Blacky_24

Im Prinzip zeigt diese rustikale Grafik genau das was ich oben so wortreich versucht habe zu erklären. Gruss Markus

Der 2940 hat ziemlich sicher kein "E"-Image, daraus folgt u.a. dass der nur EIN aktives "int vlan" mit IP-Adresse haben kann - das ist normalerweise das VLAN1 und die IP-Adresse dient zum administrativen Zugriff (z.B. Telnet) auf den Switch. Ausserdem muss auf den Ports was eingesteckt sein, sonst sind die VLANs auch down. Du musst auf dem GE auch angeben welche VLANs dadurch dürfen, solange das nicht gemacht ist geht da nix durch. Auf meinen 2950 sieht das z.B. so aus: interface GigabitEthernet0/2 description Uplink zu RZ1SW01 switchport trunk allowed vlan 100,110,120,190,800,980,981 switchport mode trunk Gruss Markus

MAC-Adressen sind eine spezifische Eigenschaft von Ethernets, ob dadrauf nun TCP/IPoder IPX/SPX oder AppleTalk (würg) läuft ist dem Ethernet herzlich egal. Auf der anderen Seite wird ein Token Ring oder Frame Relay ziemlich verständnislos auf eine MAC-Adresse schauen weil diese Layer 2-Protokolle mit dem Konzept MAC-Adresse schlicht nichts anfangen können. Abgesehen davon geht das Gerücht um dass man Ethernet nicht routen kann. Man kann ein Ethernet zwar "grösser" machen bis zu einem bestimmten Punkt aber man kann es nicht routen. Ethernet wohnt auf OSI2, geroutet wird aber auf OSI3 - und da wohnen andere Protokolle. Man muss also zwei Fälle unterscheiden: LAN1-Router1-EthernetWAN-Router2-LAN2 und: LAN1-Router1-NichtEthernetWAN-Router2-LAN2 Im ersten Fall läuft das WAN über ein Ethernet und da muss es zwangsläufig MAC-Adressen geben da die Router untereinander Ethernet-Frames austauschen (mit den IP-Paketen drin). Also schickt R1 einen Frame an R2 und im Frame-Header steht R1 als Absender und R2 als Empfänger. In dem Frame steckt wiederum ein IP-Paket mit einem eigenen Ip-Header. Sehr schön anzusehen mit einem Sniffer. Das Ethernet zwischen den beiden Routern hat nix mit den LANs hinter den Routern zu tun - sonst hätten wir bestenfalls ein geswitchtes Netz und die Router wären keine Router sondern Bridges und das Internet gäbe es bis heute nicht. Der Router2 wiederum nimmt das Frame auf der WAN-Seite an, extrahiert den IP-Teil, packt den in einen neuen Frame mit seiner LAN-MAC als Absender und der MAC des Ziel-Hosts als Empfänger und schickt den über sein LAN-Interface raus. Was bitte soll das auch anders funktionieren? Bekanntlich gibt es da ja auch noch sowas wie ARP. Wie soll ARP funktionieren wenn im LAN2 MAC-Adressen von LAN1 auftauchten? Die Router müssten auch noch MAC-Tabellen führen oder wie? Deswegen haben wir doch TCP/IP auf OSI3 um von dem Kram wegzukommen und überhaupt routen zu können. Der Vollständigkeit halber: O.a. Fall 2: Müsste jedem klar sein dass Ethernet-Frames und MACs auf der WAN-Strecke ungefähr so sinnvoll ist wie ein Euter an einem Ochsen. Nun das Wort zum Sonntag: Wer das nicht begriffen hat sollte DRINGENDST diese Defizite ausbügeln, zumindest wenn er damit hausieren geht dass er irgendwelche "Prüfungen" (Freischwimmer?) gemacht hat. Normalerweise lernt man das am zweiten und dritten Tag jeder Basis-Netzwerkschulung. Wer das nicht kennt oder versteht sollte sich ernsthaft mit der Frage auseinander setzen ob er den richtigen Beruf hat, das ist fast so als ob man als Nichtschwimmer Bademeister sein wollte. Wer weiterführende Literatur sucht und sich nicht durchs WWW wühlen will soll sich für ein paar Euronen z.B. gebraucht in eBay das Buch "Interconnections" von Radia Perlmann kaufen, die hat einen guten Teil von dem ganzen Kram (mit-) erfunden und weiss wovon sie schreibt, ausserdem hat sie eine lockere und lustige Schreibe die auch ein absolut blutiges Newbie verstehen kann. Gruss Markus

Wegen der Beschränkheit der Forensoftware in 2 Teilen: Ah ja. Nein. Ausserdem ist es falsch. Was Du da beschreibst ist ein Sonderfall (NAPT) eines Sonderfalls (NAT) des Routings. Das Konstrukt "NAT" wurde erst Jahre nach dem Router "erfunden" und sollte in erster Linie das Problem der "knappen" IPv4-Netze entschärfen (irgendwann dann fälschlicherweise zum Security-Merkmal hochstilisiert). Ursprünglich beschrieben in RFC 1631, später dann überarbeitet in RFC 3022 und dort sehr schön definiert: Viele Leute kennen Router nur als Geräte die NATten und sind der irrigen Auffassung dass NAT = Routing sei. Das ist falsch und nur der Tatsache geschuldet, dass mittlerweile in fast jedem Haushalt ein Router steht der irgendwie NAT machen muss weil der ISP bei der Einwahl gerade mal eine IP-Adresse rausrückt (s.o.: "knapper Adressraum", im Zusammenhang zu sehen auch RFC 1918). Wir konnten auch schon vor NAT routen - und das hat sogar funktioniert. Die Fragestellung bezieht sich konkret auf Ethernets als Quelle und Senke einer gerouteten Verbindung. Was die WAN-Strecke dazwischen ist wissen wir nicht. Das könnte ein Ethernet sein, es könnte aber auch ein Token Ring oder ein Frame-Relay oder gar ein VPN sein.

Dann solltest Du vielleicht ein Selbsterfahrungsforum o.ä. aufsuchen. Bis Release 11irgendwas können die managebaren ProCurves CDP und FEC. Habe erst diese Woche beim Kunden vier neue 5306zl installiert und die könnens auch noch. Das lesen der Handbücher und Release-Notes hilft weiter. Eine Konkretisierung der Fragestellung wäre auch fein, unter "Trunking" versteht HP was ganz anderes wie Cisco. Gruss Markus

Weisst Du wovon Du redest oder ist das hier eine Spekulationsshow? Gruss Markus

Ich vermute dass auf dem DHCP-Pool eine andere Netzmaske konfiguriert ist, das mag die PIX nicht und meckert - selbst wenn DHCP nicht enabled ist. Das Einfachste könnte sein: - vorhandene Konfig sichern (einfach aus dem Terminal rauskopieren) - wr er - reload Damit hast Du eine "jungfräuliche" Konfig auf der Du aufbauen kannst. Gruss Markus

Nix CatOS, nix IOS, das ist das berühmte Weder-noch-OS von Cisco. Ich kann mich nicht mehr erinnern ob Cisco die 19xx zusammen mit der Akquisition von Crescendo Communications oder mit der von Grand Junction Networks eingekauft hat. Um die Dinger schnell in den Markt zu bringen hat Cisco damals einfach das zugekaufte Gerät mit dem zugekauften OS vertrieben - daher auch das "komische" Text-Menü das es in der Form bei keinem anderen Cisco-Gerät gibt. War sehr gängig bei Cisco. Ähnliches gab es bei den VPN-Konzentratoren (Altiga aufgekauft) mit einem HTML-basierenden GUI oder bei den PIXen (Network Translation zugekauft), die hatten zwar eine klassische Konsole aber die Befehle waren komplett anders - sieht man heute noch bei den PIXen, oder bei den Aironet WLAN-Komponenten - gewöhnungsbedürftiges HTML-GUI auf VxWorks. Solche Geräte aus der ersten Produktgeneration nach dem Zukauf taugen nicht wirklich toll für ein Lab, teilweise kann man die nicht auf ein "brauchbares" OS updaten. An Switches im Lab brauchbar sind die 2912 und 2924, das waren "Übergangsgeräte" von den 19xx auf die 2950er. Einigermassen "billig" (EUR 300-500) sind derzeit die Catalyst 55xx zu haben. Ich liege da auch gerade auf der Lauer um mir so einen fürs Lab zu schiessen. Für die gibt es immer noch Software und mit der "richtigen" Supervisor-Engine können die auch routen, ich kenne zwei Leute die es damit zum CCIE R&S geschafft haben - sind je nach Ausführung allerdings Rieseneisen die einiges an Strom in Lärm umsetzen. Der Vorteil bei denen könnte ausserdem sein dass die im Preis soweit unten sind dass man sie mehr oder weniger ohne Wertverlust wieder verkaufen kann. Gruss Markus

Das mit dem umgestrickten Patchkabel funktioniert nur unter recht speziellen Umständen - und auch da nicht wirklich so dass man das im Echtbetrieb nutzen will. Der Powerinjector ist o.k., wir haben zig von den Dingern bei Kunden im Einsatz, i.d.R. da wo die Anzahl der PoE-Geräte an einer Lokation den Aufpreis eines PoE-fähigen Switches mit zig Ports nicht rechtfertigt. Eine Alternative sind die Midspans von http://www.powerdsine.com - Cisco hat die eigenen Midspans vor einiger Zeit eingestampft und empfiehlt auch PowerDsine. Bei den neueren Cisco-Geräten (APs und IP-Phones) hat man die Probleme glücklicherweise nicht mehr, die können 802.3af und Cisco pre-standard. Bei den APs tappt man dann allerdings möglicherweise in die Falle dass die auch CDP zur Stromerkennung benutzen (was man abschalten kann). Gruss Markus

Quark. Mit SMARTnet hast Du vollen Zugriff auf alle Softwarereleases. Im Hinblick auf eine Zertifizierung in der Zukunft ist die PIX uninteressant. Ich würde mir keine PIX mehr kaufen, weder produktiv noch zum spielen. Cisco hat vor ca. 2 Wochen mit der ASA 5505 die ASA-Produktfamilie nach unten abgerundet. Im Vergleich zu den kleinen PIXen (501, 506) hat die ASA 5505 einigermassen beeindruckende Leistungsdaten, ausserdem läuft auf der ASA PIX-OS ab v7 (Ausserdem: VLANs, SSL-VPN, Modulslot, 8 Switch-Ports davon zwei mit PoE). Das was in den letzten 5 Jahren die PIX war wird in den nächsten 5 Jahren die ASA sein. Wer sich heute noch eine kleine PIX kauft muss wissen dass er softwaremässig nicht über 6.xx rauskommen wird. Fazit: Noch zwei Wochen warten bis die ASA 5505 in Stückzahlen verfügbar ist und dann so eine kaufen - natürlich mit SMARTnet, da gibt es fast jeden Monat neue Software. Im Listenpreis liegt die kleine ASA ein paar Dollar über der PIX-501, div. Features kann man per Lizenzupgrade nachrüsten. http://www.cisco.com/en/US/products/ps6120/products_data_sheet0900aecd802930c5.html Wenn jemand eine gebrauchte 501 kaufen will kann er sich an mich wenden. Ich werde die 501er aus dem Lab schmeissen sobald die kleine ASA kaufbar ist. Gruss Markus

Jupp. Statics einsetzen - pro interner zu veröffentlichender Adresse einen - und somit pro interner Adresse eine externe erforderlich. Dann eine ACL drauf (auf die externen Adressen! - outside in) mit den erlaubten Protokollen und fertig ist die Gartenlaube. Gruss Markus

Vielleicht solltest Du Dich erst einmal ausführlich mit dem Handbuch der PIX beschäftigen bevor Du an den Dingern rumfummelst. Offensichtlich hat es bislang noch nicht einmal zur Lektüre der ersten zwei oder drei Kapitel gereicht. Gruss Markus

Früher hatten wir sowas öfter wenn 3COM-NICs (meisten 3C905 in der Urversion, also ohne A, B oder C hintendran) auf Catalysts getroffen sind und alles auf auto stand. Cisco hats auf 3COM geschoben, 3COM natürlich auf Cisco, mit den neueren Revisionen der 3C905 war das Problem dann gegessen, da hatte der Kunde aber schon auf Intel umgestellt. War eine komische Geschichte die nur bei bestimmten Port-NIC-Kombinationen aufgetreten ist, sind wir tagelang dran gesessen ohne dass wir ne Lösung gefunden hätten, das TAC hat damals wenigstens bestätigt dass "das ein Problem ist". Gruss Markus

Für was wirst Du da eigentlich bezahlt? Gruss Markus

Die geschilderten Symptome ergeben keinen Sinn. Und wieso soll das geschilderte Antwortverhalten zu einem "Broadcast- bzw. ARP-Sturm" führen? Um da was zu sagen zu können muss man da i.d.R. ziemlich tief einsteigen da die möglichen Ursachen zahlreich sind, ggf. muss man auch mit einem Analyzer ran. Aus der Ferne ist da kaum was sinnvoll zu diagnostizieren. Entweder Ihr holt jemanden ran (wo steht das Netz?) der mit solchen Sachen Erfahrung hat oder Ihr versucht Euer Glück beim TAC - entsprechende Wartungsverträge setze ich mal voraus. Gruss Markus

Wenn Du jemanden mit Cisco-Wissen beeindrucken willst solltest Du den CCNA nur als absoluten Einstieg sehen. Wenn Du bereits gute Netzwerk-Grundkenntnisse hast solltest Du gut die Hälfte vom CCNA bereits in der Tasche haben. Da geht es erst mal ums OSI-Modell, dann über die Grundlagen div. Netzwerktechnologien (Ethernet, ISDN, Seriell) hin zu TCP/IP - und erst dann kommt Cisco - und auch da nur die absoluten Grundlagen. Der CCNA alleine ist ungefähr das was bei MS der MCP ist. "Interessant" für den Arbeitsmarkt wird man eigentlich erst mit dem CCNP/CCDP, ggf. noch mit Spezialisierung - UND mit Berufserfahrung. Ohne die wird Dir im Cisco-Umfeld keiner abkaufen dass Du was drauf hast. Den CCNA und die CCxP kann man auch im Selbststudium schaffen, man sollte allerding ein Budget für Fachliteratur und Equipment haben, nur mit Büchern wird das nix. Gruss Markus

Der 7200 ist keine Firewall sondern ein Router. Allerding haben Firmen die sich ein solches Eisen hinstellen normalerweise auch Leute die damit umgehen können. Gerüchteweise kann man auch ohne "Firewalls" einen VPN-Tunnel aufbauen, ausserdem lese ich nirgendwo was von einer Standortverbindung. Den CVPN-Client gibt es auch ohne die Firewall. Der Zugriff auf das lokale LAN sollte auch bei aufgebautem Tunnel problemlos möglich sein, allerdings kommt man nicht durch den Tunnel auf den Client und von da aus ins LAN oder ein anderes Netz. Bei entsprechender Konfiguration kann man sich auch jegliches Gefrickel mit der Hosts-Datei sparen. Gruss Markus

Wenn Du es "So wie es in PC-Anywhere funktioniert" haben willst wird Dir nur bleiben eben PCA zu nehmen. Dameware hat keinen Mechanismus für eine ISDN-Einwahl, Damware kann nur über eine existierende IP-Verbindung arbeiten. Ob die wiederum auf ISDN aufsetzt oder übers Internet läuft ist Dameware herzlich egal. Falls Du Dameware unbedingt über ISDN betreiben willst musst Du halt dafür sorgen dass die ISDN-Verbindung anderweitig zur Verfügung gestellt wird, z.B. über entsprechende Router oder über das DFÜ-Netzwerk. Gruss Markus

Warum interessiert bei einer EINKOMMENsteuererklärung die UMSATZsteuer? Als Privatperson bist Du doch eh nicht zum Vorsteuerabzug berechtigt. Gruss Markus

Such mal nach "Kiwi" und "Cattools". Gruss Markus

Schon drei kaputte dieses Jahr? Habt Ihr die Kisten zu hunderten rumstehen oder was macht Ihr damit? Normalerweise sind die Teile ziemlich unkaputtbar. Gruss Markus

Maschine wahrscheinlich putt, snief. Cisco sagt dazu: SYS-3-MOD_FAILREASON: Module [dec] failed due to [chars][chars][chars][chars] Explanation This message indicates module [dec] has failed due to [chars]. [dec] is the module number and [chars] is one of the following: CPU Initialization Error, Memory Test Failed, Boot Checksum Verification Failed, SPROM Checksum Verification Failed, EOBC Loopback Test Failed, LTL-A Error, Flash Erase/Write Error, Pinnacle CBL Error, Pinnacle Packet Buffer Error, Pinnacle TLB Error, or Unknown or Undocumented Error. The first [chars] line is "Ports disabled" if the module is non-ATM/Route Switch Module (RSM) (non-IOS). The second [chars] line is a description of the module type configured in NVRAM. The third [chars] line is a description of the module type inserted in the slot. Recommended Action Try resetting the module. If this message reappears, insert a new module; if this message appears again, contact your technical support representative. Ihr habt doch hoffentlich einen Supportvertrag mit Hardware-Replacement für die Maschine? Einfach beim TAC anrufen und neues Modul kommen lassen. Wenn nicht wirds etwas teurer, ggf. eBay oder die einschlägigen Used-Dealer abgrasen. Neu gäbe es das natürlich auch noch ... Gruss Markus

Warum sagst Du nicht gleich dass Du einen 1018 hast? Dass Du nicht der Erste mit diesem Fehler bist kannst Du u.a. daran erkennen dass Microsoft dem 1018 diverse KB-Artikel gewidmet und der Exchange-MVP Frank Carius auf seiner hervorragen Webseite mehrere umfangreiche Artikel zu dem Thema hat http://www.msxfaq.net/sphider/search.php?query=1018&search=1 Bevor Du da weiter an Deinem System rumoperierst solltest Du Dich vielleicht zuerst mit der fehlerspezifischen Fachliteratur vertraut machen. Gruss Markus

Und wenn es eine Richtlinie gibt impliziert dass noch immer nicht, dass überwacht werden darf. Eine Überwachung ist im Prinzip nur zulässig wenn jegliche nicht-dienstliche Internetnutzung untersagt ist. Ausserdem kann temporär protokolliert werden um z.B. technische Probleme zu losen, dann muss die Auswertung der Logs problembezogen erfolgen und die Logs sind zu löschen wenn das Problem gefixt ist. Bei einer generellen Überwachung hat man imer die Probleme dass auch die gestattete Internetnutzung protokolliert wird und dass auch Mitarbeiter überwacht werden die kein "Fehlverhalten" an den Tag legen. Bei diesen Überwachungsbegehren von Administratoren oder Arbeitgebern wird fast immer umgekehrt ein Schuh draus: Sorgt durch entsprechende Filter dafür dass unerwünschter Content garnicht aufgerufen werden kann und alle Beteiligten sind glücklich. Gute Filter wie z.B. Websense können ohne Logging-Komponenten installiert werden so dass der Arbeitgeber sich drauf verlassen kann dass die definierten Inhalte geblockt werden und dass er kein Datenschutzproblem bekommt und die Mitarbeiter können im Rahmen des explizit Erlaubten "unbeobachtet" im Web surfen. Gruss Markus

Klar, diverse Plugins wie z.B. SurfControl, Websense oder von GFI der WebMonitor, Testversionen sollten kostenlos verfügbar sein. Abgesehen von der Machbarkeit willst Du Dir vor Ausführung vielleicht noch rechtlichen Rat holen. Selbst wenn eine derartige Überwachung ggf. von einem Vorgesetzten angeordnet wird kann es durch aus sein dass Du Dich ganz persönlich strafbar machst. Falls ein Betriebsrat existiert sind solche Massnahmen i.d.R. zustimmungspflichtig. Abgesehen davon ist eine derartige Überwachung aus Gründen der Verhaltenskontrolle / Disziplinierung von Mitarbeitern wenn überhaupt nur unter ganz ganz eng definierten Voraussetzungen möglich. Diese Kiste ist sehr sehr heiss! Gruss Markus