Blacky_24

Bild sehe ich nicht.

Grundsätzlich kannst Du den David hin und her portieren wie Du willst. Auf der David-CD ist ein Tool mit drauf mit dem man die ganze kranke Archivstruktur auf der jetzigen Maschine ein- und auf der neuen Maschine auspacken kann. In der Tobit-Knowledgebase findest Du diverse Artikel die das Procedere beschreiben.

Aufpassen musst Du mit den David-Lizenzkeys. Erst mal testen ob die überhaupt auf Windows funktionieren. Tobit hat da die Kunden mehrfach ver**** <- bitte selbst ausdenken was da stehzen soll. In einer Version ging der Key auf beiden OS, dann wieder nicht, dann wieder doch. Echt zum brechen.

Novell und Windows können problemlos koexistieren. Melden sich die User halt gleichzeitig auf beiden Systemen an, so what. Der Windows muss vom Novell nix wissen und umgekehrt - wenn man allerdings die Accounts (Benutzernamen / Passwörter) konsistent halten will ist etwas Arbeit angesagt, ansonsten muss man die halt in beiden Welten pflegen. Last but not least sollte man ein paar Gedanken ans DNS verschwenden, ggf. den DNS auf dem Novell abrüsten und auf den W2K3 pointen.

Gruss

Markus

Klar, weil mail.deinefirma.ch keine DNS-(Sub)-Domäne sondern ein Hostname ist fällt das dem DNS-Report auf die Füsse.

Also die Abfrage auf deinefirma.ch machen, die Mailserver findet er dann selbst über die MX-Records im DNS - und in der MX-Rubrik im Report sollte nichts rot sein.

Gruss

Markus

Geh mal auf http://www.dnsreport.com/ und kipp Deinen Domänennamen oben links ein. Interessant speziell die Angaben zum Reverse-DNS. Wenn kein Reverse-DNS für den Mailserver eingetragen ist hast Du schlechte Papiere bei fast allen grossen Hostern. Dann einfach den der die IPs liefert bitten einen Reverse-DNS einzutragen.

Dieses merkbefreite Sorbs erdet IPs ohne Reverse-DNS als "dynamic".

Gruss

Markus

Ohne Praxis/Berufserfahrung kommst du mit dem CCNP auch nicht viel weiter ... BGP Basics sollte auch ein CCNA im Schlaf aufzaehlen koennen.

Aber auch nur die Basics wie sie im Buch stehen. BGP ist nicht nur ein Routing-Protokoll sondern auch noch Politik. Die Leute die das wirklich draufhaben sind sehr dünn gesät. Wenn Du RIP oder EIGRP vermurkst geht vielleicht Dein LAN nicht mehr, wenn Du BGP vermurkst geht noch viel mehr nicht mehr und es kostet richtig Geld weil die Admins der anderen AS deine Routen schneller erden als Du "Muh" sagen kannst und damit die ganzen Peerings rausfliegen.

Wenn man nicht wirklich Ambitionen im Enterprise- oder Carrier-Umfeld hat kann man BGP nach der Cisco-Prüfung getrost wieder vergessen. Die Advanced Routing ist etwas BGP-lastig und die Leute vergessen dabei schnell dass Routing nicht Selbstzweck und IP nicht nur BGP ist.

Im Prinzip gehts beim Advanced Routing nur darum, den Leuten die vertieften Grundlage des Routings zu vermitteln. Distance-Vector- und Linkstate-Protokolle sind einigermassen übersichtlich, die EGPs schlagen da etwas aus der Art weil sie eben Meta-Protokolle sind und andere Aufgaben haben - obwohl BGP als Path-Vector-Protokoll systematisch nicht weit weg von den Distance-Vector-Protokollen ist.

IS-IS sieht man in grösseren Firmen ab und an.

Gruss

Markus

Besteht nicht die Möglichkeit, die Transform-Sets zu vereinheitlichen? Abgesehen davon dass die Konfig minimal übersichtlicher wird geht das massiv auf die Rechenleistung der PIX wenn sie mehrere unterschiedliche Cryptoalgos parallel rechnen muss.

Das Transform-Set gibst Du im jeweiligen Crypto-Map-Eintrag an, dann sollte das tun.

Kopie aus einer laufenden Konfig von mir (IPs anonymisiert) - alles drin: VPN-Client, unterschiedliche Transform-Sets und Lifetimes ...

sysopt connection permit-ipsec

sysopt connection permit-pptp

crypto ipsec transform-set FRA2SET esp-3des esp-sha-hmac

crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac

crypto ipsec security-association lifetime seconds 3600

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET

crypto map FRA2MAP 10 ipsec-isakmp

crypto map FRA2MAP 10 match address FRA2

crypto map FRA2MAP 10 set peer 213.83.123.123

crypto map FRA2MAP 10 set transform-set FRA2SET

crypto map FRA2MAP 20 ipsec-isakmp

crypto map FRA2MAP 20 match address FRA3

crypto map FRA2MAP 20 set peer 213.83.234.234

crypto map FRA2MAP 20 set transform-set FRA2SET

crypto map FRA2MAP 30 ipsec-isakmp

crypto map FRA2MAP 30 match address BAM1

crypto map FRA2MAP 30 set peer 217.91.123.234

crypto map FRA2MAP 30 set transform-set FRA2SET

crypto map FRA2MAP 40 ipsec-isakmp

crypto map FRA2MAP 40 match address RXXXXX

crypto map FRA2MAP 40 set peer 217.91.234.123

crypto map FRA2MAP 40 set transform-set SRSWNSET

crypto map FRA2MAP 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map FRA2MAP interface outside

isakmp enable outside

isakmp key ******** address 213.83.234.234 netmask 255.255.255.255

isakmp key ******** address 217.91.123.234 netmask 255.255.255.255

isakmp key ******** address 217.91.234.123 netmask 255.255.255.255

isakmp key ******** address 213.83.123.123 netmask 255.255.255.255

isakmp identity address

isakmp nat-traversal 20

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 28800

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash md5

isakmp policy 30 group 2

isakmp policy 30 lifetime 86400

vpngroup IPSECVPN address-pool VPNRASPOOL

vpngroup IPSECVPN dns-server 10.1.18.1 10.1.18.2

vpngroup IPSECVPN wins-server 10.1.18.1 10.1.18.2

vpngroup IPSECVPN default-domain yyy.xxxx.de

vpngroup IPSECVPN split-tunnel IPSECVPN_splitTunnelAcl

vpngroup IPSECVPN idle-time 1800

vpngroup IPSECVPN password ********

Tut ganz wunderprächtig.

Gruss

Markus

BGP mal eben so zu erklären ist kaum möglich, dafür ist BGP zu mächtig.

Wenn Du das volle Programm willst kaufst Du Dir das Buch "Internet Routing Architecture" von Bassam Halabi (vorzugsweise in der englischen Ausgabe, die deutsche Übersetzung finde ich nicht so gut).

Ansonsten gibt es etliche Grundlagenbeschreibungen im WWW, z.B.

http://www.riverstonenet.com/support/bgp/index.shtml

http://www.ittc.ku.edu/EECS/EECS_800.ira/bgp_tutorial/

Auf http://www.cisco.com wirst Du mit Material mehr oder weniger zugeschüttet, ansonsten gibt es diverse RFCs die BGP im Detail beschreiben und natürlich auch etliche Bücher ...

Gruss

Markus

Ich will ihr keine Urteile fällen, weil ich mich mit den Switches auch leider nicht so gut auskenne, bin mich gerade am weiterbilden, aber schon alleine der Preis war für mich unrealistisch.

Welcher Preis ist denn "realistisch". Nur weil das Investitionsvolumen von der Höhe her möglicherweise Deinem Jahresgehalt entspricht heisst das noch lange nicht dass das deswegen auch teuer ist.

Wieviel Geld willst Du ausgeben und welche Leistung erwartest Du dafür?

Das was da auf Eurem Einkaufszettel steht ist das untere Ende dessen was Cisco beim Switching anbietet.

Solange Du nicht weisst und verstehst wie das (hoffentlich vorhandene) Konzept hinter dieser Beschaffung (inkl. Pflichten- und Lastenheft) aussieht kannst Du wohl kaum beurteilen ob das Preis-Leistungs-Verhältnis angemessen ist.

Es gibt immer einen der das billiger kann - ob der dann aber gleich gut ist weiss man immer erst hinterher.

Also noch mal zum Aufbau des Netzwerkes. Ich bin in einem Werk mit 100 PCs davon (sorry beim erstenmal vergessen) 20 Terminals vollschrott. Die Domänen Anmeldung erfolgt zum Hauptwerk das 30-40km entfernt liegt, alles über eine 2M/Bit Leitung.

Das klingt nicht wirklich nach einem tollen Netz, andererseits erlauben diese Angaben kein Urteil.

Dann ist da noch das be******ene Metaframe das im Hauptwerk läuft und wir alle müssen damit arbeiten, geiles arbeiten viele wären mit einer Schreibmaschine schneller.

Kling auch nicht toll, ich wage aber zu behaupten dass das Problem nicht unbedingt das MetaFrame ist sondern der der das geplant bzw. installiert hat - oder der der dann nachträglich die Parameter geändert hat.

So und nun wollen die unsere Switches aufrüsten, ich finde denn Preis aber überzogen.

S.o. Der Preis ist relativ.

@Blacky_24 Wieso würdest du für die VoIP keine extra System aufbauen??

Gegenfarge: Warum sollte ich. Einer der Vorteile von VoIP ist dass das im Datennetz laufen kann - Integration von Sprache, Video und Daten - da werde ich wohl kaum hingehen und dafür dann wieder ein eigenes Netz bauen. Für so was gibt es VLANs und QoS, was soll also der Krampf mit der zusätzlichen dedizierten Infrastruktur die dann auch noch gepflegt werden muss.

Es müßten nur die Telefon Switches die jetzt in den Server Schränken stecken durch normale Switches ausgetauscht werden und ein Extra Server für die VoIP Verwaltung.

Keine Ahnung was das konkret heisst aber Du kennst das besser als ich.

So kommt man sich da schon mal nicht in die Quere.

Klasse. Da hätten wir VoIP nicht erfinden brauchen. VoIP dann wieder zur Insellösung zu machen spricht nicht dafür, dass man das Konzept verstanden hätte - oder den Mehrwert von VoIP nutzen würde.

Ich habe das Gefühl das die Mannschaft im Hauptwerk etwas zu alt ist und der Teit nachhinken, zumal die Domäne Anmeldung immer noch auf einen NT Server läuft.

Oha, die jungen Wilden scharren mit den Hufen. Ruhig Brauner ...

Wir werden es kaum schaffen, Dich hier fit für eine Diskussion mit der Geschäftsleitung zu machen. Erstens mal sitzen die Jungs im Stammwerk näher am Boss - und zweitens kennen sie den wahrscheinlich schon ein paar Tage länger. Somit wären wir bei der Politik und in der wirst Du - wenn ich diesen Thread mal auf mich wirken lasse - keinen Stich machen.

Wenn man "gerade erst am weiterbilden" ist sollte man nicht versuchen, anderen Leuten die Welt zu erklären, das geht in 99,999% der Fälle furchtbar ins Auge.

Wie bereits oben geschrieben: Kritisieren kannst Du erst wenn das das Konzept kennst und verstanden hast (und dass Du es nicht kennst heisst noch lange nicht dass es kein Konzept gibt!) - und auch weisst was die geplanten Komponenten können - und was andere Komponenten alternativ könnten.

Gruss

Markus

Komische Komponentenzusammenstellung deren Sinn ich in Unkenntnis des Konzeptes und des Umfeldes nicht nachvollziehen kann. Den 4503 nur mit der SE bestückt als Core-Router laufen lassen und damit auf den kleinen Catalysts die E-Features freischalten?

Für Voice eine eigene Infrastruktur aufzubauen scheint mir auch - vorsichtig formuliert - diskussionswürdig.

Nur weil Cisco draufsteht erstarre ich noch nicht in Ehrfurcht. Wenn das von Grenzdebilen geplant und zusammengesteckt wird ist das Zeug auch nicht besser als das vom Mediamarkt - nur teurer.

Gruss

Markus

Ein leerer Flash sieht aber anders aus?!

Kennt der 38er den Befehl "squeeze"? War früher mal bei den Routern angesagt, wenn man im Flash was gelöscht hatte hat er den Speicherplatz nicht freigegeben, das hat dann squeeze erledigt.

Gruss

Markus

Das Ganze im Detail aufzudröseln braucht deutlich mehr Zeit als ich heute und morgen noch habe, die Familie fordert auch ihr Recht.

Sieht nach einem Mischmasch aus, da war jemand mit SDM bzw. CM dran, der Rest wurde wohl von Hand gestrickt.

Hinweise zu anderen Systemen zu geben ist schwierig solange man deren Rolle und Konfiguration nicht kennt.

Wenn Du gar keine Ahnung von dem Thema hast solltest Du über eine entsprechende Schulung nachdenken, so ein Forum mag kurzfristig eine Hilfe, auf Dauer trägt das aber nicht.

Ggf. ist es sinnvoll, jemand externen hinzuzuziehen der sich das Ganze ansieht und die Konfigs entsprechend anpasst, da kann er Dir auch gleich einen Minischulung verpassen. Bei Bedarf stehe ich da gerne zur Verfügung.

Wenn die Sache bis Monatg Zeit hat können wir dann weiter machen, wenn nicht findet sich hier vielleicht auch noch ein anderer der Dir helfen kann.

Gruss

Markus

Auf dem Router "show tech-support" eingeben, dann spuckt der die Konfig ohne PW aus.

Gruss

Markus

Telnet auf die Router-IP, Einloggen, "enable" ENTER, Passwort eingeben ENTER.

Der Prompt muss mit einer "#" enden, wenn da ">" steht geht (fast) nix - zumindest aber nix was Dir weiter hilft.

Gruss

Markus

Schau mal bei http://www.bechtle.de im MS-Lizenzshop, vielleicht ist er da gelistet.

Gruss

Markus

Das sieht brauchbar aus.

Gruss

Markus

Murmel.

Das sind irgendwelche User-Logins, nicht die Tunnel-Keys.

Steht da irgendwas mit "crypto isakmp key"?

Komplette Konfigs mit Passwörtern NIENIENIE öffentlich posten - erst recht nicht wenn der Router dazu auch noch übers Internet erreichbar ist!!!

Gruss

Markus

Gruss

Markus

Jein.

Ich bin mir nicht sicher - weil ich kaum mit VPN auf Router arbeite - ob die Preshared Keys für die Tunnel in der auslesbaren Konfig in brauchbarem Format drinstehen.

Die normalen Passwörter stehen - gecryptet - in der Konfig drin (die Verschlüsselung ist allerdings nicht wirklich toll) und können so auch eingespielt werden, bei den VPN-Keys bin ich mir nicht sicher ob die - wenn überheupt - gecryptet drinstehen oder nur als ****** - dann hast Du ein Problem weil die anderen Tunnelenden das überhaupt nicht verstehen werden.

Ist denn der Admin der ganzen Geschichte nicht irgendwo aufzutreiben?

Du kannst mir zur Not mal die Konfig mailen - m.schwarzätqitcon.de - dann müsst Ihr aber schnellstmöglichst alle Passwörter ändern.

Gruss

Markus

TFTP-Soft installieren, in der Soft wird ein Verzeichnis angegeben welches per TFTP freigegeben wird, zusehen dass die Soft auch aktiv ist. Ev. vorhandene Firewall entsprechend anpassen oder temporär ausschalten.

Die Datei mit der gesicherten Konfig in den TFTP-Pfad kopieren - da sollte nur die Konfig drinstehen, nicht noch irgendwelcher anderer Schamott. Der Router nimmt was Du ihm gibts, im Zweifelsfall auch die Zeitung von gestern - und dann hast Du beim Starten ein Problem.

Dann einfach auf den Router gehen, enable, copy tftp: startup - der Router fragt dann die Parameter ab - IP vom TFTP, Filename u.s.w.

Ich bin mir jetzt nicht sicher ob die Passwörter für den Tunnel in der Konfig drinstehen, bitte vorher prüfen!!!

Ausserdem in der TFTP-Konfig vor dem Kopieren in alle Interfaces ein "no shutdown" reinschreiben.

Gruss

Markus

Wie gesagt, hier zeilenwiese die Bruchstücke von verschiedenen Konfigs zu posten hilft kaum weiter.

Du kannst theoretisch beliebig viele Tunnel auf der Box definieren - vorher waren doch - wenn ich das richtig verstanden habe - 2 oder 3 Tunnel definiert.

Einen TFTP-Server findest Du z.B. hier http://kin.klever.net/pumpkin/

Gruss

Markus

Mit den Konfig-Fragmenten kann man relativ wenig anfangen.

Eine Skizze von dem ganzen Elend wäre auch hilfreich.

Ansonsten kannst Du auf einem PC einen TFTP-Server aufsetzen und von da aus die "gute" Konfig zurück auf den Router kopieren (copy tftp: startup-config) und den Router durchbooten (nicht nach "running-config" kopieren da sonst ein Merge gemacht wird).

Alternativ mit der Hand am Arm die einzelnen Zeilen abgleichen.

Solange Du an der running-config operierst ggf. vorher ein "reload in 30" (für 30 Minuten) absetzen, dann startet der Router nach 30 Minuten neu - nur für den Fall dass Du Dich aussperrst. Wenn Du in den 30 Minuten die Konfig wegspeicherst startet der natürlich mit der letzten gespeicherten Konfig neu.

Gruss

Markus

Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt.

Ich bin mir sicher dass es bei Cisco ein Konfig-Beispiel für fest / dynamisch gemischt gibt.

Gruss

Markus

wenn ich jetzt angenommen ein Software Pack zb. 11.2 ersteigere bzw Kaufe, heisst das noch lange nicht das ich weiteren support für die aktuellsten bekomme, oder?

Das heisst nur dass Du eine Schachtel mit steinalter Software kaufst. Nach dem der Schachtel beiliegenden Lizenzvertrag geht die Lizenz für das IOS an den ersten Erwerber und ist - ohne Zustimmung von Cisco - nicht übertragbar.

Solange Du die Schachtel nur ins Regal stellst ist es egal, wenn Du die Software installierst hast Du eine Raubkopie.

Abgesehen davon ist das 11.2 nach heutigen Masstäben sowas von unbrauchbar weil es kaum was kann dass es sich nicht wirklich lohnt, dafür auch nur einen Euro auszugeben.

Habe keinen Schimmer was so ein IOS kosten könnte, da ich es lediglich für mein LAB privat brauche, und finanziell nicht so gut dran bin das ich zb. ein paar hunderter hinlegen kann dafür.

IOS kostet je nach Hardwareplattform und Featureset zwischen ein paar und ein paar tausend Dollar.

wäre super wenn ihr mich darüber weiter aufklären könntets, denn ein CCO account habe ich leider nicht, und selbst den bekommt man was ich weiss erst bei einer bestandenen CCIE oder wenn man eben demendsprechend zahlt.

Richtig.

Gruss

Markus

Genau.

Da kauft man sich für zig tausende Euros einen L3-Switch mit allem Tatütata und einer Backplane die non blocking und wirespeed kann und stellt nebendran eine Bastelbüchse damits auch ja schön langsam wird.

Muss ich nicht verstehen.

Gruss

Markus

Mach doch einfach eine entsprechende ACL.

Gruss

Markus

Vereinfacht:

NetFlow IOS Packaging Information

Cisco 7200/7500/7400/MGX/AS5800—Although NetFlow functionality is physically included in all software images for these platforms, customers must purchase a separate NetFlow Feature License in order to be licensed for its use. NetFlow licenses are sold on a per-node basis.

Other routers—NetFlow functionality is supported only in Plus images for these platforms. Customers are required to purchase an appropriate Plus image in order to utilize NetFlow functionality on these platforms. There is no feature license for most Cisco platforms except the following require a software license Cisco 7200/7500/7400/MGX/AS5800.

Reformation IOS Packages—NetFlow is currently available in IP Base package and above.

Ansonsten: http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Zu Risiken und Nebenwirkungen einer Userüberwachung fragen Sie Ihren Betriebsrat oder Datenschutzbeauftragten.

sFlow wird von Cisco nicht unterstützt, warum auch.

Mit RMON habe ich keine Erfahrungen.

Gruss

Markus

Heißt übersetzt so viel wie. Die PIX ist KEIN ROUTER!

 

Wenn dann nur über ein Interface rein und über das andere wieder raus.

Grübel.

Wo hab ich das schon mal gehört :D

Gruss

Markus