Otaku19

1. als trunk port, dann muss da aber auch was angeschlossen werden das mit trunks umgehen kann.

2 ebenfalls als trunk.

ad 1+2 mit "allowed vlan" kannst du steuern welche LANs darüber übertragen werden

3. den richtigen mode, PVSTP+ wie eignestellt passt schon...außer das wird mal an etwas angeschlossen das nicht PVSTP+ kann oder man hat so viele VLANs und riesige STP Wolken das es zu Performanceproblemen kommt. Dan empfiehtl es sich noch eien root und backup root zu konfigurieren. geht einfach wvia spanning-tree vlan 1-4094 root primary|secondary oder eben durch setzen eines niedrigen priority Wertes. Die Erfahrung zeigt das es KEINE gute Idee ist hier 0 zu wählen. spanning-tree extend system-id sollte auch konsistent überall konfiguriert sein

ernsthaft ? Lern das Material und fertig, du bekommst hier keine Hinweise auf Braindumps.

das lässt sich am einfachsten mit DHCP Snooping machen. Da sieht man sehr einfach welche IP an welchem Port steckt. Das hat allerdigns auch zur Folge das dei IP Adressen zwingend per DHCP bezogen werden müssen damit as angeschlossene Device auch arbeiten kann. Außerdem schützt man sich vor rogue DHCP Servern, auch nicht schlecht.

Wenn du nur die MAC Adressen aus dem Switch ausliest dann musst du ja erst mit einer ARP Tabelle korrelieren

ich kann nru aus erfahrung sprechen wenn ich sage: Das ist alles Müll :)

Ne,ohen Scherz ein Device zu "irgendjemand" zu stelllen bringt nur Nachteile beim Betrieb. Lasst euch was anderes einfallen

hui Politk im Forum, brisant :D

nicht wirklich, sind Erfahrungswerte. So eine die sich ins Gedächtnis einbrennt, den Unfug hab ich nämlich selber konfiguriert :D "einige" hostbasierte Einträge in der crypto acl haben dazu geführt das es oft Performanceprobleme gab. Daher, die SAs möglichst gut zusammenfassen um so wenige wie möglich zu erhalten,

Performanceprobleme können aber leider noch zig andere Gründe haben, da kommt man um ein ordentliches debug idealerweise auf beiden Seiten nicht herum, das kann mitunter sehr mühsam werden.

musst halt mit dem Chef ausschnapsen, wozu dienen die 4 Netze ? Was soll da voneinander wie scharf getrennt werden ? Wenn dannohnehin die 4 Netze zusammengroutet werden ohne jede EInschränkung kann man gleich ein großes Netz machen, wenn sie ganz hart getrennt werden müssen ist mit man mit acls ganz gut unterwegs. Ist dnan eben eien Frage der eingesetzten Produkte bei euch, wenn ihr zb Lync nutzt zur KOmmunikation würde ich mir gar keine Trennung zwischen den Netzen antun denn da wird P2P Traffic verwendet.

VPN macht sehr schnell Probleme wenn man sich zb die encrpytiondomains nicht ordentlich überlegt, bei etlichen SAs geht auch eine größere ASA schnell an ihre Grenzen, da muss dann nachher nicht mal viel traffic drüberlaufen.

CCENT zählt aber defakto garnix, CCNA auch nicht wirklich. Ist lediglich ein muss wenn man nicht direkt mit CCIE loslegen kann

puh, da wirds kompliziert,eine frítzbox kenn wohl keine vlans,man müsste den switch 4 mal anhängen. Bringt aber auch nicht viel da die ports auf der fritzbox wohl einfache switchports sind,da wird sich keine IP/gateway per port einstellen lassen.

Da wird wohl ein neuer router fällig

multiple context + vpn geht erst ab ASA OS 9.0. Daher eben der Zusatz "kommt auf deine Anforderungen an"...also benötigst du die routingfeatures des ISR, welche firewall hättest du sonst zur Wahl, was läuft da drauf etc.

es kostet dezent mehr und behandelt ohnehin oft gleiche Themengebiete. Die Trennung hab ich nie verstanden

du musst ja so und so eien router verwenden, welcher ist das denn ? da gibts dann mehrere möglichkeiten:

wenns möglichst einfach aufgebaut werden soll kann dhcp am router laufen,da die vlans ja ohenhin alle dort terminieren geht das einfach durch das anlegen von 4 pools

wenn es einen "richtigen" Server dafür geben soll, dann kann der auch in nur einem LAN hängen (idealerweise nicht das gleiche wie eines der cleints) und per dhcp relaying werden dei requests vom router anden server weitergeleitet

klar, aber man ist gut beraten bei einem HW Wechsel genau zu beleuchten welche Funktionen man benötigt. Ich würde normalerweise keinen ISR als VPN Gateway nehmen, eher eine Firewall. Kommt aber auf deien Anforderungen an

das ist port knocking oder so,direkt eingebaut gibts sowas nicht. Da müsste man sich was mit EEM basteln, evtl gehts damit.

Allerdings bringt das doch garnichts

nein. Die Kisten wären ohnehin indiskutabel, egal was du damit anfangen willst. Außer als Briefbeschwerer, Türstoper oder ähnliches sind die zu NICHTS mehr gut

ja, daher macht man das zb grade bei LAN Switches sehr gerne, wir haben derzeit ~30 Switches so versorgt, da würde man manuell irre werden.

so ist es auch gedacht, es sind zwar Themenüberschneidungen in beiden Prüfungen, aber prinzipiell werden doch verschiedene Bereiche abgefragt. Ich kann mich nicht mehr erinnern wie viel Zeit ich mir zwischen den Prüfungen gelassen habe, aber es waren sicher 2-3 Monate

nein, es reicht eine abgelegte Prüfung der passenden Kategorie um alles was du bereits hast zu verlängern

wozu ? mach was anderes

weghaun, asa hinstellen :D

öh, nein. Man sucht sich einen Switch als primary server, nur dort werden neue vlan angelegt, alle via trunk verbundenen switche (müssen nicht directly connected zum server sein) bekommen sofort das neue vlan verpasst oder auch nicht mehr benötigtes wird gelöscht.

schau ob auf allen beteiligten switches das vlan angelegt ist, schau auch ob überall die gleiche root bridge zu sehen ist

und am bequemsten ist es VTP zu konfigurieren, so must du vlans nur auf einem switch definieren und alle anderen Switches haben dieses VLANs dann in ihrer database. vtpv3 ist auch gegen Eingriffe von aussen abgesichert

packet-tracer mal anwerfen und schauen was der sagt

capture aufdrehen, geht aber leider nur am internen Interface, nicht im Tunnel

debug würd ich nur aufdrehen wenns nciht anders geht, da sollte man evlt auch sehen könenen das eien SA erstellt wird, außer deine fragliche Verbindung löst keine neue SA aus

das gleiche/ähnliche soll die Gegenseite auch machen

Die gleiche Prüfung gibts nicht mehr, du müsstest die aktuelle SWITCH machen...nur wozu ist das gut ? Nur Switch alleine zählt doch eh nichts, da ist es sinnvol,ler was anderes zusätzlich zu machen