CoolDuke

CNA-Manager von Cisco und Port security einstellen.

Gibts Du dies ein, dann funktionierts: interface FastEthernet0/48 switchport mode access switchport port-security switchport port-security maximum 3 switchport port-security violation protect switchport port-security mac-address sticky switchport port-security mac-address sticky XXXX.XXXX.XXXX switchport port-security mac-address sticky XXXX.XXXX.XXXX switchport port-security mac-address sticky XXXX.XXXX.XXXX Mac-Adressen kannst Du auch weglassen, lesen sich automatisch ein.

genau das wollte ich auch damit ausdrücken...

trunking !!!

sorry, kein VLAN Routing zwischen den Switchen... In VLANs mit mehreren Switches werden die Frame-Header gekaspelt oder modifiziert, um die Frames mit einer VLAN-Kennung zu markieren, wenn sie über die Leitung zwischen Switches weitergeleitet werden. Vor der Weiterleitung zum Endgerät wird der Header dann wieder in sein Ursprungsformat zurückversetzt. Mit Hilfe dieser VLAN-Kennzeichnung wird logisch ermittelt, welche Frames zu welcher VLAN-Gruppe gehören. Es gibt mehrere derartige Bündelungsmethoden (engl. Trunking): IEEE 802.1Q, ISL, 802.10 und LANE. Dies sogenannte Frame-Tagging ist die bevorzugte Methode für den Austausch von VLAN-Daten zwischen Switches. VLAN routen: Ein VLAN muß immer eine eindeutige Schicht 3-Netzwerkadresse haben. Dies ermöglicht erst das Schicht 3 Switching von Paketen zwischen VLANs mit Routern. :cool:

crypto ipsec transform-set word ... esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-null ESP transform w/o cipher esp-rfc1829 ESP-DES-CBC transform (RFC1829) esp-sha-hmac ESP transform using HMAC-SHA auth wäre ohne AH

mit diesen Befehlen siehst du mehr: show crypto isakamp policy show crypto ipsec transform-set show crypto isakamp sa show crypto ipsec sa show crypto map show crypto isakmp debug crypto ipsec debug crypto isakmp und statische Route der Netze eintragen, da diese bei ipsec verloren gehen

zu Punkt 1: ja zu Punkt 2: ja zu Punkt 3: Quelladresse zu Zieladresse zulassen, andere Netze nicht... :D

VLAN Routing ja, über einen Trunk-Port (ALL VLAN) statisches Routing nein, da Layer 2

von zwei bis zu acht parallele Ethernet-Trunks kann man pro EtherChannel einrichten...

! ! crypto isakmp policy 1 # Richtlinie für die Sicherheitsaushandlung ISAKMP encryption des # Verschlüsselungsalgorythmus ISAKMP hash sha1 # ausgewähltes Hashingverfahren ISAKMP authentication pre-share # Schlüsselaustauschverfahren ISAKMP group 5 # Diffie-Hellman-Gruppe ISAKMP lifetime 43200 # Gültigkeitsdauer crypto isakmp key word address 200.200.201.3 # vorkonfigurierter Schlüssel ISAKMP crypto isakmp identity address # Festlegung ob Adresse oder Hostname für Authentifizierung verwendet wird ISAKMP ! ! crypto ipsec transform-set Z-NL1a ah-sha-hmac esp-des # Transformsatz, zur Definition der Kombination von AH und ESP IPSEC ! ! crypto map Test 1 ipsec-isakmp # IPSec Übersetzungsverfahren Test an Position 1 mit IPSEC und ISAKMP IPSEC set peer 200.200.201.3 # Festlegung des Kommunikationspartners IPSEC match address 100 # Festlegung der Access-List mit interessantem Verkehr IPSEC set security-association lifetime seconds 43200 # Gültigkeitsdauer der IPSEC-Aushandlung IPSEC set transform-set Z-NL1a # Zuordnung des Transform-Sets an die Crypto-Map IPSEC set pfs group 1 # Festlegung Perfect Forward Secrecy mit Diffie Hellman für IPSec ! ! interface Serial ip address 200.200.200.1 255.255.255.0 crypto map Test # Binden der Crypto-Map an das ausgehende Interface Schnittstelle ! ! access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.206.128 0.0.0.127 access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.212.0 0.0.0.255 # Definition des interessanten, IPSec-auslösenden Verkehrs IPSEC ! !

Probier mal MRTG auf folgender Seite=> http://mrtg.hdl.com/ oder schau mal mit Ethereal nach. :cool:

Hi, Dameware ist eine Remotesoftware und zeigt Dir alles an.(...leider nicht kostenlos) Versuchs mit Windows-Scripting: http://www.winguides.com/ ...das tut :D

Hi, mit dem neuesten IOS brauchst Du denn CNA (Cisco Network Assistant) und Java. Vorher ne IP vergeben. CoolDuke