mturba

Ja, haben wir - einen 2821. Gruß, Martin

Möglicherweise macht SBS das hier: The Official SBS Blog : Introducing the Connect to the Internet Wizard (CTIW) Aber was auch immer nun diese dubiose Funktion macht, schließe ich mich meinen Vorrednern an: a) diese Funktion braucht man nicht, außer zum Spielen b) ASA 5505/871 sind m.E. für dein anfangs beschriebenes Szenario gut geeignet

Von nem Alice-Anschluss aus geht's: Routenverfolgung zu server.w3hub.org [75.125.185.178] über maximal 30 Abschnitte : 1 1 ms 1 ms 1 ms gate.wgwhm.lan [192.168.26.1] 2 24 ms 22 ms 23 ms lo1.br50.fra.de.hansenet.net [213.191.64.150] 3 22 ms 22 ms 22 ms ae0-251.prju01.fra.de.hansenet.net [62.109.68.16 2] 4 21 ms 22 ms 22 ms fra32-hansenet-3.fra.seabone.net [89.221.34.61] 5 23 ms 23 ms 22 ms decix-fra52-racc2.fra.seabone.net [195.22.211.10 7] 6 22 ms 22 ms 23 ms 94.31.64.169 7 50 ms 50 ms 50 ms ge-2-3-0.mpr2.ams5.nl.above.net [64.125.31.238] 8 44 ms 44 ms 44 ms so-2-0-0.mpr1.lhr2.uk.above.net [64.125.27.177] 9 123 ms 156 ms 122 ms so-0-1-0.mpr1.dca2.us.above.net [64.125.27.57] 10 155 ms 156 ms 156 ms so-1-0-0.mpr3.iah1.us.above.net [64.125.29.37] 11 154 ms 154 ms 154 ms xe-1-1-0.er1.iah1.above.net [64.125.26.222] 12 150 ms 151 ms 150 ms 209.66.99.94.available.above.net [209.66.99.94] 13 154 ms 155 ms 154 ms po2.car05.hstntx1.theplanet.com [207.218.245.18] 14 156 ms 156 ms 157 ms server.w3hub.org [75.125.185.178] Hast du auf deiner PIX in der Outside-ACL echo-reply, time-exceeded und unreachables erlaubt?

Genau! Ganz im Gegensatz zu RIP - dort werden nämlich auch auf einem passive-interface Routing-Updates angenommen, nur keine rausgesendet. Für alle Protokolle gilt aber: die Netze, die in den Routing-Prozess aufgenommen werden, bleiben von "passive-interface" völlig unbeeinflusst.

Mit gefällt Opsview sehr gut. Es verwendet Nagios, hat eine hübsche Weboberfläche, ist leicht zu konfigurieren und integriert noch viele andere nützliche Sachen, z.B. SNMP trap processing und RRDtool. Bin ziemlich zufrieden damit...

Ich denke, um sich erstmal grundlegend in IOS zurecht zu finden, ist eine Software-Emulation (z.B. mit Dynamips oder GNS3) mehr als ausreichend (auch wenn natürlich nichts dagegen spricht, sich 2600er zuzulegen, die kosten nicht die Welt und man hat auch mal echte HW in der Hand gehabt). Woran m.E. kein Weg vorbei geht, sind die Switche (einen 1900er aus meinen CCNA-Zeiten hab ich auch noch hier günstig abzugeben, würd ich aber heutzutage nicht mehr empfehlen). Auch wenn man das ansatzweise mit Dynamips nachbauen kann, gibt es doch Einschränkungen z.B. in Bezug auf MST, L3-Portchannels u.ä.

Könnte das vielleicht einfach eine Teilnahmebescheinigung für eine BCMSN-Schulung gewesen sein? Meines Wissens gibt es für BCMSN alleine keine dazugehörige Zertifizierung.

Hast du mal in der ARP-Table deines Routers nachgeschaut? Dort sollte dann eigentlich die MAC-Adresse des Rechners auftauchen. Und wenn du dann die CAM-Tables deiner Switche verfolgst, solltest du den Port finden können, an dem dieser Rechner angeschlossen ist.

Weil die Accessliste out1 outbound ans outside-Interface gebunden wurde. Somit wird der Verkehr gefiltert, der das outside-Interface verlassen will. Ich vermute, dass du diese Liste eher inbound verwenden wolltest - oder? access-group out1 in interface outside Gruß, Martin

Ich vermute, dass da mit Kosten für die Beschaffung der Images zu rechnen ist. Dem Namen der Images zufolge ist nur der 2801 ohne Änderung des Featuresets in der Lage, SSH zu verwenden (weil "k9" drinsteckt). Genauer kannst du das aber mit dem Cisco Feature Navigator herausfinden: Cisco Feature Navigator - Cisco Systems Ansonsten: einen RSA-Key erzeugen (wie Wordo schon schrieb) lokale Useraccounts anlegen, falls du nicht ohnehin schon AAA verwendest ggf. "ip ssh version 2" konfigurieren, falls du diese Verwendung zwingend vorschreiben willst Den Zugriff auf die vty's auf SSH beschränken: conf t line vty 0 4 transport input ssh Vorher aber unbedingt testen, dass der SSH-Zugriff funktioniert ;) Gruß, Martin

Hast du mal versucht, dir das Zertifikat anzeigen zu lassen, z.B. unter Windows oder unter Linux mit openssl?

Richtig... falls du eine Accessliste am inside-Interface hast, musst du dort ICMP erlauben: access-list acl_inside permit icmp any host a.b.c.d echo Und dann solltest du auch noch den Rückweg in der Accessliste am outside-Interface erlauben: access-list acl_outside permit icmp host a.b.c.d any echo-reply Gruß, Martin

Hm, drei kleine Fehler fallen mir in deinem Kommando auf (könnte natürlich auch vom Abtippen gekommen sein): * nach "crypto map test" sollte eine Sequenznummer folgen, also z.B. "crypto map test 10 ..." * du hast "assosiation" mit "s" (statt "c") geschrieben * in "liftetime" ist ein "t" zuviel Gruß, Martin

Ja, stimmt... ist aber vermutlich nur der Vollständigkeit halber drin (wobei ich es für sinnvoll halten würde). Aber weder im alten noch im neuen Curriculum wird Etherchannel erwähnt...

Zur Zeit bekommt jeder Gast einen Benutzernamen und ein Kennwort. Es ist auch geplant, dass das nach Inbetriebnahme der NAC-Lösung so bleiben wird. Unsere Gäste bekommen bei der Registrierung am Empfang einen Account, der dann für eine bestimmte Zeit gültig ist. Wie funktioniert die Idee mit dem Ticketsystem? Viele Grüße, Martin

Hast du's mal direkt im ROMMON versucht? Trotzdem komisch, hab noch nie nen Switch erlebt, bei dem dieses Kommando nicht verfügbar gewesen wäre... gibt's evtl. ähnliche Befehle? Mit der Hardware-Adresse hat das nix zu tun...

Ja, das geht... zur Zeit setzen wir noch das Proxy-Authentication-Feature der ASA ein, um den Internetzugang aus den Gästenetzen zu regulieren. Unter anderem zu diesem Zweck (Gästezugang) soll aber dann die Cisco NAC-Lösung eingesetzt werden.

Hi, da kann ich mich nur anschließen, zumindest Anfang 2004 wars auch schon kein Thema mehr... ich kam mit Etherchannels erstmals bei der BCMSN in Kontakt.

Wie sieht denn deine Konfiguration aktuell aus? Poste mal bitte ein "show running-config" (ohne Passwörter) und ein "show flash"...

Hi, versuch mal das das configuration register auf 0x2102 zu setzen, entweder direkt im ROMMON mit confreg 0x2102 oder im Configuration-Mode mit conf t config-register 0x2102 Gruß, Martin

Hi, ...mit BPDUGuard kannst du verhindern, dass ein Switch betrieben wird, der Spanning Tree verwendet. Damit kannst du nicht verhindern, dass Hubs oder billige Switche betrieben werden, die kein Spanning Tree können. Ein Hub oder ein Billig-Switch können BPDUs weiterleiten (tun sie auch), sie senden aber selbst keine aus. ...mit Port-Security kannst du in gewissem Maß verhindern, dass irgendwo Switche betrieben werden, da du nur eine bestimmte Anzahl MAC-Adressen an einem Port zulässt. Ja, wir haben einen Cisco NAC-Server im Testbetrieb, ist aber zur Zeit noch nicht produktiv...

Ja, genau...

Mit BPDUGuard kannst du erreichen, dass ein Port in den errdisable-Status wechselt, sobald er BPDUs von einem anderen Switch an einem Port empfängt, an dem PortFast aktiviert ist. Das hilft leider nicht gegen extrem günstige Switche (oder Hubs), die kein Spanning Tree verwenden.

Möglicherweise hilft es, mal im Logging zu schauen, ob die PIX auf der Gegenstelle mit irgendwas geblockt wird. Ich hätte jetzt gesagt, du solltest noch "isakmp nat-traversal" auf der PIX konfigurieren, aber das ist ja offensichtlich schon passiert, sonst würds mit dem Standard DSL-Router ja auch nicht funktionieren.

Da du PAT über dein Outside-Interface machst, solltest du noch isakmp nat-traversal konfigurieren und deinem Client sagen, dass er Transparent Tunneling over UDP machen soll.