mturba

Ja, haben wir - einen 2821. Gruß, Martin

Möglicherweise macht SBS das hier: The Official SBS Blog : Introducing the Connect to the Internet Wizard (CTIW) Aber was auch immer nun diese dubiose Funktion macht, schließe ich mich meinen Vorrednern an: a) diese Funktion braucht man nicht, außer zum Spielen b) ASA 5505/871 sind m.E. für dein anfangs beschriebenes Szenario gut geeignet

Von nem Alice-Anschluss aus geht's: Routenverfolgung zu server.w3hub.org [75.125.185.178] über maximal 30 Abschnitte : 1 1 ms 1 ms 1 ms gate.wgwhm.lan [192.168.26.1] 2 24 ms 22 ms 23 ms lo1.br50.fra.de.hansenet.net [213.191.64.150] 3 22 ms 22 ms 22 ms ae0-251.prju01.fra.de.hansenet.net [62.109.68.16 2] 4 21 ms 22 ms 22 ms fra32-hansenet-3.fra.seabone.net [89.221.34.61] 5 23 ms 23 ms 22 ms decix-fra52-racc2.fra.seabone.net [195.22.211.10 7] 6 22 ms 22 ms 23 ms 94.31.64.169 7 50 ms 50 ms 50 ms ge-2-3-0.mpr2.ams5.nl.above.net [64.125.31.238] 8 44 ms 44 ms 44 ms so-2-0-0.mpr1.lhr2.uk.above.net [64.125.27.177] 9 123 ms 156 ms 122 ms so-0-1-0.mpr1.dca2.us.above.net [64.125.27.57] 10 155 ms 156 ms 156 ms so-1-0-0.mpr3.iah1.us.above.net [64.125.29.37] 11 154 ms 154 ms 154 ms xe-1-1-0.er1.iah1.above.net [64.125.26.222] 12 150 ms 151 ms 150 ms 209.66.99.94.available.above.net [209.66.99.94] 13 154 ms 155 ms 154 ms po2.car05.hstntx1.theplanet.com [207.218.245.18] 14 156 ms 156 ms 157 ms server.w3hub.org [75.125.185.178] Hast du auf deiner PIX in der Outside-ACL echo-reply, time-exceeded und unreachables erlaubt?

Genau! Ganz im Gegensatz zu RIP - dort werden nämlich auch auf einem passive-interface Routing-Updates angenommen, nur keine rausgesendet. Für alle Protokolle gilt aber: die Netze, die in den Routing-Prozess aufgenommen werden, bleiben von "passive-interface" völlig unbeeinflusst.

Mit gefällt Opsview sehr gut. Es verwendet Nagios, hat eine hübsche Weboberfläche, ist leicht zu konfigurieren und integriert noch viele andere nützliche Sachen, z.B. SNMP trap processing und RRDtool. Bin ziemlich zufrieden damit...

Ich denke, um sich erstmal grundlegend in IOS zurecht zu finden, ist eine Software-Emulation (z.B. mit Dynamips oder GNS3) mehr als ausreichend (auch wenn natürlich nichts dagegen spricht, sich 2600er zuzulegen, die kosten nicht die Welt und man hat auch mal echte HW in der Hand gehabt). Woran m.E. kein Weg vorbei geht, sind die Switche (einen 1900er aus meinen CCNA-Zeiten hab ich auch noch hier günstig abzugeben, würd ich aber heutzutage nicht mehr empfehlen). Auch wenn man das ansatzweise mit Dynamips nachbauen kann, gibt es doch Einschränkungen z.B. in Bezug auf MST, L3-Portchannels u.ä.

Könnte das vielleicht einfach eine Teilnahmebescheinigung für eine BCMSN-Schulung gewesen sein? Meines Wissens gibt es für BCMSN alleine keine dazugehörige Zertifizierung.

Hast du mal in der ARP-Table deines Routers nachgeschaut? Dort sollte dann eigentlich die MAC-Adresse des Rechners auftauchen. Und wenn du dann die CAM-Tables deiner Switche verfolgst, solltest du den Port finden können, an dem dieser Rechner angeschlossen ist.

Weil die Accessliste out1 outbound ans outside-Interface gebunden wurde. Somit wird der Verkehr gefiltert, der das outside-Interface verlassen will. Ich vermute, dass du diese Liste eher inbound verwenden wolltest - oder? access-group out1 in interface outside Gruß, Martin

Ich vermute, dass da mit Kosten für die Beschaffung der Images zu rechnen ist. Dem Namen der Images zufolge ist nur der 2801 ohne Änderung des Featuresets in der Lage, SSH zu verwenden (weil "k9" drinsteckt). Genauer kannst du das aber mit dem Cisco Feature Navigator herausfinden: Cisco Feature Navigator - Cisco Systems Ansonsten: einen RSA-Key erzeugen (wie Wordo schon schrieb) lokale Useraccounts anlegen, falls du nicht ohnehin schon AAA verwendest ggf. "ip ssh version 2" konfigurieren, falls du diese Verwendung zwingend vorschreiben willst Den Zugriff auf die vty's auf SSH beschränken: conf t line vty 0 4 transport input ssh Vorher aber unbedingt testen, dass der SSH-Zugriff funktioniert ;) Gruß, Martin

Hast du mal versucht, dir das Zertifikat anzeigen zu lassen, z.B. unter Windows oder unter Linux mit openssl?

Richtig... falls du eine Accessliste am inside-Interface hast, musst du dort ICMP erlauben: access-list acl_inside permit icmp any host a.b.c.d echo Und dann solltest du auch noch den Rückweg in der Accessliste am outside-Interface erlauben: access-list acl_outside permit icmp host a.b.c.d any echo-reply Gruß, Martin

Hm, drei kleine Fehler fallen mir in deinem Kommando auf (könnte natürlich auch vom Abtippen gekommen sein): * nach "crypto map test" sollte eine Sequenznummer folgen, also z.B. "crypto map test 10 ..." * du hast "assosiation" mit "s" (statt "c") geschrieben * in "liftetime" ist ein "t" zuviel Gruß, Martin

Ja, stimmt... ist aber vermutlich nur der Vollständigkeit halber drin (wobei ich es für sinnvoll halten würde). Aber weder im alten noch im neuen Curriculum wird Etherchannel erwähnt...

Zur Zeit bekommt jeder Gast einen Benutzernamen und ein Kennwort. Es ist auch geplant, dass das nach Inbetriebnahme der NAC-Lösung so bleiben wird. Unsere Gäste bekommen bei der Registrierung am Empfang einen Account, der dann für eine bestimmte Zeit gültig ist. Wie funktioniert die Idee mit dem Ticketsystem? Viele Grüße, Martin