sebastian.f

Naja ich hab ca. 40 Switches im Netz da is das mit transparent nicht grade so toll :)

Mit Managment VLAN meinte ich eigentlich das Default VLAN wenn jetzt keine Maschinen im Default habe dann kann mir ja auch keiner ein manipuliertes VTP Paket schicken das der Switch abarbeitet oder?

Weil er ja nur VTP Pakete abarbeitet die aus dem Default VLAN, bzw. von einem Trunk Port kommen.

Hallo,

ich habe heute Morgen von diesen heise Netze - Schwachstellen in Cisco-Switches ,

Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities

Bugs gelesen und Frage micht natürlich ob mein Netzwerk anfällig ist.

Problematisch ist dieser Bug doch eigentlich nur wenn ich viele Maschinen und Benutzer habe die auf das Management VLAN meiner Switches zugreifen dürfen oder?

Denn aus normalen VLANs werden VTP Pakete ja nicht verarbeitet, da der VLAN Traffik nur über das Management VLAN läuft.

Habe ich jetzt einen Denkfehler oder ist das so richtig?

Gruß

Sebastian

Hallo,

alle Antworten gibt es hier

Gruß

Sebastian

Ja genau die sind das.

Gruß

Sebastian

Hallo,

du verbindest die beiden Router am besten über die Seriellen Interfaces miteinander.

Dazu brauchst du aber ein DCE/DTE Kabel das solltest du dir noch besorgen.

Dann kannst du so Dinge wie Frame Relay, HDLC und PPP testen.

Gruß

Sebastian

Hallo,

hast du als Gateway auf den Clients die IP Adressen der VLANs eingerichtet ?

Wenn nicht wird nicht geroutet.

Vielleicht hilft dir auch dieses

Dokument weiter.

Gruß

Sebastian

Hallo,

da würde ich dann evtl. den Chef nochmal fragen was genau er eigentlich möchte, denn alle Ports in alle VLANs zu stecken ist irgendwie ziemlich überflüssig und IMHO gar nicht möglich.

Gruß

Sebastian

Hallo

Sind das GBICs an denen die LWLs hängen?

Ich würde hier fast von einem HW defekt ausgehen.

Wir hatten sowas auch schomal, bei uns warens die Patchkabel.

Sind das bei dir SC oder FC Stecker?

Wieviele ERR-DISABLE Fehler hast du denn im Log?

Kannst du mal sh int und die Error Counter posten?

Gruß

Sebastian

Hallo,

Du kannst einen Port nur jeweils einem VLAN zuordnen wieso sollen alle Ports in alle VLANs dann währen VLANs ja überflüssig?

Siehe dazu auch den Thread 2 VLAN auf einen Port.

Gruß Sebastian

Hallo,

Wie sind die Ports Duplex, Speed und Flow Control mässig eingestellt?

Was sagen die Error Counter (sh int cou err)?

Meistens ist das wirklich ein Kabel oder Stecker Problem. Vielleicht einfach mal die LWL Patchkabel checken und die Stecker nochmal putzen und messen.

Gruß

Sebastian

Hallo,

also ich habe das Teil jetzt einen Tag getestet und muss sagen es konnte mich nicht überzeugen. Das was Cisco da machen will ist zwar schön aber nicht gerade ausgereift.

Contras:

- Nur 18 Switches pro Community

- Das Topologie Layout stimmt nicht

- Topologien lassen sich nicht mehr löschen!

- umständliche Bedienung

Pros:

- fast alle Grundfunktionen lassen sich grafisch einstellen

- wenn man die Topologien mal angepasst hat ist es ganz ansehnlich

Alles in allem ist Cisco auf dem richtigen Weg mit dem Teil aber es ist bei weitem noch nicht ausgereift. Irgendwie ein Dejavu zum Clustermanager ...

Gruß

Sebastian

Für den Fileserver währe es auch möglich einen Trunk Port zu definieren und eine VLAN fähige Netzwerkkarte in den Fileserver zu stecken.

Die müsste dann theoretisch auch mit beiden Netze reden können.

Ich habe sowas allerdings noch nie probiert da man ja normalerweise zwischen 2 VLANs routet.

Gruß

Sebastian

Hallo,

Also ich habs mir mal runtergeladen und installiert (habe CCO Account).

Bei Cisco steht das der 4506 unterstützt wird. Allerdings sagt der CNA mir wenn ich einen 4506 verwalten will unsupported Device. Ich habe den HTTP Server und SNMP aktiviert. Muss man da sonst noch was konfigurieren?

Gruß

Sebastian

Hallo

Ja richtig der 3550 könnte ja selber als DHCP arbeiten.

Da gibts auch ein Dokument von Cisco dazu: Configuring DHCP

Ist sicher die elegantere Lösung.

Gruß

Sebastian

Hallo,

Normalerweise muss für jedes VLAN ein eigenes Subnet definiert werden. Ausserdem kann man eine Netzwerkkarte nicht an einen Trunkport anschliessen da diese mit den Tagged Frames nichts anfangen kann. Es gibt jedoch auch Karten die VLAN Tagging unterstützen.

Ich würde beiden Netzen jeweils ein Subnet zuweisen und in den DHCP 2 Karten einbauen und

jeweils einen DHCP für ein Subnet laufen lassen.

Gruß

Sebastian

Die teuren Geräte sind oft die, die spezial Interfaces haben zum Beispiel ein ISDN PRI oder GBIT Ports.

Zum üben brauchst du beides, der CCNA zielt sowohl auf Switching als auch auf Routing. Siehe dazu auch:

CCNA Topics

Gruß

Sebastian

Hallo,

Einen 800er brauchst du nicht unbedingt. aber 2 Router solltest du schon haben um Sachen wie Frame Relay und Leased Line zu üben. Am besten 2 2600er oder so.

Über Gebraucht Preise kann ich dir jetzt auch nicht viel sagen, aber Ebay bietet da eine relativ gute Übersicht.

Gruß

Sebastian

Äh also das was du da fragst ist alles Zeug das zur Prüfung drann kommt, wenn du dich drauf vorbereitest wird dir das alles erklärt :) Das würde jetzt vom 100sten ins 1000entse füren wenn wir das jetzt alles hier im Forum klären ;)

Zur Administration braucht man ein Cisco Console Kabel, kann man auch selber machen ist ein Vollgekreuztes Serielles Kabel mit einm DB9 auf RJ45 Stecker.

Man kann später dann die Geräte auch per Netzwerk über RJ45 und Telnet administrieren.

Gezahlt hab ich für die Geräte nix weil die von der Firma gesponsort wurden ;)

Aber ein bisschen Geld muss man für die CCNA Prüfung immer in die Hand nehmen ich habe zum Beispiel auch den ICND Kurs gemacht.

Ist aber nicht billig gewesen, hatte da das Glück das dass die Firma gezahlt hat.

Gruß

Sebastian

Was wäre der Vorteil, wenn ich zwei Router hätte? Auf welche Bestückung sollte ich achten? Wieviel RAM sollten die Geräte haben, um sinnvoll arbeiten zu können? Was ist ein "WIC 1B S/T"? Und für was ist das Serial Interface? AFAIK ist damit nicht RS232 gemeint!

Wenn du zwei Router hast kannst du Verbindungen wie Frame Relay oder ppp testen und konfigurieren mit einem DTE/DCE Kabel das ist ein gekreuztes Kabel für das Serielle Interface des Routers daran wird normalerweise die CSU/DSU angeschlossen also das Gerät das dich mit der jeweiligen Netz verbindet (Frame Relay, Leased Line, ATM ...)

Ein WIC 1B S/T dürfte ein S/T Interface für ISDN sein.

Warum ausgerechnet diesen?

Weil auf dem die CCNA Prüfung aufbaut und er Quasi Standard ist, vorallem zum üben.

Ich habe in einigen Artikelbeschreibungen von CatOS gelesen. Dabei scheint es sich dann um alte Geräte zu handeln.

Richtig es handelt sich da um ausgelaufene Geräte die neuen werden IMHO nur mit IOS ausgeliefert.

Suchen ist das Stichwort. Ich finde die Cisco Homepage sehr unübersichtlich.

Joa ist eine Ansichtssache wenn man sich mal zurechtgefunden hat gehts relativ einfach.

Ich hatte zum üben für die CCNA Prüfung einen 1603R, einen 2600, einen 801 ISDN mit S/T Interface, 2 2950 24 Port mit jeweils einem Fibre Interface und einen 3500 XL mit 6 Fibre Interfaces.

Gruß

Sebastian

Hi,

also zum üben würde ich mir ein oder zwei 2600 Router oder 1600 Router mit DTE/DCE Kabel besorgen.

Sind ganz gut und relativ billig kommt halt darauf an welche Baureihe und welche Module drinn sind.

Ich würde auch noch einen 2950 Switch kaufen. Auf allen Cisco Switches läuft inzwischen IOS .CatOS gibt es nur noch auf Anfrage! Die Syntax ist in CatOS komplett anders als in IOS.

Die Cisco Homepage bietet einen relativ guten Überblick über aktuelle Produkte für ausgelaufene muss man etwas auf der Seite suchen.

Gruß

Sebastian

Hallo,

Mit VMPS kann man VLANs dynamisch auf Basis der MAC Adresse zuweisen.

Siehe: VMPS Overview

Wie gesagt uns war damals die Stabilität wichtig und die bekahmen wir wie schon beschrieben mit Cisco.

Ich sage nicht das Cisco das Allheilmittel, wie schon geschrieben können das auch HP Procurves sein, oder Geräte von Juniper oder Nortel. Aber wer Leistung haben will. Und zum Beispiel Backplanes braucht die alle Ports Full Speed versorgen können der kommt meist an teureren Geräten nicht vorbei.

Es kommt halt auch auf den Einsatzzweck an.

Gruß

Sebastian

Naja ob Neupreis oder Gebrauchtpreis spielt eher weniger die Rolle kosten tuts was der Markt her gibt.

Ein Feature das nur Cisco unterstützt ist zum Beispiel:

VMPS mag jetzt vielleicht einer sagen das ist veraltet aber ich halte es für absolut geniales Feature.

Oder auch Stabilität lass mal 4 User gleichzeit über ne DSL Verbindung Emule nutzen das kannst du mit einem Standard D-Link oder Netgear Router einfach vergessen. Hatte zuerst auch 2 billig Router im Einsatz. Jetzt läuft ein Cisco 1601 R und ich habe keine Session Limit Probleme mehr.

Ausserdem haben Cisco Geräte die IMHO besten Debug Features, wenn man sich auskennt ist es relativ leicht Fehler zu finden. Was ich jetzt zum Beispiel von Intel nicht behaupten kann. (Ja ich weis Intel baut keine Netzwerkkomponenten mehr).

Hier in der Firma hatten wir Jahre lang ein Netz aus billib Komponenten, es kahm dauernd zu Störungen, Verbindungsabbrüchen usw.

Seit wir Cisco einsetzen gibt es sowas einfach nichtmehr. Klar ist das jetzt subjektiv gebe ich ja zu, aber das ist nunmal die Erfahrung die ich gemacht habe. Und wie gesagt Geräte die in der selben Klasse spielen wollen kosten ähnlich viel.

Gruß

Sebastian

Hi,

Naja ich sag mal der nachfolger diese Gerätes kostet ca. 4000 Euro (Cisco Catalyst WS-C3550-48-EMI)

Da ist das Angebot bei Ebay eh günstig. Die sachen sind so teuer weil Sie Features unterstützen von denen andere Hersteller noch nichtmal was gehört haben. Und

was das wichtigste ist sie brechen auch bei höchster Belastung nicht gleich in der Leistung ein

was bei vielen billig Komponenten der Fall ist.

Wenn du das Gerät mal mit einem Gerät aus der gleich Klasse vergleichst, zum Beispiel HP Procurve Switch dann ist da fast kein Preisunterschied.

Gruß

Sebastian

Hallo,

Danke für die vielen Antworten. Leider ist das Problem bis jetzt immer noch nicht gelöst.

Inzwischen konnte ich festellen das das Problem nicht nur mit Exchange auftritt sondern allgemein die Delegierung manchmal fehlschlägt. Wie gesagt in 60 Prozent der Fälle klappts ansonsten nicht.

Leider ist im Client Security Tab der Erreignissanzeige nicht ersichtlich warum der Client plötzlich mit NTLM an den Server geht. Man kann nur am Server sehen wenn ein Client mit NTLM ankommt aber leider nicht warum. kerbtray hilft mir da auch nicht weiter weil die Tickets ja passen sonst würde die delegierung ja gar nicht klappen.

Gibt es vielleicht irgendein Tool das die Authentifizierung noch genauer protokolliert.

Die Events der lokalen Sicherheitsrichtlinie habe ich schon aufs Maximum aufgebohrt.

Danke

Sebastian

Hallo,

Danke schonmal für die Antworten, einige KB Artikel kenne ich schon ein paar sind mir auch neu werde mich da mal einlesen. Ich habe am Anfang die Frage etwas anders gestellt weil ich dachte man kann einer 2k domäne mit nem einfachen Trick beibringen das sie nur Kerberos benutzen soll, was ja das eigentlich Ziel ist. Denn wie schon erwähnt würde ich am liebsten NTLM komplett abschalten da es nicht kompatibel mit Delegation und Impersonation ist.

Was mich noch interessieren würde ob jemand eine Idee hat warum ein 2k Client/Server in einer reinen 2k/2k3 domäne ntlm zur authentifizierung benutzt.

Danke

Sebastian