mturba

Eine Zugriffsbeschränkung auf MAC-Adressenebene ist meines Wissens mit der PIX501 nicht möglich.

Das liegt vermutlich an der Bearbeitungungsreihenfolge eines Cisco-Routers - ERST wird die Accessliste ausgewertet, dann passiert die NAT-Translation. Das heißt, du kannst in deiner Outside-Accessliste nicht deine inside local-Adresse angeben. Siehe: NAT Order of Operation [iP Addressing Services] - Cisco Systems

Oh wow, teurer geworden... hatte mich an der Cisco-Webseite orientiert (da standen 1250$) und den entsprechenden aktuellen Gegenwert in Euro angegeben. Aber ich wünsch dir schonmal viel Erfolg dort! Dass es nen CCIE Written beta gibt hab ich gesehn, ist aber momentan noch zu hart für mich, so weit bin ich noch nicht... ;) Gruß, Martin

Die CCNA-Prüfung ist auch auf deutsch verfügbar, alle CCNP-Prüfungen zur Zeit nur auf Englisch, zumindest bei Prometric. Ich gehe mal davon aus, dass das bei Vue ähnlich aussehen wird. Alle Associate- und Professional-Level-Prüfungen kosten 126 EUR. Die schriftliche CCIE R&S-Prüfung kostet 252 EUR. Das einzige CCIE-Lab in Europa ist in Brüssel. Ein Versuch dort kostet ca. 960 EUR ohne Anreise und Unterkunft. Vorteile bei der Bewertung der Aufgaben gibt es meines Wissens überhaupt keinen. Allerdings hat man, wenn man die Prüfung auf Englisch schreibt, immer eine halbe Stunde mehr Zeit als angegeben, was mir schon in so mancher Prüfung zugute gekommen ist, da die Zeit für die Fülle an Aufgaben doch meist sehr knapp kalkuliert ist.

Wooow, das sieht sehr vielversprechend aus! Der Beschreibung nach macht das ja genau das, was er sucht... eingesetzt hab ich das allerdings noch nie - wusste nicht mal, dass es so ein cooles Feature gibt! Hab grad mal im Feature Navigator geschaut, laut Cisco können das erst die 1700er oder die 830er bzw. 870er, die 1600er allerdings nicht. Aber probieren kann man's ja trotzdem mal...

Hi, der Port dürfte trotzdem nicht offen sein. "http redirect" sorgt nur dafür, dass auf 80/tcp ankommende Requests auf HTTPS umgeleitet werden. Cisco sagt dazu aber explizit: Quelle: Cisco Security Appliance Command Reference, Version 7.2 - gateway through hw-module module shutdown Commands [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems Ich werd das mal nächste Woche an ner ASA von uns ausprobieren, die auch mit 7.2(2) läuft...

Ich wiederhole hier nochmal kurz, da ich auf dieses Problem ja schon geantwortet habe, allerdings in einem anderen Forum. Ich bin der Meinung, dass dieses Szenario nicht mit statischem Routing zu lösen ist. Damit der 1600er feststellen kann, ob eine Route verfügbar ist oder nicht, gibt es zwei Möglichkeiten: 1. Die Nachbarrouter sind unmittelbar am 1600er angeschlossen, so dass das Interface physikalisch down geht. Damit verschwindet dann auch die Route aus der Routingtabelle. 2. Die Nachbarrouter (und der 1600er) verwenden ein dynamisches Routingprotokoll wie z.B. OSPF. Dadurch, dass die Router nun gegenseitig HELLO-Pakete austauschen, kann der Ausfall eines der beiden Router auch dann festgestellt werden, wenn sie nicht direkt am 1600er angeschlossen sind. Eine weitere Möglichkeit, die gewünschte Redundanz zu realisieren, wäre die Verwendung eines Hot-Standby-Protokolls wie z.B. VRRP gewesen, welches aber von den beiden DSL-Routern, wie du schon sagtest, leider nicht unterstützt wird. Die Lösung mit Floating Static Routing, wie auch schon vorgeschlagen wurde, wird hier auch nicht funktionieren, weil keine der beiden statischen Routen verschwinden wird (vom oben angeführten ersten Fall abgesehen, dann wäre das möglich), der Router sich also entsprechend IMMER für die Route mit der geringeren administrativen Distanz entscheidet, unabhängig davon, ob der Router tatsächlich erreichbar ist oder nicht. Was mir auch auffällt: Gibt es gute Gründe, für die Client-PCs im LAN offizielle IP-Adressen zu verwenden? Gruß, Martin

Das bedeutet, dass in deiner Konfiguration nicht angegeben ist, welches Image der Router booten soll, z.B. mit: boot system flash c800-k9nosy6-mw.12.3-21.bin Wenn nichts angegeben ist, bootet er einfach das erste IOS-Image, was er findet...

Ich bin der Meinung, von 1.2.18.13, wenn man davon ausgeht, dass int-lan das Interface mit dem höheren Securitylevel ist, da bei Cisco unter Message 302014 (schätze mal, das wurde in dem Syslog-Auszug aus irgendeinem Grund auf 123456 geändert) dazu steht: TCP Reset-I: Reset was from the inside. Quelle: Cisco Security Appliance System Log Messages, Version 7.2 - System Log Messages [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

Man kann den 1130 in zwei verschiedenen Modi verwenden - entweder im Lightweight Mode und im Autonomous Mode. Wenn der Accesspoint im Lightweight Mode ist, kann er nur von einem entsprechenden Wireless-Controller konfiguriert werden, nicht aber per Webinterface oder CLI. Quelle: Access Points Converted to Lightweight Mode Provide Read-Only Console Port Bei dem eingesetzten Release 12.3(11)JX1 handelt es sich um eine IOS-Version für den Betrieb des 1130 im Lightweight Mode. Alle Versionen, die auf "JX" enden, sind Lightweight-Versionen, für den Betrieb im Autonomous Mode wird eine Version benötigt, die z.B. auf "JA" endet. Konvertieren in Autonomous Mode: Reverting from Lightweight Mode to Autonomous Mode Allgemeine Release-Notes für die Version 12.3(11)JX1: Release Notes for Cisco Aironet 1100, 1130, 1200, 1230, 1240, and 1300 Series Access Points for Cisco IOS Release 12.3(11)JX1 [Cisco Aironet 1200 Series] - Cisco Systems

Das hab ich aber auch noch nie erlebt, dass ein IOS-Gerät keine configure-Befehle annimmt. Kannst du mal ein "show version" und ein "show privilege" sowie ein "show ip http server status" und ein "show terminal" posten?

Hm, also für den Telnet-Zugang: configure terminal line vty 0 15 transport input telnet end Für den Web-Zugang: configure terminal ip http server end

Wie wär's denn mit MRTG? MRTG - Tobi Oetiker's MRTG - The Multi Router Traffic Grapher Oder Cacti? Cacti: The Complete RRDTool-based Graphing Solution

Hm, wenn du vorher die Speed/Duplex-Parameter fest eingestellt hattest, hattest du das hoffentlich auch auf beiden Seiten der Verbindung getan? Ansonsten wäre es sehr nachvollziehbar, dass dann solche Probleme auftreten.

Lies dir das mal durch: Cisco PIX Firewall and VPN Configuration Guide, Version 6.3 - Controlling Network Access and Use [Cisco PIX Firewall Software] - Cisco Systems

Hab mir grad mal die Anleitung zum WGR614v4 durchgelesen, der scheint kein IPSec-Passthrough zu unterstützen. Von Netgear als Lösung vorgeschlagen wird folgendes: Na, ob das so sinnvoll ist... prinzipiell sollte es aber auch mit Nat-Traversal funktionieren, wenn du udp/500 und udp/4500 zur PIX forwardest sowie entsprechend beim VPN-Client "Transparent Tunneling (IPSec over UDP)" konfigurierst.

Und wenn du NAT-Traversal verwendest, solltest du auch noch udp/4500 freischalten... beachte bitte, dass für ESP tatsächlich IP-Protokoll Nr. 50 freigeschaltet werden muss, nicht etwa tcp/50 oder udp/50. Bei günstigeren Routern findet man diese Funktionalität meist unter dem Begriff IPSec-Passthrough.

Gerne.. kein Thema, das kommt vor ;)

Wie sieht's hiermit aus? router(config)#aaa authentication login default group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts. router(config)#aaa authentication login default group Die Radius-Server werden dann mit radius-server host 1.2.3.4 key secretkey gesetzt.

Hm, entweder ist das Kabel defekt, oder eine der beiden Netzwerkkarten - oder es gibt ein Treiberproblem... sonst fällt mir nix ein, was zu diesem Fehler führen könnte.

Hm, guter Punkt, das ist nicht gerade abwegig...

Hast du mal im Exchange System Manager geschaut, was deine Queues sagen? Hängen die Mails da evtl. drin? Dort findest du meist auch einen konkreteren Hinweis darauf, wieso sie nicht ausgeliefert werden.

Das fällt wohl flach:

Habt ihr ein Crossoverkabel verwendet?

Die Konfiguration der beiden Interfaces ist auch immer eine sinnvolle Information, um konkretere Hinweise geben zu können. Aber wie Fu schon sagt, geht es um ein unterschiedliches Verständnis der beiden Switche darüber, was auf dem Trunk das Native-VLAN sein soll.