Wurstbläser

... können sich die PCs im Vlan 10 pingen?

ganz richtig .. warum ist Deine ACL 101 nicht einfach ein ACE in Deiner ACL 100? access-list 100 permit ip 192.168.1.0 255.255.255.224 10.10.10.0 255.255.255.224 access-list 100 permit ip 192.168.1.33 255.255.255.255 10.10.10.33 255.255.255.255 nat (inside) 0 access-list 100 würde es doch auch tun?

jo man - so kommt man auf 10.000 Forumsbeiträge und Super Duper Memeber Status!!!! an Pixer: also PC und Telefon stehen im Inside? so daß z.B. bestimmte SIP Protokoll-Ports an dein Telefon umgeleitet werden? Ich vermute mal das Du Dir statische Routen näher ansehen solltes ... Gruss Robert

tatsächlich! aus den Release Notes: Features not Supported in Version 7.0 The following features are not supported in Version7.0(4) release: •PPPoE •L2TP over IPSec •PPTP die 501 und 506 können aber auch kein 7.x für die größeren braucht mans wohl nicht so oft ...

im baumarkt gibts für 4,95 Billigmultimeter - bei Cisco findet man auf der website sicher die Spezifikationen wiewiel Volt auf die XL PLatine kommen - da geh ich jede Wette ein. Wieviele Lüfter sind im Gerät? 2 oder 3? Wieviele drehen? Keiner? -> Netzteil ... Steht die Ausgangsspannung auf dem Netzteil? Miss doch mal ... Gruss Robert

Danke - habs jetzt selbst gefunden: line 1 8 session-timeout 20 no exec exec-timeout 0 0 es FEHLT: transport input all

Hi Maho, kannst Du nicht auf jedem Router DHCP Deamon auf der physischen/realen IP aufsetzen und die Redundanz DHCP intern regeln?? Die DHCP Broadcast sollten mit der HSRP IP doch nicht in Konflikt geraten. Um die Redundaz beim DHCP zu bekommen muss man wohl mit einer "Bindings Databse" arbeiten. -> http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca75c.html#wp1018925 Gruss Robert

... der Vorteil steckt in der Abkürzung selbst: GLBP -> LB = Load Balancing. HSRP macht kein Load Balancing. Lieteratur z.B. Cisco BCMSN Kurse/Bücher oder nach "Configuration Guide GLBP" bei Cisco.com suchen ... um es kurz zu machen .. Gruss Robert

Hallo CM, wenn Du viel Geld hast nimm VISIO. Gerade für eine Portgenaue Zeichnung von 19" Schränken sehr gut geeignet - mit fotorealistischen stencils deines Equipments ... Alternativ für lau habe ich letztens "Networknotepad" entdeckt .. in dem Sinne entdeckt, indem ich im CiscoPress Buch "Network Adminstrators Survival Guide" den Tip zu diesem Programm bekommen hab. Das Programm scheint anfangs etwas hakelig - die einarbeitung lohnt sich aber unbedingt! 1A dieses Programm vor allem für die logische Zeichnung von Netzwerkplänen. Networknotepad hat auch Bitmaps für Portgenaue Switch und Panel belegung .... Gruss Robert

Hallo Martin sicher ist das bei der PIX anders: deshalb habe ich ja geschrieben, das man die ACL nur inbound auf die Interfaces bindet. Eine Packet das von "outside" nach "inside" unterwegs ist kann ANDERS ALS BEIM CISCO IOS nicht mehr von einer ACL am inside interface in outbound gefiltert werden. Mit inbound und outbound ist doch die Richtung am Interface gemeint und nicht die Richtung des Traffic in der gesamten PIX. Mal ernsthaft - ich erschrecke mich immer ein wenig, wenn jemand so direkt widerspricht und bin dann etwas in Sorge einen fehlerhaften Tip gegeben zu haben - aber ich finde in diesem Fall echt nicht den geringsten Hinweis das das Cisco FOS IP-PAckete am Interface outbound überprüft. Im Bezug auf ACLs ist bei Cisco eigentlich immer die Richtung am Interface gemeint - denke Ich. Bereite mich gerade auf CSPFA vor - habe noch mal alle ACL Kapitel gelesen - da gibts kein out ?!?! Gruss Robert

Also aus Dein debug output scheint nicht ganz von Anfang an aufgezeichnet .. Es soll aber eine Standard Config IPsec Lan2Lan werden? ICh kann ja nur raten ohne Plan oder Konfig Folgendes ist bei Cisco dazu zu finden: Proxy Identities Not Supported This message appears in debugs if the access list for IPSec traffic does not match. 1d00h: IPSec(validate_transform_proposal): proxy identities not supported 1d00h: ISAKMP: IPSec policy invalidated proposal 1d00h: ISAKMP (0:2): SA not acceptable!The access lists on each peer needs to mirror each other (all entries need to be reversible). This example illustrates this point. Peer A access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255 access-list 150 permit ip host 15.15.15.1 host 172.21.114.123 Peer B access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255 access-list 150 permit ip host 172.21.114.123 host 15.15.15.1 ################################################### a) IKE policies müssen übereinstimmern show crypto isakmp policy (auf beiden Routern vergleichen) b) IPSec Transform-Set müssen übereinstimmen show crypto ipsec transform-set (auf beiden Routern) c) wie oben bei Cisco angedeutet: die Crypto ACLs "spiegeln" sich? in Deinem debug-output würde ich auf der Cisco website mit dieser Zeile weitersuchen " IPSec policy invalidated proposal" (Zeile 11) Gruss Robert

Die Kommunikation zwischen dieser Firewall und den beiden Routern könnte ja so mit HSRP funktionieren. Wenn Nun die beiden Server Ihre IP ändern (???) müssen Sie dies ja irgendwie den Routern mitteilen - geht natürlich mit nem Routingprotokoll. Wie aber soll der Router sich verhalten wenn auf seinem Subnetz ein dahinterleigender Server seine IP inkl dem Subnetz wechselt?? Was soll denn das sein? ein Aufgabe? eine Idee? oder lief das schon mal? Gruss Robert

die ISAKMP policy Nr. 3 findet ein exaktes Gegenstück? Gibts mehr zu sehen mit "debug crypto isakmp"? Hat das schonmal funktioniert, ist das eine neue Konfiguration, können sich andere Geräte einwählen? Für was wird denn das Kennwort abgefragt? fürs VPN?

Ist das Easy-VPN? Ist der 836 der Client? so ins Blaue - könnte auch gut das falsche Passwort sein .. Gruss Robert PS: noch ne Idee: "show crypto isakmp policy" -> pre-shared keys gehen nur mit Diffie-Hellman Group 2 ..

den hier? -> http://www.cisco.com/univercd/cc/td/doc/cisintwk/idg4/nd2002.htm

.. mein PIX Buch von Ende 2004 (ISBN 1587201232 S.320) listet den 836 auch nicht als Easy VPN Server auf - sehe ich gerade ...

Hi Thomas, vielleicht meinte dein Bekannter diesen hier: http://www.cisco.com/warp/public/779/largeent/learn/technologies/vpn/vpn_calc/vpnstart.html Gruss Robert

... ich denke mal das hängt haupsächlich von der Art der Protokolle und Anwendungen ab. Der geschilderte Fall von drei Layer2 Switchen hintereinander sollte sicher nicht noch weiter ausgebaut werden. Cisco empfiehlt z.B. in seinem 3-SchichtModell (Core - Distribution - Access) schon auf der Distribution Ebene ein Layer3 Gerät einzusätzen und die VLANs dort zu terminieren. Irgendwie sollte jedenfalls der Broadcast-Verkehr kontrollierbar bleiben. Neuere Layer3 Swicthing Techniken wie CEF sollten auch die Latency/Verzögerung nicht zum Problem werden lassen ... Die zusammengefasste Bandbreite der Endgeräte dürfte doch idR schon die Bandbreite der Access-Switche deutlich übersteigen: 24 oder 48 mal 100Mbit(=2,4/4,8 GBit) auf z.B. 1GBit ist doch mehr als geläufig. Also direkt die Bandbreite der Endgeräte gegen die Kapazität der Backplane zu rechnen wäre sicher zuviel ... Am besten wie von Gerhard empfohlen, sich durch Beobachtung ein möglichst genaues Bild von der Art und Menge deines "Traffic" zu machen und danach die Kapaziztäten zu planen. Gruss Robert

@ Martin: ... meine Literatur und meine PIX läßt mir nur eine Möglichkeit eine ACL an ein Interface anzubinden: in: "pix(config)# access-group 123 in interface outside" als Beispiel, "out" ist nicht möglich. Und Du bist Dir sicher, dass sich diese ACL auch outbound anbinden läßt, wie im Cisco IOS ??? Gruss Robert

also ich würde es mal ohne Easy-VPN versuchen. Die Configuration ist nämlich garnicht so 'easy'. Ein ganz normales IPSec-VPN mit pre-shared keys würde ich zuerst versuchen. Versuchs doch zuerst mal im Lab, ohne NAT, danach mit NAT, und dann im 'for real' .. und dann mal Easy-VPN. Also Windows wird nicht gebraucht, und die 836 sollten das können. Literatur findest du im SECUR Kurs, oder z.B. 'Cisco Router Firewall Security' von Deal (zwar nicht speziell zum Thema VPN sondern allen Security features des IOS - aber mal nen gutes Cisco-Press Buch mit echtem Mehrwert ..) Gruss Robert

... auf Cisco Switchen wird ein VLAN als Voice-VLAN verwandt, und über einen proprietären Trunk an den Switch gebunden: switch(config-if)# switchport voice vlan vlan-id [oder: dot1p|untagged|none] eine Zuordnung üner MAC-Adressen ist das natürlich nicht .. Gruss Robert Cisco Press BCMSN - ISBN1587200775 - S.438 ff

@locuststar: Hatte auch diese nette Überraschung mit dem / in meiner Prüfung. Seitdem habe ich mir auch in der Praxis das 'geteilt' Zeichen auf dem Nummernblock angewöhnt - fa0/0 tippt sich da sowieso blitzschnell teste mal. (immer das positive dran sehen) Dieses 'Slash-Problem' scheint seit mind. einem Jahr zu bestehen, hatte damals auch nachgefragt und mein Leid geklagt ... Gruss Robert

wenn innerhalb eines VLANs ACLs zum einsatz kommen sollen, müssen VlanACLs eingesetzt werden. Diese werden ähnlich wie Route-Maps konfiguriert und eingesetzt. Private VLANs wäre auch ein Möglichkeit Cisco Press: Buch CCNP/BCMSN S 473 ff Gruss Robert

Hallo Mike für dein Kabelproblem kommt doch eh nur ein Kabel in Frage; seriell DCE/DTE und zwar mit den Anschlüssen die Deine Router besitzen (DB60 nehm ich an) - sind doch eigentlich immer bei Ebay zu finden. Also DB60-DB60. 2) eine zeitliche Beschränkung zwischen Teilprüfungen besteht idR nicht - es sei denn Anforderungen an ein Zertifikat werden geändert, und die Prüfungsanforderungen laufen nach einer Übergangsfrist aus. Die Rezertifizierungsfrist läuft erst bei bestehen der letzten Teilprüfung. Gruss Robert

bereite mich selbst gerade vor - zumindest die Simulationen sollen nicht so wild sein. Berichte doch mal wie's war (also ohne verletzen des 'NDA' natürlich) ... müssen wir uns ja ranhalten, letzte Buchung der Prüfung: 19.12. wenn ichs richtig gelesen habe .. Gruss Robert