Blacky_24

Cisco lässt ordentliche Hardware bauen, kann man wirklich nix dagegen sagen. Sehr stabil, für den Dauerbetrieb ausgelegt und - in Relation zu den Stückzahlen - kaum kaputt zu kriegen. Die 16xx, 17xx, 26xx und 36xx waren mal absolute Spitzengeräte in ihren Klassen. Wer wirklich Geld hatte hat sich nen 36xx hingestellt, für kleinere Unternehmen waren das die 26xx. Die Stückzahlen die Cisco von denen verkauft hat sind gewaltig - auch unter dem Aspekt dass die Modelle teilweise fast 10 Jahre (fast) unverändert verkauft wurden. Wenn ich ab und an in einem Anfall von Nostalgie durch alte Projekthefter blättere und sehe was diese Geräte noch vor 4-5 Jahren neu gekostet haben und was die heute noch wert sind kriege ich feuchte Augen. Die Nachfolger dieser Geräte sind technologisch mehrere Generationen weiter. Was heute ein 2811 schafft kann kein 36xx. Die 87x können BGP - ging damals sinnvoll erst mit einem 2650. Also werden im Business-Bereich die alten Router ausgemustert und durch billigere und deutlich leistungsstärkere neue Geräte ersetzt - und die alten Kisten landen dann u.a. bei eBay. Cisco hat zwar auch die 8xx in gewaltigen Stückzahlen in den Markt geschoben, das war mal DER ISDN-Router für SOHO und KMU - damals, als ein Internetzugang noch High-Tech war und auch mal 20 Mann hinter einem DialUp mit 64 KBit sassen. Wer will heute noch so was? Die DSL-Router der 8xx-Serie sind relativ neu - so wie das ganze Thema überhaupt bei Cisco neu ist. Meiner Meinung nach hat Cisco DSL lange nicht wirklich ernst genommen - Internet für Arme. Benutzbar waren die 83x, einigermassen ordentlich wurde die Geschichte mit den 85x, richtig gut sind die 87x - 3 Routergenerationen innerhalb von ca. 4 Jahren, für Cisco ein ziemlich heftiger Schritt, dort ist man gewohnt, deutlich längerfristig zu planen. Genau so wie auch DynDNS. Die neueren 8[3,5,7]x könnens plötzlich, früher stand Cisco auf dem Standpunkt dass das unprofessioneller Bastelkram wäre - und sowas wollte man ja nicht auch noch supporten. Aus der Menge der im Gebrauchtmarkt befindlichen DSL-fähigen 8xx kann man also kaum auf die Qualität oder Verbreitung dieser Router schliessen. Die sind für Cisco-Verhältnisse noch ziemlich neu und dementsprechend noch im Einsatz - im Gegensatz zu ihren Grossvätern die im Sinne des Wortes "abgeschrieben" sind und heute bestenfalls noch als Zierde eines ordentlichen Labs reichen. Warte noch ein paar Jahre, dann kriegst Du die DSL-8xx bei eBay nachgeworfen. Gruss Markus

1-12 und GE1 sowie 13-24 und GE2 jeweils in ein eigenes VLAN packen? Nicht wirklich elegant aber machbar. Ansonsten die GEs einfach trunken. Wenn der ProCurve ein managebares Modell ist kann er je nach Firmwareversion nativ mit Etherchannel umgehen, LACP bzw. PAgP sollte funktionieren. Allerdings: Ich habe da was im Ohr dass die ProCurves erst ab vier Interfaces in einem Etherchannel wirklich Load-Balancing machen, mit weniger als 4 IFs machen die AFAIR nur Failover. Mag aber auch sein dass mich meine Erinnerung da trügt, ggf. auch von der Firmware abhängig ... Gruss Markus

Achja, zum messen der reinen LAN-Verbindung eignet sich NetIO MSXFAQ.DE - Tools: NETIO, IPERF und TTCP ganz gut. Gruss Markus

Jumbo-Frames aktiviert? Gruss Markus

http://www.mcseboard.de/cisco-forum-allgemein-38/geerbte-cisco-router-96931.html#post592607

Nein, gibt es nicht. Da hilft nur das blaue Kabel. Gruss Markus

"sh ver": DMZPIX# sh ver Cisco PIX Firewall Version 6.3(4) Cisco PIX Device Manager Version 3.0(3) Compiled on Fri 02-Jul-04 00:07 by morlee DMZPIX up 44 days 2 hours Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz Flash E28F640J3 @ 0x3000000, 8MB BIOS Flash E28F640J3 @ 0xfffd8000, 128KB 0: ethernet0: address is 0007.eb2a.065c, irq 9 1: ethernet1: address is 0007.eb2a.065d, irq 10 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Physical Interfaces: 2 Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: 50 Throughput: Unlimited IKE peers: 10 This PIX has a Restricted ® license.

Die Kurzfassung: SSH freigeben für die Management-IPs ssh NETZ MASKE outside Der PIX sagen dass sie die SSH-User gegen die lokale User-DB authentifizieren soll: aaa-server LOCAL protocol local aaa authentication ssh console LOCAL Benutzer einrichten und Rechte zuweisen: username USER password SUPERSECRET privilege 15 (ggf. zuerst die User eintragen, dann die Authentifizierung einschalten, sonst gibts mecker) Hostname und domain-name setzen. Zertifikate generieren: ca gen rsa key 1024 Zertifikate abspeichern: ca save all Konfig speichern: wr me Fertig. Anzeigen kann man das Zertifikat mit "show ca mypubkey rsa", löschen mit "ca zeroize rsa". Zu beachten: Wenn man nach dem Generieren der Zertifikate den Host- oder Domain-Name ändert muss man die Zertifikate neu generieren, ansonsten ists Essig mit SSH. Die Zertifikate müssen mit "ca save all" gespeichert werden, "wr me" speichert die Zertifikate NICHT. Man kann das natürlich noch mit zig Nickeligkeiten verfeinern - externe CA, RADIUS-Authentifizierung, andere Keylängen, u.s.w. Man sollte darauf achten dass man für die User wirklich komplexe Passwörter einrichtet - wenn man sich schon nachts hinter den Bahnhof stellt muss man ja nicht auch noch gleich die Hose runter lassen und sich bücken. Gruss Markus

SSH oder durch einen VPN-Tunnel per PDM. Gruss Markus

Wenn man keine Ahnung hat ist jede Lösung mehr oder weniger gleich schlecht, Support hin, Support her. Die IDS-Funktionalitäten der PIX sind rudimentär, URL-Filtering geht nur mit Zusatzprodukten z.B. Websense (wobei Websense dann wieder deutlich mehr macht als reines URL-Filtering), Traffic-Auswertung geht nur mit Zusatzprodukten, z.B. Websense (aber nur dann wenn man den Websense-Server oder einen Websense-Agent in Reihe mit der Firewall schaltet) oder eIQ oder sonstwas. In einem Windows-Umfeld mit Active-Directory könnte man auch mal über den MS ISA-Server nachdenken, der Kollege Grizzly999 behauptet zumindest dass das eine ernst zu nehmende Firewall / VPN-Gateway wäre. Einiges an Funktionen ist dabei, den Rest kann man über (zukaufbare) Plug-Ins nachrüsten. Unterm Strich würde ich meinen: Die PIX ist keine schlechte Firewall, wenn man weiss wie kann man mit der Box fast alles machen, ideal in einem Cisco-Umfeld und mit Admins die von Cisco Ahnung haben. Ansonsten gibt es zig Appliances anderer Anbieter, z.B. von Watchguard oder Juniper-Netscreen die auch nicht schlecht sind. Den ISA hatten wir schon, das ist aber keine Appliance. Ad hoc fällt mir keine kommerzielle Lösung ein die out the Box die geforderten Funktionalitäten hat. Puristen (dazu zähle ich mich zumindest teilweise) präferieren eher eigenständige Systeme mit klar abgegrenzten Rollen und falls erforderlich eine ordentliche DMZ zwischen back-to-back-Firewalls. IPcop ist keine schlechte Sache, out the Box aber auch nicht unbedingt "brauchbar" ja nachdem was gefordert ist. Im Prinzip ist IPcop nur die geschickte Integration ansonsten eigenständiger - und teilweise recht mächtiger / komplexer - Softwaremodule die ursprünglich auch für einen eigenständigen Betrieb gedacht waren. Entsprechend dem englischen Grundsatz: "A fool with a tool is still a fool" bringt einem IPcop auch nur dann was wenn man einerseits profunde Grundlagenkenntnisse im Netzwerk- und Security-Bereich hat und andererseits willens und in der Lage ist, sich in ein derart komplexes System einzuarbeiten - und da permanent am Ball zu bleiben. Gruss Markus

Wenn die Sache zukunftssicher sein soll würde ich auf die 87x gehen, die kleineren Modelle (83x, 85x) haben teilweise ihre Probleme mit breitbandigen DSL-Anbindungen - ein 83x macht schon bei 6 MBit schlapp. Ausserdem sind die 87x memorymässig sehr weit ausbaubar, das verspricht einen relativ langen "live cycle". Wenn man WLAN mit den Routern machen will können nur die 87x Diversity, die 85x haben nur eine Antenne. Gruss Markus

Ggf. hat da jemand schon die Konfigs gelöscht, dann braucht man wahrscheinlich ein Cisco-Konsolenkabel (blaues Kabel mit RJ45 und 9pol Seriell an den Enden). Für die Auktionsbeschreibung sollte das "sh ver" reichen. Gruss Markus

Dann lass die Finger davon bis Du weisst was Du tust. "Absolute Neulinge" sollten ihre Aktivitäten auf Lab-Umgebungen beschränken und nicht auf produktive Systeme ausweiten die ihnen nicht gehören - erst recht nicht wenn es sich um sicherheitsrelevante Systeme handelt. Wer den Unterschied zwischen einem Router und einer PIX nicht kennt sollte erst recht die Finger davon lassen und sich weiterbilden. Mehr kann man auf der gegebenen Informationsbasis zu diesem Thema konkret nicht sagen. Gruss Markus

Ahja. Ist mir wohl entgangen. Steht da noch irgendwas, z.B. ob es eine Option gibt um die alten aufzurüsten? Ich habe gerade mal bei einigen Distributoren und Memory-Herstellern recherchiert und nix gefunden, die Listen kein einziges SOHO-Gerät, in der GPL gibts auch nix. Falls da was vom 800er passt hast Du Glück, ansonsten ... Gruss Markus

Beim TAC sitzen i.d.R. Pragmatiker deren Interesse darin besteht, Dein Problem zu lösen, um die Einhaltung der Lizenzbestimmungen kümmern sich andere Leute. Wenn die jedem eBay-Router nachschleichen wollten hätten wir ein paar Arbeitslose weniger - vielleicht duldet Cisco das eBay-Geschäft auch deswegen weil sich da viele Leute eindecken die die Sachen zum lernen brauchen - und das kann Cisco ja nur Recht sein. Die Hardwarebasis vom SOHO90 müsste der vom 800er sehr ähnlich sein, allerdings weiss ich nicht wie der SOHO drauf regiert wenn man dem mehr Memory gibt, ein 800er IOS frisst er nach meiner Erfahrung mal nicht ;) Kann sein dass Cisco da eine Bremse im Boot-ROM eingebaut hat. Was ich nicht verstehe - hat nix zu sagen, ich verstehe viel nicht und die SOHOs habe ich persönlich nie in der Hand gehabt - ist dass der SOHO96 lt. Datenblatt mit 8/64 MB ausgeliefert wird, andere Modelle / Options habe ich nicht gefunden und auch keinen Hinweis darauf dass das irgendwann mal geändert wurde. Wäre es möglich dass der konkrete SOHO96 irgendwann von einem Vorbesitzer mal ausgeschlachtet wurde weil jemand kurzfristig 32 MB Speicher für was anderes - z.B. einen 800er - gebraucht hat??? Gruss Markus

Man KANN Cisco-Geräte zusammen mit einem Wartungsvertrag ("SMARTnet") kaufen, muss aber nicht. Üblicherweise sind SMARTnets auf Personen oder Unternehmen registriert und nicht so einfach übertragbar, so kann es z.B. sein dass in einem SMARTnet-Kontrakt im CCO mehrere Geräte registriert sind. Gemäss den Lizenzbestimmungen für das IOS ist die Lizenz nicht - bzw. nur mit Zustimmung durch Cisco - übertragbar, d.h. genau genommen hast Du gar keine Lizenz und somit nur einen hübschen Briefbeschwerer, da hilft auch kein eventuell vorhandener Wartungsvertrag. I.d.R. ist der Neukauf einer Lizenz relativ unwirtschaftlich, bei einigen Geräten kosten die Lizenzen als Einzelkauf mehr als das gesamte Gerät mit Lizenz ab Händler. Gruss Markus

Ein 1721 mit der Ausstattung dürfte um die 100 Euronen bringen. Gruss Markus

"sh ver" zeigt u.a. Informationen zur Hardware an, wenn Du alles wissen willst: "sh tech". Mit "wr era" und "reload" wirst Du die Konfig los (dann ist aber Ende mit Telnet), kann allerdings sein dass da jemand Sicherungskopien in den Flash gelegt hat. 1700er kann alles Mögliche sein, da gab es - ohne nachzählen - 7 verschiedene Router. PIX-501 ist noch aktuell, der Gnadentod steht allerdings unmittelbar bevor, der Nachfolger läuft schon vom Band. In eBay wirst Du den Kram sicher los, obs für mehr als für nen langen Abend in der Zappelbude reicht wage ich allerdings zu bezweifeln. Die 1700er sind schon länger im Altersheim und wenn ich sehe dass man die 3640er für unter 200 Ois bei eBay kriegt steigt mir das Wasser in die Augen. Kommt aber stark drauf an was das konkret ist, für einen 1750-V mit DSPs kann man auch mal an die 400 Euronen kriegen. Interessant für Firmen ist relativ. Wenn die 1700er nicht gerade 1750er oder 1760er sind wird die sich heute kaum noch eine Firma kaufen, die PIX ist gedacht für kleine Büros (max. 10 User) oder Home-Offices, neu kostet die brutto unter 300 Ois. Kannst ja mal die "sh ver" posten, dann kann ich Dir mehr sagen. Gruss Markus

An was machst Du denn die "Wichtigkeit" fest? Die I3E ist ziemlich sicher der Meinung dass jeder Ihrer Standards wichtig ist - bei den Preisen die die für die Volltexte Ihrer Machwerke nehmen müssen die einfach wichtig sein. Den ganzen Netzwerkkram findest Du beim Reiseausschuss 802 DOTS - sich alleine da durchzuwühlen dauert Tage - und teilweise pflegen die eine Schreibe, dagegen liest sich der Beipackzettel mancher Herztropfen unterhaltsamer. Gruss Markus Gruss Markus

In der Beziehung sind die 5500er Bastarde, Cisco nennt das etwas freundlicher "Hybrid OS". In die SE vom Switch wird ein CatOS geladen, das RSM/RSFC sitzt auf der SE und wird mit einem IOS gefüttert. CatOS ist kein IOS, da gibt es signifikante Unterschiede, die Hauptunterschiede sind, dass CatOS alleine kein Routing kann und dass so ein Bastard zwei Konsolen hat und zwei Konfigs für zwei CPUs verwaltet, darüber hinaus gibt es noch eine lange Liste mit Features, einige gehen nur mit CatOS, andere nur mit IOS und dann gibt es noch etliche die von beiden unterstützt werden. Wenn Du die Suche auf Cisco.com mit "catos ios comparison" suchst wirst Du diverse ellenlange Whitepapers finden die das im Detail erklären. Mich würde interessieren wie Dein 5500 ausgestattet ist und was Du bezahlt hast, ich bin da selber auf der Suche (für ein Lab sind die Teile der Traum), aber entweder sind die Dinger unbrauchbar - wer brauch schon zig FDDI-Ports mit SC-Connectoren - oder gnadenlos zu teuer, und das Teil in USA zu kaufen lohnt kaum, Versand und Zoll ist teurer als die Kiste selbst. Gruss Markus

Putzig putzig. Ich bin letzte Woche über das gleiche Problem gestolpert auf einem 876W. Lt. Feature Navigator müsste das Adv. Enterprise eigentlich alles können was man auf einem 87x überhaupt kann - aber weder lässt er mich VLANs anlegen noch eine DMZ konfigurieren - geht nicht mit der Hand am Arm und auch nicht mit dem SDM? gltrt01#sh ver Cisco IOS Software, C870 Software (C870-ADVENTERPRISEK9-M), Version 12.4(9)T, RELEASE SOFTWARE (fc1) Technical Support: Cisco – Shortcut Copyright © 1986-2006 by Cisco Systems, Inc. Compiled Sat 17-Jun-06 03:34 by prod_rel_team gltrt01#sh vlans No Virtual LANs configured. gltrt01#sh vlan-sw VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0, Fa1, Fa2, Fa3 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 1002 1003 1002 fddi 101002 1500 - - - - - 1 1003 1003 tr 101003 1500 1005 0 - - srb 1 1002 1004 fdnet 101004 1500 - - 1 ibm - 0 0 1005 trnet 101005 1500 - - 1 ibm - 0 0 gltrt01# Habe leider im Moment keine Zeit die Sache weiter zu untersuchen, frag ggf. mal bei Comstor, die Jungs sollten das wissen, die machen den ganzen nix anderes Comstor Forum - Cisco Routing Gruss Markus

Bei dem auf was es im Endergebnis rausläuft kannst Du WPA gleich abschalten und damit leben dass man WEP in ca. 10 Minuten aufmachen kann wenn man die richtigen Frames zusammen bekommt. Gruss Markus

Pro VLAN ein SubIf und da entsprechend die IP-Adressen drauf, das ist dann das Default Gateway für das jeweilige VLAN. Routen für das Routing zwischen den VLANs brauchst Du nicht konfigurieren da die Netze alle Router-lokal sind. Auf cisco.com müsste es diverse Konfiganleitungen für sowas geben. Gruss Markus

Bei einem Wettbewerb für ASCII-Art sicher nicht chancenlos. Das mit dem Zynismus weise ich zurück, Sonntags bin ich immer sehr milde gestimmt ;) Gruss Markus

Ein VLAN ist eine Sache auf OSI2 und da gibt es keine IP-Adressen. Die braucht man erst wenn man Netze verbinden will. Vom Gefühl her würde ich meinen: Die IPs gehören auf den Router, wenn da keine IPs sind kannst Du den Router abschalten, dann ist er nämlich sinnlos. Gruss Markus