Wordo

Was hast du denn genau eingegeben? Wenns nur ums default gateway geht probier ip default-gatway <ip> statt ip route 0.0.0.0 ...

evtl "sh int status", siehst halt ob auf half/full duplex, wenn nicht fest konfiguriert ..

Ja, nennt sich Zebra (alt) oder Quagga (Weiterentwicklung von Zebra). Ich hab 2 Kisten mit Quagga am laufen (BGP-Peers), weil Cisco fuer n kleines Unternehmen unbezahlbar waer in der Groessenordnung.

Dann post von dem einen Router (Cisco) die Konfiguration und von der Linux n tcpdump auf beiden Interfaces, dann siehste schon wie weit die Pakete kommen ..

Habs bei ner 836 (ADSL) und ner 831 (hinter 2Mbit SDSL) ohne Probleme am laufen (QoS unkonfiguriert) ... sind eigentlich auch keine weiteren Probleme bekannt.

Beim CCNA kommt doch auch ISDN dran, da kanns dir doch nur recht sein dass da ein BRI drin ist. Man kanns natuerlich deaktivieren ...

Cisco TFTP Server 1.0 oder den von SolarWinds ...

•DoS prevention—To prevent a host from opening many invalid connections, a secondary channel is not created if there is an existing incomplete connection between the two hosts. This restriction dictates a client can spoof at most one request. •Penetration prevention—When TFTP request a read or write request, a secondary channel must be opened, and traffic using the secondary channel must be initiated from the server. This restriction prevents the client from creating the secondary connection and then using that connection. Probier mal einen anderen TFTP Server, deiner verhaelt sich vielleicht "falsch" beim oeffnen des 2ten Channels. EDIT: Sorry ... hier noch der Quellenverweis: http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_book09186a0080172852.html Unter Punkt "fixup" stehts.

aber bitte nicht blind die billigsten Buecher bestellen. Kann auch sein dass du dann ne Ausgabe bekommst die hauptsaechlich IPX behandelt :D

... und vertrau bitte nie der <old>Telekom</old> .. ein Provider der ohne Vorankuendigung Leitungsarbeiten durchfuehrt (auch bis 100Mbit Standleitungen) ist hoechst unprofessionell.

Specifically, the fixup inspects TFTP read request (RRQ), write request (WRQ), and error notification (ERROR). Die PIX schaut in den o.g. requests z.B. nach verdaechtigen Strings und blockt sie. Nach was genau sie sucht weiss ich nicht, koennte mir vorstellen dass z.B. Leerzeichen im Dateinamen auch nicht erlaubt sind ...

fixup protocol tftp PIX Firewall Version 6.3(2) introduced application inspection for Trivial File Transfer Protocol (TFTP). The default port is 69. Use the port-port option to apply TFTP application inspection to a range of port numbers. The PIX Firewall inspects TFTP traffic and dynamically creates connections and translations, if necessary, to permit file transfer between a TFTP client and server with the fixup protocol tftp command. Specifically, the fixup inspects TFTP read request (RRQ), write request (WRQ), and error notification (ERROR). A dynamic secondary channel and a PAT translation, if necessary, are allocated on a reception of a valid read (RRQ) or write (WRQ) request. This secondary channel is subsequently used by TFTP for file transfer or error notification. Only the TFTP server can initiate traffic over the secondary channel, and at most one incomplete secondary channel can exist between the TFTP client and server. An error notification from the server closes the secondary channel. http://www.cisco.com/en/US/customer/products/sw/secursw/ps2120/products_command_reference_chapter09186a00801727a8.html#wp1067379

Log dich auf dem Switch ein und schau, ob die Karte in der Konfiguration gelistet wird.

Fuer Telnet spielt die Entfernung keine Rolle :D Immernoch dasselbe Problem? Konfiguration da?

Speicher die Konfiguration ab, dann mit "write erease" (oder so aehnlich) die Konfiguration loeschen und neu starten. Dann hast du eine Minimalkonfiguration. Du hast aber noch keine Logs gepostet, das wuerde mit Sicherheit weiterhelfen. Vielleicht haste dich auch nur bei der IP oder Subnet vertippt? Schau mal in deinem ARP-Cache ob die PIX da drin is (und umgekehrt auch).

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_70/index.htm da sind die release notes ... (7.1 gibts auch schon) :D

Gabs bei PIX nicht noch diesen "conduit" Befehl? Ansonsten solltest du mal das Logging aktivieren und dann mal in den Logs schaun was genau geblockt wird

Vielleicht passt die MTU noch nicht so ganz. Keine Ahnung wie das bei Kabelmodem so ist, stell doch mal 1400 ein und ip tcp adjust-mss auf 1300, wenns besser geht dann nach oben anpassen, die Werte sind schon etwas niedrig.

Bin zwar nich so der PIX Experte aber ich glaub er meint: access-group acl_in in interface inside access-list acl_in permit icmp any any access-list acl_in permit icmp any any echo-reply Koennt n Dreher in der access-group drin sein .. EDIT: das echo-reply ist bestimmt ueberfluessig ...

Eben, deswegen wuerde ich den Rechner in alle 4 VLAN's haengen und das Forwarding deaktivieren.

http://www.nwlab.net/tutorials/cisco/port-mirroring-2900-3500.html Beim 2900XL ist das wohl auf die VLAN's intern beschraenkt. Vielleicht solltest du dem Snortrechner 4 Netzwerkkarten einbaun ;) ( und Forwarding deaktivieren :D )

dann suchste halt bei amazon.de ... http://www.amazon.de/exec/obidos/ASIN/3827257999/

So, jetzt hab ich mich mal bisschen informiert, also: "Ich schalte SPT nicht ab, sondern definiere per global configuration alle Ports per default als portfast. Waere es in diesem Fall ratsam BPDU Guard zu aktivieren?" JA "Ist es prinzipiell sinnvoll den BPDU Guard auf portfast Ports zu aktivieren?" JA "Andererseits, was wuerde passieren, wenn ein Port auf portfast steht und jemand einen Hub anschliesst? Wuerde der BPDU Guard dann den Port abschalten?" JA (disablen, nicht "nur" blocken) "Wuerde durch den Anschluss des Hubs (oder eines Switches) ein Loop entstehen?" NEIN, weil der BPDU Guard den Port disabled Hier noch ein paar Schnippsel dazu (aus der 2950 Doku): Port Fast immediately brings an interface configured as an access port to the forwarding state from a blocking state, bypassing the listening and learning states. You can use Port Fast on access ports connected to a single workstation or server, as shown in Figure 9-4, to allow those devices to immediately connect to the network, rather than waiting for STP to converge. If the interface receives a BPDU, which should not happen if the interface is connected to a single workstation or server, STP puts the port in the blocking state. An interface with Port Fast enabled goes through the normal cycle of STP status changes when the switch is restarted. [...] When the BPDU guard feature is enabled on the switch, STP shuts down Port Fast-enabled interfaces that receive BPDUs rather than putting them into the blocking state. In a valid configuration, Port Fast-enabled interfaces do not receive BPDUs. Receipt of a BPDU by a Port Fast-enabled interface means an invalid configuration, such as the connection of an unauthorized device, and the BPDU guard feature places the interface into the ErrDisable state. The BPDU guard feature provides a secure response to invalid configurations because you must manually put the interface back in service.

http://www.certificationsuccess.com/CSS-1-Cisco-Security-Specialist-1-certification.html

327 input errors, 120 CRC, 167 frame, 33 overrun, 7 ignored 7 output errors, 66714 collisions, 6 interface resets Stell mal auf Full-Duplex und schau immer wieder mal mit sh int eth0 ob sich die Counter fuer die Errors erhoehen.