Wordo

OK, bei diesem Szenario muss die FW nicht trunken. Du hast das hier so vermittelt, als wuerdest du unbedingt die VLANs untereinander mit der Firewall trennen wollen.

Dann passt alles wie du geschrieben hast ...

4 VLANs, fuer jedes VLAN am Switch ne IP, fertig.

Du willst Routing und Firewalling, wenn der Switch routet, gehen die Pakete nicht an der Firewall vorbei, also muss die Firewall routen, dazu muss sie aber trunken koennen und der switch muss nur switchen.

Einfacher kann ichs leider nicht erklaeren ..

Wenn die Phion das auch nicht kann kannst es vergessen ...

Was fuer eine Firewall willst du einsetzen? Wenn du trunkt, dann gib der Firewall die 4 IPs und fertig.

Wenn du den Trunk an der Firewall hast, muss die natuerlich auch trunken koennen. Wenn du dieser dann noch die ganzen IPs gibst braucht sie der Switch nicht.

Wenn du auf dem Switch jedem VLAN ne IP gibst und da Routing aktiviert ist/wird, laufen die Pakete nicht an der Firewall vorbei.

Wenn du die CCNA-Unterlagen noch hast, lies dir mal den IP-Part und das OSI Schichtenmodell durch, dann verstehst du es bestimmt besser :)

Du willst von LAN Router A eine SSH-Verbindung auf einen Rechner im LAN von Router B herstellen? Geht problemlos, IPSec interessiert nicht was durch den Tunnel geht ...

Da muss ich meinem Vorredner recht geben

 

[...]

 

Wieviel Sinn es nun macht zu überlegen bzw. herauszufinden ob 1bit nun bei einem 100Mbit Netzwerk schneller ankommt also bei einem 1Gbit finde ich etwas unsinnig - wsl gleichschnell, da im Endeffekt die Ausbreitungsgeschwindigkeit in Kupfer nahezu Lichtgeschwindigkeit ist.

Du gibst ihm recht indem du ihm widersprichst? :confused: :D

Also ich find die Diskussion interessant da mir als Nichtinformatikstudent der Background fehlt.

ip nat inside source list 175 interface FastEthernet0/0 overload

Die Zeile aktiviert schon das NAT, der Pool drueber ist nicht noetig, ausserdem kommt er in deiner Config nirgends vor ;)

Das sollte gerade reichen, nat pool wirste nicht brauchen, wenn du FA0/0 beider Router miteinander Cross verbindest sind die in unterschiedlichen Netzen. Wenn du aber dazwischen noch ein Geraet hast wuerde auch nur die Defaultroute auf beiden Routern reichen.

Bestimmt nicht, hab den Test auch nie gemacht oder mich drauf vorbereitet, aber den Certification Guide hab ich hier rumstehn :)

Ich glaub mich zu erinnern das hier sich mal einer beschwert hat weil im BSCI Test so viele IPv6-Fragen dran gekommen sind und die nicht im Braindump waren :D

Da fehlt aber noch IPv6!

Lass dich nicht von den 56 irritieren, die koennen den genauen Speed nicht automatisch auslesen und ab das jetzt Vi1 oder Vi2 ist macht auch nix :)

Findest du? Ich weiss nicht ob ich nach 2 vermasselten Pruefungen noch genauso motiviert waere fuer die 2 naechsten wie davor. Andererseits ist natuerlich mehr Stoff im Kurzzeitgedaechtnis. :D

Interessante Frage, hab mal in die Runde gefragt:

Da Gigabit im hoeheren Frequenzbereich Daten verschickt muessten die Pakete schneller ankommen, aber nicht mal 10.

Ich google bei Gelegenheit auch mal bisschen rum :)

Egoaufpoliererwichtigmachersignaturen :D

Ich glaub was du beim CCNA gelernt hast war das da:

Carrier Sense Multiple Access ? Wikipedia

9.6 µs bei 10-Mbps-Ethernet, 960 ns bei 100-Mbps-Fast-Ethernet und 96 ns bei 1000 Mbps

Viel wichtiger ist die Frage wieviele Mitarbeiter hat das Unternehmen, wieviele Server, und auf wieviele Zimmer verteilt. Wenn du 20 8-Port Switche einsetzt brauchst du erst garnicht mit Nanohastenichtgesehnwerten ankommen ;)

Einfach akzeptieren, ich versuchs auch dauernd auszureden, ich zeig den Leuten auch mit Cacti das die Ports nie ueber 10Mbit kommen, egal, jeder will 1000 .. und mit Nanohastenichtgesehn wirst es ihm auch nicht ausreden koennen :D

Ah ja, noch was technisches, der Catalyst kann 1000, das macht der in Hardware, die CPU juckt das null.

Ich wuerde auf den Loop verzichten und beide LBs ab beide Switche haengen. Das unterstuetzen die NICs der LBs mit Sicherheit, sonst haetten sie keine 2 NICs. ESX und Konsorten machen es ja auch nicht anders :)

War das nicht der AnyConnect Client?

Oh ok ... dann mal ein paar Facts:

- IPSec machst du z.B. mit crypto-maps

- In deinem Fall ins GRE nicht noetig

- NAT gibts ueberall im Internet, also hat Cisco auch da ne Loesung:

du definierst in der crypto Config die Netze die verschluesselt werden sollen und machst fuer NAT eine Ausnahme ;)

- Schlimmstenfalls gaebe es noch NAT-T, aber das brauchst du nicht

- Such hier im Board nach 876er Router und crypto-map, da findest du genuegend Beispiele

- Bring erst mal einen IPSec-Tunnel zum laufen und dann mach mit GRE weiter wenn dus unbedingt brauchst

Wo ist IPSec? Das hier ist ein unverschluesselter GRE-Tunnel.

Sind die externen IPs wirklich privat? Ist davor noch ein Router der nattet, oder ist das nur ein Testszenario?

Nochmal die Frage: Gibts einen vernuenftigen Grund fuer GRE?

Ja, du solltest mal schreiben welche IPs Netz A und Netz B haben, welches Netz auf was genattet wird und warum du GRE benoetigst.

EDIT: Und natuerlich der Grund warum genattet werden soll. ;)

Und wozu dann GRE?