegt es wohl eher an letzterem. Ggf. einfach mal einen anderen TFTP testen. Auch prüfen ob der TFTP erreichbar ist und ob da eine Firewall auf dem TFTP den Zugriff blockt.

Ich verwende derzeit den http://tftpd32.jounin.net (muss man nicht mal installieren, kann man vom Stick starten ....) mit dem TFTP von Kiwi hatte ich gehäuft Probleme mit Lese- bzw. Übertragungsfehlern, der TFTP von 3COM und der TFTP von Solarwinds waren unter W2K3-Server nicht sauber ans Laufen zu kriegen, hab aber keine Ahnung ob das immer noch so ist.

Gruss

Markus

Die 87x sind ADSL2+-fähig, der Durchsatz der 87x liegt ca. beim Doppelten der 85x und beim Vierfachen der 83x und nur die 85x und die 87x rechnen die VPNs in Hardware (85x max 10 Tunnel, 87x max. 20). Der 85x kann nur 20 MB Flash (87x: Default 24 max 54 MB) und 64 MB DRAM (87x: Default 128 max. 256 MB). Die 87x können als Einzige NAC, URL Filtering und IPS (wird interessant wenn man Richtung CCNP gehen will). Im WLAN können nur die 87x Diversity und können mit verschiedenen Antennen bestückt werden, die 85x können nur (einen - und somit kein Diversity) Gummipi**el.

Kann man bei den 25xx einfach abhaken.

Wenn jemand bereit ist, das Geld zu investieren, würde ich auf jeden Fall zu den 87x raten. Der Aufpreis zu den 85x fällt nicht sehr ins Gewicht und alleine von den Eckdaten her versprechen die 87x, sehr zukunftssicher zu sein.

Gruss

Markus

Such nach "SmartNet" und Du wirst finden ...

Gruss

Markus

Es reicht wenn Du die Communities RO bzw. RW setzt, RW reicht im Prinzip, die dann in den Device-Properties vom OpManager eintragen.

Gruss

Markus

Von Fluke gab es mal den "Network Inspector", der konnte so was, inkl. Übergabe an Visio. Leider schon vor Jahren als eigenständiges Produkt eingestampft.

Ein Kunde von uns hat seine Facility-Management-Software an OpenView angeflanscht, OpenView verwaltet die aktiven Komponenten, die ganzen Leitungen sind in der FM-Software dokumentiert, so kann jederzeit ausgewertet werden welches Endgerät über welche Leitung an welchem Switchport hängt - kostenmässig jenseits von gut und böse, wenn man aber ~20.000 Endgeräte an ~100 Standorten weltweit hat und das alles zentral administrieren will sind das Peanuts.

Der OpManager kann SNMP-fähige Switches entsprechend auslesen http://manageengine.adventnet.com/products/opmanager/images/swPortMapper.gif

Gruss

Markus

würd ich da zu linksys greifen gehört auch cisco ist zwar kein ios drauf aber du hast via ssh oder telnet genausoviele einstellmöglichkeiten wie beim cisco.

Ist heute wieder der Tag an dem man ohne Ahnung / eingeschaltetes Hirn posten darf?

Welche Routing-Protokolle kann denn der Linksys? VPN mit 3DES, AES (mit HW-Beschleunigung und Zertifikaten) oder SSL? Eine ziemlich ausgeschlafene Stafull-Inspection-Firewall hat der Linksys auch? IPv6 können die Linksys auch schon? VRRP und HSRP schon unter Linksys konfiguriert - oder PIM oder 802.1x oder VLANs?

Jemandem der sich für seine Fortbildung zum CCNA einen Cisco-Router zulegen will zu empfehlen, er solle sich einen Linksys kaufen weil der auch Telnet kann und viele Einstellmöglichkeiten hat, lässt sich wohl an Dumm- oder Unwissenheit nicht mehr unterbieten. Sinngemäss könnte man seine MS-Zertis dann an Linux-Rechnern vorbereiten, sind billiger und haben viele Einstellmöglichkeiten.

Gruss

Markus

P.S.: Auch mit der letzten Reform der deutschen Rechtschreibung wurden die Grossbuchstaben nicht abgeschafft. Gelegentliches Betätigen der Shift-Taste erhöht die Lesefreundlichkeit ungemein.

SNMP konfigurieren halt.

Gruss

Markus

Wie ich schon schrub kann man diese Stati per SNMP auslesen. Tools dafür sind Legion, z.B. Switch Monitoring and Management with OpManager oder Nagios.

Gruss

Markus

Wenn man nur "am Ende die Summe" sehen will sollte SNMP ausreichen - oder mit der Hand am Arm "sh int ...".

Gruss

Markus

Üblicherweise hast Du eine ACL die SMTP inbound erlaubt - für alle externen IP-Adressen.

Wenn Du dann hingehst und in die ACL ein weiteres Statement schreibst welches SMTP für eine spezifische externe Adresse verbietet steht dieses üblicherweise HINTER der Regel die SMTP von extern für alle erlaubt. Somit greift immer die Generalregel (first match), die PIX kommt garnicht zur Spezialregel.

Spezialregeln sollten immer vor den Generalregeln stehen, sonst passieren solche Pannen.

Deine Vermutung dass ein deny hinter einem permit immer wirkungslos ist würde ich nicht so generalisieren, es liegt aber in der Natur des "first match" dass man etwas was man oben erlaubt unten nicht mehr sinnvoll verbieten kann - oder andersrum: was man oben verbietet ist verboten, eine spätere Erlaubnis ist wirkungslos weil die PIX genau an der Stelle aus der Verarbeitung der ACL aussteigt wo sie eine passende Regel gefunden hat.

Man muss halt wissen was man will, die PIX ist einigermassen dumm und berechenbar und tut genau das was man ihr sagt.

Gruss

Markus

Klar, wenn die Avayas u.a. CDP können.

Wenn nicht ist Handarbeit angesagt - und die macht nur dann wirklich Sinn wenn die im Telefon eingebaute Bridge auch VLANs kann - irgendwo muss man ja irgendwie den Traffic auseinandernehmen - wenn das Telefon aus den VoIP- und Client-Daten Rührei macht ist es recht schwer, den Traffic auf dem Switch wieder zu separieren und ihn in unterschiedliche Priorisierungen zu schieben.

Gruss

Markus

Klaro.

Schreibst Du:

access-list INSIDE-OUT deny ip any any

access-list INSIDE-OUT permit ip any any

access-group INSIDE-OUT out interface inside

Welches Statement soll die PIX dann Deiner Meinung nach nehmen?

Gruss

Markus

Im Prinzip ...

Ich gehe davon aus dass es zumindest für einige Pixen demnächst die EoS/EoL-Anouncements geben wird. Bislang haperts bei den ASA noch etwas mit der Verfügbarkeit, gerade bei der kleinen 5505. Ausserdem scheint die ASA-Software - zumindest auf der PIX - noch etwas buggy zu sein, ich habe von einigen Fällen gehört in denen Kunden von v7 wieder zurück auf 6.35 sind weil sie mit der v7 seltsame Effekte hatten.

Ansonsten würde ich mir keine PIX mehr kaufen. Preislich kosten die ASA kaum mehr, wenn man die Leistung / Funktionalitäten vergleicht ist die ASA-Plattform deutlich überlegen.

Gruss

Markus

Mein ziel ist es jedoch die Verzögerungszeit von VOIP zu testen wenn die Leitung mit 70/80/90 % vollgestopft ist. Ich hätte ja nie gedacht das es so schwer ist ein solches Tool zu finden. Mal im Ernst, jedes simple Filsharing Programm hat die Möglichkeit einzustellen mit wieviel max Bandbreite man Up bzw Downloaden möchte. Was ist daran so schwer ein Tool zu machen, das einfach nur Nullen und Einsen wild auf die Leitung schickt und das mit einer konstanten Rate? Bis vor ein paar Tagen hätte ich jedem gesagt, da findest du betimmt tausende.

Tja, das ist wieder aus dem Buch "Wie sich Klein Werner die Welt vorstellt".

Das Problem ist dass man messen will, nicht schätzen. Bei dem ganzen Aufwand der hinter der Herstellung so einer Lösung steht möchte man ja am Ende etwas haben was richtige und vergleichbare Ergebnisse produziert - und so was geht kaum mit einem Stück Software das sich jeder runterladen kann um es dann auf seinem mehr oder weniger vermurksten PC mit irgendeiner Netzwerkkarte zu installieren (solls denn die Billigkarte vom Mediamarkt für fünf Euro sein oder die High-End-Serverkarte mit eigener CPU für mehrere hundert Euro - und über welche Treiberversion reden wir?).

Mit einer "normalen" Netzwerkkarte an einem gesharten 32Bit-PCI-Bus in einem handelsüblichen PC kriegst Du einen ordentlichen, geswitchten Gigabit-Link nicht saturiert. Das mag zwar so aussehen als ob der Link dicht ist, faktisch ist es aber die PC-Hardware die dicke Backen macht weil zig Sachen - möglicherweise auch noch mit dem gleichen IRQ - um den Bus konkurrieren.

Mit einer grossen Server-Maschine mit mehreren unabhängigen PCI-Bussen (PCI-X64 oder PCI-X266) sieht das anders aus - aber so einen Hobel hast Du wohl kaum als Testmaschine rumstehen - und davon auch noch zwei Stück um Ende zu Ende zu messen...

"Ernstzunehmende" Lösungen sind deswegen (soweit mir bekannt) immer hardwarebasierend, wie z.B. die Lastgeneratoren von Spirent (in einer brauchbaren Ausbaustufe ab 200.000 Euronen aufwärts zu haben). Die hat jeder bessere Switchhersteller in seinen Entwicklungsabteilungen rumstehen. Die Dinger können einen Switch mit frei definierbaren Paketen in mehr oder weniger beliebigen Mengen richtig schön unter Dampf setzen und alle Parameter messen.

Gruss

Markus

Entweder das IOS nochmal einspielen - ggf. vorher nochmal frisch runterladen - oder mal den Flash tauschen, vielleicht hat der einen Schlag.

Gruss

Markus

Wenn Du genau so eine neue Schulung buchst, d.h. bei einem Cisco-zertifizierten Trainingsanbieter eine Cisco-Schulung mit einer dieser neuen Nummern besuchst hast Du Anspruch auf genau die zu dieser Schulung gehörenden Trainingsunterlagen im Original.

Falls ein zertifizierter Anbieter eine solche Schulung anbietet und nicht die originalen Cisco-Unterlagen für diese Schulung austeilt solltest Du umgehen mit Cisco in Kontakt treten, da findet man so was nämlich garnicht lustig.

Global Knowledge und ExperTeach bieten die neuen Kurse an, die Traings laufen schon, daher muss es auch die Kursunterlagen schon geben.

Cisco hinkt mal wieder hinterher, im Learning Partner Locator sind die neuen Kurse noch nicht gelistet. Saftladen.

Gruss

Markus

Vielleicht läuft auf dem 6500er einfach nur CatOS, dann sind die Befehle komplett anders.

Weitere Infos gibts vielleicht wenn Du die Versionen und die Konfigs postest.

Gruss

Markus

Schau mal nach ob NetIO Deine Anforderungen erfüllt.

Ansonsten gibt es auch noch professionelle Lastgeneratoren, z.B. von Spirent. Für den Gegenwert bekommst Du allerdings auch ein Einfamilienhaus in besserer Lage.

Gruss

Markus

//EDIT: @czappb: Leider komme ich auf deinen Link nicht drauf, aber es ist möglich, dass ich veraltete/falsche Informationen habe. Wieder was dazugelernt :)

Der Kollege hat in den Customer-Bereich verlinkt, dafür braucht man ein Login. Hier ist der komplette Guide als PDF auch für "Gäste" http://www.cisco.com/application/pdf/en/us/guest/products/ps6120/c2001/ccmigration_09186a0080641f89.pdf - und ja, die ASA kann PPPoE.

Gruss

Markus

"Um die 200€" wirst Du dafür nach meinem Gefühl nicht kriegen. Auch wenn der 2522 wegen den vielen verschiedenen Interfaces klasse für ein Lab ist und auch nur recht selten gehandelt wird denke ich dass der bei eBay roundabout 120€ bringen wird.

Andersrum gesagt: Bevor ich 200€ für einen 2522 ausgebe überlege ich mir ernsthaft ob es nicht besser ist, da noch ein paar Euronen drauf zu legen und einen modularen 3640er zu kaufen - hat deutlich mehr Performance und die NMs und WICs dafür kriegt man mittlerweile für ein Butterbrot - und wenn ich die Kiste mit Speicher voll stopfe (zum Gegenwert der Butter auf dem Brot) kann ich auf dem 3640er sogar noch den CallManager Express laufen lassen - abgesehen davon dass es für die 3640er leistungsfähigere IOS-Featuresets gibt.

Letzte Woche sind bei eBay zwei oder drei 3640er für unter 200€ weg (beide aber mit miserabel wenig Speicher), derzeit gibts in eBay mehrere 3640er mit ordentlich Speicher zum Sofortkauf für 220-240€, NM-1E2W für 50€, WIC-1BRI für 12€, NM-4T oder NM-4A/S um die 50€.

Da kommt mir 200€ für einen 2522 etwas unwirtschaftlich vor.

Gruss

Markus

Gruss

Markus

Ich könnte mir nen' neuen Audi A4 oder einen neuen Passat kaufen, welcher ist besser?

Normalerweise wird das so gehandhabt dass der ISP die SDSL mit einem Router terminiert, für den Kunden das Einfachste - Ethernet-Verbindung auf den Router, ggf. per Crossover, IPs einstellen und lossurfen. Eine spezielle Einwahl oder sonstiges Gedöns ist nicht erforderlich, die Leitung wird ja als dedizierte Verbindung zum DSLAM geschaltet, also nix was auf eine vorhandene POTS aufmoduliert wird.

So kenne ich das zumindest mit SDSL-Leitungen von DTAG, Colt und QSC. Falls der ISP keinen Router liefert (was mich sehr wundern würde) musst Du mit auskaspern welche Parameter die Leitung hat und einen "passenden" Router organisieren. Ggf. reicht da ein "alter" Lucent Cellpipe, kriegt man bei eBay für ein paar Euro nachgeworfen, ansonsten schick mir eine PN, ich habe einen Wäschekorb voll Cellpipes im Keller stehen und kann da gegen Unkostenerstattung problemlos einen abgeben.

Gruss

Markus

Das ist wohl wieder einer der "philosophischen" Bugs. Wenn man sich ein Konstrukt hinbastelt ...

Sicher, Telefonzellen sind überwiegend unsicher weil man problemlos mit nem Panzer drüber fahren kann.

Frei zugängliche Trunk-Ports sollte es in einem LAN üblicherweise nicht geben - und somit sollte der Exploit in einem Netz so nicht ausnutzbar sein. Üblicherweise hängen die Passwörter für die Switches auch nicht am schwarzen Brett, also kann sich ein User nicht mal schnell einen Trunkport basteln - und selbst wenn braucht er noch etwas an zusätzlichem Equipment (VLAN-fähige Netzwerkkarte und ein Programm mit dem er sich kapute VTP-Frames basteln kann).

Andererseits: Es ist "best practice", bekannte Exploits in seinem Netz zu verhindern, also das Update der Switches auf die ToDo-Liste schreiben.

Gruss

Markus

Der nächste der diese Braindumper erwähnt kriegt Besuch von dem schwarzen Kleinbus mit den getönten Scheiben.

Englisch ist die Sprache der IT und wer damit solche Probleme hat sollte ernsthaft über seine Berufswahl nachdenken.

Gruss

Markus

Ach ja.

Wenn Du nicht gerade ein Buch über Cisco schreiben willst ist das alles auch nicht wirklich interessant.

Ich verdiene seit bald 15 Jahren mein Geld mit Datennetzen, seit 1996 arbeite ich mit Cisco. Da kriegt man halt so Einiges mit. Das mir das heute konkret helfen würde? Nicht wirklich, kein Kunde zahlt für Nostalgie.

Abgesehen davon dreht sich das Rad auch bei Cisco weiter. Gelegentlich ist es ganz interessant, die Hintergründe von Produkten zu kennen, wenn man aber vor der Kiste sitzt ist es ziemlich egal, wo die eigentlich herkommt, der Kunde will ein Ergebnis.

Im Prinzip ist es so dass Cisco aktuell wieder eine weitgehend durchgängige Palette EIGENER Produkte hat (ISR-Router, ASA, Aironet). In den letzten Jahren hatten wir auch viel zu kämpfen mit den ganzen Zukäufen die Cisco bis 2002 gemacht hat, da hat vieles irgendwie nicht richtig gepasst.

Cisco war über Jahre kein Innovator. Innovativ waren die anderen, Cisco hat dann nach Bedarf einfach die anderen aufgekauft. In den Hochzeiten der "New Economy" sind die Cisco-Accountmanager mit Power Point-Präsentationen durch die Lande gereist in denen Stolz aufgezählt wurde welche Firmen Cisco aufgekauft hat und dass Cisco das Unternehmen mit den meisten Zukäufen ist. Auch deswegen waren bei Cisco die "Innovationszyklen" so elend lang - vor lauter zukaufen und umlabeln von Fremdprodukten ist man kaum dazu gekommen, da wirklich was weiter zu entwickeln. Aber wenn man Cisco heisst kann man sich viel erlauben, etliche Firmen mit sehr innovativen Produkten sind drauf gegangen u.a. weil die Kunden eher die Cisco-Story von der "End to end"-Solution geschluckt und sich rackweise Cisco-Zeug hingestellt haben. Drinnen waren dann oft nur umgelabelte Sachen von aufgekauften Herstellern die mit Cisco ausser dem Label und der Farbe kaum was zu tun hatten.

WLAN = Aironet

VPN = Altiga

VoIP = Selsius

Unity Unified Messaging = Active Voice Inc.

Pix = Network Translation

Catalyst = Kalpana, Grand Junction und SummaFour

ATM-Technologie = LightStream

Gruss

Markus