mturba

Ja, haben wir - einen 2821.

Gruß,

Martin

Möglicherweise macht SBS das hier:

The Official SBS Blog : Introducing the Connect to the Internet Wizard (CTIW)

Aber was auch immer nun diese dubiose Funktion macht, schließe ich mich meinen Vorrednern an:

a) diese Funktion braucht man nicht, außer zum Spielen

b) ASA 5505/871 sind m.E. für dein anfangs beschriebenes Szenario gut geeignet

Von nem Alice-Anschluss aus geht's:

Routenverfolgung zu server.w3hub.org [75.125.185.178] über maximal 30 Abschnitte
:

 1     1 ms     1 ms     1 ms  gate.wgwhm.lan [192.168.26.1]
 2    24 ms    22 ms    23 ms  lo1.br50.fra.de.hansenet.net [213.191.64.150]
 3    22 ms    22 ms    22 ms  ae0-251.prju01.fra.de.hansenet.net [62.109.68.16
2]
 4    21 ms    22 ms    22 ms  fra32-hansenet-3.fra.seabone.net [89.221.34.61]

 5    23 ms    23 ms    22 ms  decix-fra52-racc2.fra.seabone.net [195.22.211.10
7]
 6    22 ms    22 ms    23 ms  94.31.64.169
 7    50 ms    50 ms    50 ms  ge-2-3-0.mpr2.ams5.nl.above.net [64.125.31.238]

 8    44 ms    44 ms    44 ms  so-2-0-0.mpr1.lhr2.uk.above.net [64.125.27.177]

 9   123 ms   156 ms   122 ms  so-0-1-0.mpr1.dca2.us.above.net [64.125.27.57]
10   155 ms   156 ms   156 ms  so-1-0-0.mpr3.iah1.us.above.net [64.125.29.37]
11   154 ms   154 ms   154 ms  xe-1-1-0.er1.iah1.above.net [64.125.26.222]
12   150 ms   151 ms   150 ms  209.66.99.94.available.above.net [209.66.99.94]

13   154 ms   155 ms   154 ms  po2.car05.hstntx1.theplanet.com [207.218.245.18]

14   156 ms   156 ms   157 ms  server.w3hub.org [75.125.185.178]

Hast du auf deiner PIX in der Outside-ACL echo-reply, time-exceeded und unreachables erlaubt?

Genau! Ganz im Gegensatz zu RIP - dort werden nämlich auch auf einem passive-interface Routing-Updates angenommen, nur keine rausgesendet. Für alle Protokolle gilt aber: die Netze, die in den Routing-Prozess aufgenommen werden, bleiben von "passive-interface" völlig unbeeinflusst.

Mit gefällt Opsview sehr gut. Es verwendet Nagios, hat eine hübsche Weboberfläche, ist leicht zu konfigurieren und integriert noch viele andere nützliche Sachen, z.B. SNMP trap processing und RRDtool. Bin ziemlich zufrieden damit...

Ich denke, um sich erstmal grundlegend in IOS zurecht zu finden, ist eine Software-Emulation (z.B. mit Dynamips oder GNS3) mehr als ausreichend (auch wenn natürlich nichts dagegen spricht, sich 2600er zuzulegen, die kosten nicht die Welt und man hat auch mal echte HW in der Hand gehabt).

Woran m.E. kein Weg vorbei geht, sind die Switche (einen 1900er aus meinen CCNA-Zeiten hab ich auch noch hier günstig abzugeben, würd ich aber heutzutage nicht mehr empfehlen). Auch wenn man das ansatzweise mit Dynamips nachbauen kann, gibt es doch Einschränkungen z.B. in Bezug auf MST, L3-Portchannels u.ä.

Könnte das vielleicht einfach eine Teilnahmebescheinigung für eine BCMSN-Schulung gewesen sein? Meines Wissens gibt es für BCMSN alleine keine dazugehörige Zertifizierung.

Hast du mal in der ARP-Table deines Routers nachgeschaut? Dort sollte dann eigentlich die MAC-Adresse des Rechners auftauchen. Und wenn du dann die CAM-Tables deiner Switche verfolgst, solltest du den Port finden können, an dem dieser Rechner angeschlossen ist.

Weil die Accessliste out1 outbound ans outside-Interface gebunden wurde. Somit wird der Verkehr gefiltert, der das outside-Interface verlassen will. Ich vermute, dass du diese Liste eher inbound verwenden wolltest - oder?

access-group out1 in interface outside

Gruß,

Martin

Ich vermute, dass da mit Kosten für die Beschaffung der Images zu rechnen ist. Dem Namen der Images zufolge ist nur der 2801 ohne Änderung des Featuresets in der Lage, SSH zu verwenden (weil "k9" drinsteckt). Genauer kannst du das aber mit dem Cisco Feature Navigator herausfinden:

Cisco Feature Navigator - Cisco Systems

Ansonsten:

• einen RSA-Key erzeugen (wie Wordo schon schrieb)

• lokale Useraccounts anlegen, falls du nicht ohnehin schon AAA verwendest

• ggf. "ip ssh version 2" konfigurieren, falls du diese Verwendung zwingend vorschreiben willst

• Den Zugriff auf die vty's auf SSH beschränken:
  

conf t
 line vty 0 4
 transport input ssh

Vorher aber unbedingt testen, dass der SSH-Zugriff funktioniert ;)

Gruß,

Martin

Hast du mal versucht, dir das Zertifikat anzeigen zu lassen, z.B. unter Windows oder unter Linux mit openssl?

[...] aber ich würds mal mit eine ACL versuchen

Richtig... falls du eine Accessliste am inside-Interface hast, musst du dort ICMP erlauben:

access-list acl_inside permit icmp any host a.b.c.d echo

Und dann solltest du auch noch den Rückweg in der Accessliste am outside-Interface erlauben:

access-list acl_outside permit icmp host a.b.c.d any echo-reply

Gruß,

Martin

"crypto map test set security-assosiation liftetime seconds 3600" funktioniert nicht kennt er nicht.

Hm, drei kleine Fehler fallen mir in deinem Kommando auf (könnte natürlich auch vom Abtippen gekommen sein):

* nach "crypto map test" sollte eine Sequenznummer folgen, also z.B. "crypto map test 10 ..."

* du hast "assosiation" mit "s" (statt "c") geschrieben

* in "liftetime" ist ein "t" zuviel

Gruß,

Martin

Ja, stimmt... ist aber vermutlich nur der Vollständigkeit halber drin (wobei ich es für sinnvoll halten würde).

Aber weder im alten noch im neuen Curriculum wird Etherchannel erwähnt...

Zur Zeit bekommt jeder Gast einen Benutzernamen und ein Kennwort. Es ist auch geplant, dass das nach Inbetriebnahme der NAC-Lösung so bleiben wird. Unsere Gäste bekommen bei der Registrierung am Empfang einen Account, der dann für eine bestimmte Zeit gültig ist.

Wie funktioniert die Idee mit dem Ticketsystem?

Viele Grüße,

Martin

Hast du's mal direkt im ROMMON versucht? Trotzdem komisch, hab noch nie nen Switch erlebt, bei dem dieses Kommando nicht verfügbar gewesen wäre... gibt's evtl. ähnliche Befehle?

das gibt die Hardware-Adresse an, ab der ein Programm (in dem Fall das IOS im Flash) gestartet werden soll.

Mit der Hardware-Adresse hat das nix zu tun...

Ja, das geht...

zur Zeit setzen wir noch das Proxy-Authentication-Feature der ASA ein, um den Internetzugang aus den Gästenetzen zu regulieren. Unter anderem zu diesem Zweck (Gästezugang) soll aber dann die Cisco NAC-Lösung eingesetzt werden.

Hi,

Etherchannel ist sicher kein CCNA Thema, dazu habe ich nichts im Curriculum gefunden.

da kann ich mich nur anschließen, zumindest Anfang 2004 wars auch schon kein Thema mehr... ich kam mit Etherchannels erstmals bei der BCMSN in Kontakt.

Wie sieht denn deine Konfiguration aktuell aus? Poste mal bitte ein "show running-config" (ohne Passwörter) und ein "show flash"...

Hi,

versuch mal das das configuration register auf 0x2102 zu setzen, entweder direkt im ROMMON mit

confreg 0x2102

oder im Configuration-Mode mit

conf t
config-register 0x2102

Gruß,

Martin

Hi,

also das mit BPDUGuard und Port-Security hört sich nach einer tollen Kombination an. Damit kann ja auch verhindert werden das ein Hub oder billig Switch illegalerweise betrieben wird. Habe ich das richtig verstanden das ein Hub oder billig Switch keine BPDU Pakete weiter transportieren kann?

...mit BPDUGuard kannst du verhindern, dass ein Switch betrieben wird, der Spanning Tree verwendet. Damit kannst du nicht verhindern, dass Hubs oder billige Switche betrieben werden, die kein Spanning Tree können. Ein Hub oder ein Billig-Switch können BPDUs weiterleiten (tun sie auch), sie senden aber selbst keine aus.

...mit Port-Security kannst du in gewissem Maß verhindern, dass irgendwo Switche betrieben werden, da du nur eine bestimmte Anzahl MAC-Adressen an einem Port zulässt.

Der nächste Schritt in Richtung Sicherheit wäre dann wohl noch einen Cisco NAC Server einzusetzen. Hat sowas schon jemand im Einsatz?

Ja, wir haben einen Cisco NAC-Server im Testbetrieb, ist aber zur Zeit noch nicht produktiv...

mit "spanning-tree portfast bpduguard " aktiviert mans generell und das zieht dann auf allen Ports wo man portfast aktiviert ?

Ja, genau...

Mit BPDUGuard kannst du erreichen, dass ein Port in den errdisable-Status wechselt, sobald er BPDUs von einem anderen Switch an einem Port empfängt, an dem PortFast aktiviert ist. Das hilft leider nicht gegen extrem günstige Switche (oder Hubs), die kein Spanning Tree verwenden.

Möglicherweise hilft es, mal im Logging zu schauen, ob die PIX auf der Gegenstelle mit irgendwas geblockt wird. Ich hätte jetzt gesagt, du solltest noch "isakmp nat-traversal" auf der PIX konfigurieren, aber das ist ja offensichtlich schon passiert, sonst würds mit dem Standard DSL-Router ja auch nicht funktionieren.

Da du PAT über dein Outside-Interface machst, solltest du noch

isakmp nat-traversal

konfigurieren und deinem Client sagen, dass er Transparent Tunneling over UDP machen soll.