Otaku19

Was musstest du denn anpassen ? Jo, dafür dann aber ohne Support. Und wenn Cisco den ASDM noch so sehr pusht, man muss mit der CLI umgehen können, fertig. Sonst hat man auf der imho auf keinem Cisco Device was zu suchen. Mit was ?

naja, es "läuft" schon, auch mit ner höheren Lizenz, aber man erhält beim booten, aufrufen des ASDM, sh ver und immer wieder per logging mitgeteilt das man 256MB hat, aber 512 benötigt. Ob/Welche features dann nicht so funktionieren wie sie sollen kann ich nicht sagen Das rauskicken vom nat-control war imho höchste Eisenbahn, aber dieser Pardigmenwechsel könnte zu Problemen führen, ich kenne zig ASAs die noch mit der "Pix Brille" auf der Nase konfiguriert worden sind und noch immer werden...und man verlässt sich da sehr stark auf die NAT rules

also "NAT Simplification" ist ein zweischneidiges Schwert...ein NAT das man im Objekt definiert (ala Checkpoint) taucht in der Config beim network-object auf: object network blabla nat (any,any) dynamic 5.5.5.5 man kann dann eben noch angeben zwischen welchen interfaces übersetzt werden soll und dns einschalten. nat-control ist TOT, wenn man viel mit NAT macht sollte eman sich halt genau ausmachen wo man da eher konfiguriert Globale ACLs orintieren sich an der Bindung einer service-policy: access-list global_access line 1 remark block all to my PC access-list global_access line 2 extended permit ip any host 192.168.178.220 access-group global_access global wie das genau mit einer normalen ACL zusammenspielt, keine Ahnung

ja, aber auch nur wenn man die Augen aufmacht :) hab mich nur auf das hakerl unten gestürzt und nicht gesehen das mand as dann eh je interface regeln kann

aha, das bringt mich dann auf den richtigen Weg: fw(config)# service reset? configure mode commands/options: resetinbound resetoutbound resetoutside via CLI geht da gleich ein wenig mehr resetinbound: Verbindungen vom low level security -> high level security bekommen ein RST resetoutbound: Verbindungen vom high level security -> low level security bekommen ein RST resetoutside das erschließt sich mir jetzt nicht so ganz :) und in meinem fall komme ich vom high level -> low level

Mir ist da grade was "fundamentales" aufgefallen...kann es sein das die ASA auf jede nicht genehme Verbindung automatisch ein RST schickt ? und wenn ja, kann man dieses verhalten auch irgendwie abstellen ?

probieren geht über studieren ?

stimmt, wenn ich mir denke wie viele uralte 515er nach jahrelanem 24/7 Dienst immer noch funktionieren...

Hört sich nach automatic NAT ala Checkpoint an...müsste man mal testen was der ASDm da dann als Commando absetzt

was ändert sich denn beim NAT ?

sämtliche Ablaufdaten der eigenen Certs lassen sich im übrigen online abfragen

alle RA mässige eben in die gleiche cryptomap wie die L2L Sachen, nur eben mit der höchsten Sequenznummer (35xxx irgendwas ?)

öh, cisco.com durchforsten ? Du kannst nciht ernsthaft erwarten das sich da andere durch die zig Dokus zu MIBs und Co durchgraben

also so wie die alten Ciscoprüfungen...aber man sagt ja Nachahmung ist die höchste Form der Anerkennung, hrhr

eien 520 sollte doch wie eien 515 8.0.4 vertragen...das ist schon weit besser als diese unhandlichen Pix Systeme

stimmt anscheinend Sabotage Networks: VTP Version 3 and MSTP Walkthrough.

natürlich, dann ist der zugriff eben nur von diesem host aus möglich. Mit PDM hab ich noch nie gearbeitet, aber ich denke mal es gilt das gleiche wie für den ASDm-> ein entsprechendes file muss im flash rumliegen auf welches man auch in der configuration verweisen sollte. Eine authentication methode sollte man dnn auch noch konfigurieren.

ich glaube, um das manuelle herumschieben von VLANs kommt man doch so und so nicht herum ?

also n CCNP mit Erfahrung auf Juniper (und die könenn nun mal nicht so viel wie die Cisco :) ) sollte die Prüfung ohne grosse probleme schaffen ? Gibts solche Simulationen wie bei Ciscoprüfungen ?

...und es ist alles dokumentiert...

auf cisco-press ist eh immer nur die aktuellste Ausgabe gelistet

und wird dir der Status ohne JNCIA anerkannt ?

das hilft nix weiter, da musst du mal (ppp) debugs aufdrehen

je interface spielts nur eien crypto-map..in dide kann man man aber RA und L2L einbinden

frage 2: das sieht man nur im system context, sh context und zählen :) Den admincontext kann man normalerweise problemlos für normalen traffic hernehmen, das wäre nur dann nciht so schlau wenn man seine virtuellen FWs "vermietet". Du hats also noch einen Context frei, bis zu 50 lassen sich lizensieren.