czappb

hmm spaß!!

DynDNS kann die PIX/ASA selber nicht, aber es wäre vermutlich die einfachste Variante auf einem PC/Server im Standort(der direkt ins Internet darf).

Sonst kann die PIX natürlich SNMP-Traps oder Syslog senden aber ob man das übers Internet irgendwohin senden will??

Edit:

Oder out-of-band per isdn-Einwahl

sh ip

??

Quark!

12.3 läuft auf 801ern nur der DRAM ist meistens zu klein.

Man muss schon gucken ob alles noch läuft wie vorher aber die Ping-Antwortzeiten sollten nicht bei 500ms liegen. Da liegts eher nicht an der Konfig (Vermutung!).

Ist die IOS-Version denn für den Router geeignet im Hinblick auf DRAM (und Plattform ja eh)?

no snmp trap link-status

im jeweiligen interface.

also die routing-tabellen wären hilfreicher...

Hat Router C denn überhaupt eine Route für die Netze an Router A. (die auf Router B zeigt)

Kann von Router A alles Router B erreicht werden? (Wegen dem Traceroute)

Ich verstehe die Struktur so

A--B--C-------Y

Danke!

zu 3) Dann muss dein Server aber Trunking unterstützen nur um es klar zu stellen.

"Switchport multi vlan 1 2 3"

Was soll denn das werden?

Das muss ein ganz normaler access-Port sein sonst würde der server ja die pakete aus allen vlans erhalten und somit kann kein relay drinstehen.

Sind die VLANs denn überhaupt aktiv? Kann ein 3500XL überhaupt mehr als ein aktives VLAN-Interface haben?

Die VLAN-Interface sind, wenn sie nicht administrativ (mit shutdown) abgeschaltet sind erst UP wenn das vlan irgendwo gebraucht wird. Z.B. ein access-Port

ip nat inside source static tcp 192.168.x.x 25 interface Dialer1 25

Welche WLAN-Karte nutzt du denn und welchen Client, den in Windows integrierten?

Schon die aktuellsten Treiber probiert?

Doch WPA sollte schon angehakt sein wenn man WPA fürs Key management verwenden will

CCKM dagegen nicht.

Es kann natürlich nichts Mandatory sein wenn es keine konfigurierte Option gibt.

Ganz einfach, aber hier nur die groben Schritte:

Security->SSID Manager

Hier die gewünschte SSID anlegen, an das Radio-Interface binden, "Key Management" auf Mandatory und den PSK eingeben, dann Apply

Security->Encryption Manager

Hier einen Cipher einstellen, also TKIP oder AES CCMP (ober beides)

Fertig!

ggf. muss die Reihenfolge variiert werden

cool :/

für den VPN-Tunnel müßte die MTU von 1452 stimmen(1492 - 40).

kannst du denn überhaupt dns-namen auflösen oder liegt es vielleicht da dran?

Wenn die Clienteinstellungen stimmen.

Firewalls bzw. Regeln

oder wahrscheinlicher MTU-Probleme

AP ist schonmal eine gute Vorraussetzung (Accesspoint)

LW steht für Lightweight

WLSE für Wireless Lan Solution Engine

WLC für Wireless Lan Controller

LWAP ist LW + AP

Wir haben normale Accesspoints (1100er) und eine WLSE.

Läßt sich sehr gut überwachen und relativ gut managen, auch wenn ich sagen muss das nicht viel dran rumkonfiguriert wird.

Mit Lightweight bisher leider keine Erfahrung.

Ja?

Was meinst du genau? Vorteile/Nachteile wogegen?

Die Datenblätter auf der Webseite von Cisco sind auch ganz gut ;)

Mit "show version" läßt sich das "Configuration register is" normalerweise "0x2102".

Wenn man den Wert verstellt kann man unter anderem auch das laden der Konfig beim boot verhindern.

Konfiguriert wird das über (config-Modus)#config-register 0xWXYZ

Sonst guckst du hier:

Use of the Configuration Register on All Cisco Routers - Cisco Systems

"ppp ipcp dns request accept"

auf dem Dialer Interface.

Damit sollte der Router die DNS-Server die er per ppp erhält akzeptieren.

Wenn der Router die DNS-Server automatisch bezieht kannst du die Clients dann auf den Router als DNS-Server konfigurieren.

Eigentlich ist das ganz einfach. Zuerst kommt der Interfacetyp häufig "GigabitEthernet", "FastEthernet", etc.; dann geht es weiter mit der Modulnummer bei dir 1 bis 6(die Einschübe); und zum Schluss dann die Portnummer auf dem Modul.

Also GigabitEthernet 2/1 ist auf dem 2. Modul der 1. GigabitEthernet-Port.

Ja gut, meine Beschreibung hätte ausführlicher sein können.

Richtig, zuerst auf ein Terminal des Switch verbinden. Per z.B. Seriell oder Telnet.

Enable-Modus wechseln

dir gibt einfach den Inhalt des Bootflash aus, mit "show version" könnte man auch den Pfad des aktuellen Images auslesen.

Im Global-config-mode ("configure terminal") kann man dann durch eingabe von "boot system " + Pfad des Bootimages z.B.: "boot system bootflash:cat4000-is-mz.121-13.EW1.bin" das zu bootende Image bestimmen.

Grundsätzlich kannst du die Konfiguration ja mit "show running-config" ausgeben, da sollte dann anschließend auch die neue Zeile drin stehen. Es wäre noch zu empfehlen vorher zu prüfen ob evtl. schon ein bootfile angegeben ist also "boot system ...", und ob das evtl falsch ist.

Die Änderung hat keinen Einfluss auf den laufenden Betrieb und auch sonst nicht wirklich gefährlich. Um sie rückgängig zu machen einfach den gleichen Befehl mit "no" absetzen. ("no boot system bootflash:cat4000-is-mz.121-13.EW1.bin").

In der Running-config solltet ihr auch sehen können welche IP-Adresse der Switch hat (ip address ...) und ob man sich per telnet oder so verbinden kann

so ähnlich:

"line vty 0 4

login

password xxx"

ggf. ist das Passwort verschlüsselt.

Anmelden

Enable-Modus

dir

...

cat4000-is-mz.121-13.EW1.bin

...

Config-Modus

"boot system bootflash:cat4000-is-mz.121-13.EW1.bin" (wobei cat4000-is-mz.121-13.EW1.bin durch den Namen des installieren IOS ersetzt werden muss)

Anschließend sollte der Switch booten.

Also ich beantworte mal die erste Frage:

Der Switch startet normalerweise selbsttätig, sollte er das nicht tun wurde am Configuration register geschraubt. Der default-Wert ist 0x2102 - mit "show version" abrufbar.

Wenn er boot eingeben muss bleibt der Switch im ROMMON hängen, normalerweise im conf. register eingestellt, in diesem Modus(ähnlich dem BIOS) kann nur über die Serielle Schnittstelle auf den Switch zugegriffen werden. Wenn ihr also die Konsole fernsteuern wollt braucht ihr ein Out-of-Band System.

Jedoch wäre das Umstellen des config. Register einfacher.

Bevor jedoch der Wert verstellt wird sollte man gucken was eingestellt ist und ob es evtl. einen Grund dafür gibt. ;)

Ja und wo ist nun genau das Problem?

Macht ihr NAT auf der PIX oder wird zwischen LAN1 und LAN2 normal geroutet?

Muss die Anwendung nur selber ins Internet oder braucht sie gar eingehende Verbindungen?

Wenn normal geroutet wird kannst du doch einfach eine Regel auf der PIX schreiben und auf der ASA ebenfalls - dann zusehen das NAT auf der ASA konfiguriert ist.

Falls beide NAT machen mußt du halt bei den Regeln entsprechend drauf achten, auch wenn NAT im LAN eher seltsam wäre - sofern die LANs nicht die selben Netze nutzen.