Otaku19

so wie es jetzt ist sollte imho nur Layer2 funktionieren :), warum nicht die Standardkonfig WLAN+LAN auf 1 BVI bridgen ? Denke nicht das du ohne dem auskommen wirst

das ist definitv ein Fall für capture :) da sieht man gleich welche Pakete da vom Webserver an der ASA ankommen...oder ob auf irgendwelchen merkwürdigen Ports vom AD Antworten kommen. Anahnd dieser Infos packet-tracer starten und schon weiß man wo es hakt

hier habe ich was schöne im CCIE Blog gefunden: IP Subnet Practice IDEAL für CCNA da man ja Subnetting aus dem Ärmel schütteln können muss und so bekommt man immer wieder neue Beispiele serviert

Metropolitan Area Network, also die nächste Stufe nach Campus.

3500 sind dann richtige L3 switche, die können dann schon ziemlich viel,allerdings sind hier die letztverfügbaren IOSen nicht mehr taufrisch. Was aber der Funktion nicht im Wege steht, in tausenden Netzen sind 3500er noch im Einsatz. Zum lernen ist es besser "lahmere" Geräte zu nehmen die dafür halt billig sind und mehr Features bieten, zu Lernzwecken braucht kein Mensch Gigabit, eigentlich nciht mal 100Mbit..hauptsache irgendeine Connectivity ist da und für die Miniroutingtables die man da produziert reicht auch bei alten Routern der Speicher locker aus.

das geht einfach nicht, die Endpunkte hätten verschiedene IP Adressen,das lässt sich dann allerhöchstens über ein DNS Round robin konfig...eh verschlimmern :) Oder man schwindelt mit solchen Konzentratoren von Viprinet,da müssen dannaber immer beide Endpunkte so etwas nutzen. Auch bei einem eigenen AS kann man das nicht gscheit aufsplitten, dazu müsste man Einfluss auf das weltweite BGP Routing haben, via BGP ist loadbalancing nur dann drin wenn beide Strecken zwischen 2 ASen ist...und nicht mal das konfiguriert der ISP gern bzw. hatte ich noch nirgends diese ominösen dmz Befehle dazu gesehen. Das ist nun mal das Highlanderrouting...es kann nur einen (Pfad) geben :)

reicht LOCKER aus,allerdings wäre um 100€ schon ein 3524 drin gewesen.

hey hey, immerhin gibts ein GANZES Kapitel zu IPv6 beim BSCI, sogar die Konfiguration von RIP und OSPF kommt vor...nix im Detail, aber das kommt ja schon in den Kapiteln dafür zu Genüge :) Ansonsten würde ich auch zur offiziellen Guide greifen, da ist alles drin was bei der prüfung vorkommt...im grossen und ganzen :) Wenn dir was spanisch vorkommt, lieber mal nachfragen (zB hier) und bei den errata auf ciscopress gucken, niemand ist unfehlbar.

es ist deswegen ein "Problem" weil das balancing an sich ja nie 50:50 (oder eben je nach Bandbreitegesplitet) splitten kann...und der Retourtraffic kann überhaupt nicht beeinflusst werden. Und wenn man Dienste nach draussen anbietet kann man es überhaupt gleich ganz knicken

nicht zwangsweise, könnte man auch ein eigenes AS haben. Und erst so baut man hochverfügbare Systeme, denn dann muss man msich nicht aufs DNS verlassen. Die Rechner haben immer die gleiche IP egal über welchen ISP man geht bzw empfängt. Nur wirds hier ein klein wenig kompliziert wenn man loadbalancen will

da gehst dann aber bei den beiden Leitungen mti unterschiedlichen IP Adressen raus ?

Weild er Herr Windowsbetatest gerne was zum spielen hat, mit GNS3 hat man für Cisco Router und Firewalls schon mal was passendes um schon mal ziemlich viel auszuprobieren ohne auch nur eine Hardwarebox zu benötigen. Für JUNOS gibts da irgendwas in VMWare, für ScreenOS weiß ich garnix um sich das mal anzuschaun.

nur das hier ungleich schwerer wird mit dem virtualisieren :) wüsste nur was von JUNOS in VMWare, aber nix von ScreenOS.

wenn ich mir die Empfehlungen so anschau....da ist ja alles mögliche dabei...von gänzlich unbekannt bis hab ich schon mal gehört :) @ lorenzo Gibts denn niemand im Unternehmen der sich mit Security (und demzufolge mit midestens einem hersteller) auskennt und die Kiste dann warten kann ? Andernfalls wirst du einen Dienstleister nicht herumkommen, klar gibt bei jedem Hersteller schöne Oberflächen und Werbeversprechen. Aber ohne Erfahrung mit der jeweiligen Box ist die Konfiguration einer solchen im Produktivbetrieb einfach nur fahrlässig. Wozu benötigst du zB einen Web-proxy ? Bzw. was genau stellst du dir darunter vor ? Welches VPN schwebt dir für die Remote User vor ? Hier wäre nämlich eignetlich schon eher SSL VPN angesagt statt "angestaubtes" IPSEC. Beim Spamfilter würde ich keien Miniappliance kaufen, sowas (+Contentinspection) braucht Power und da geht den kleinen Boxen schnell die Puste aus. Ich würde Antispam sowieso eher am Mailserver oder falls tatsächlich so viele Mails gescannt werden müssen auf einer Appliance (reine Antispamkiste,meist sehr teuer aber sehr hoher Durchsatz) davor oder von einem Dienstleister filtern lassen.

hm, kann die attachments net öffnen...maybe kombi aus OS X mit FF schuld ? wurst, was sagt ein sh isdn status ? kannst du einene testcall vom router aus auf sagen wir dein handy machen ?

was meinst du denn jetzt mit USV ?

ha, aber ein Ethernet Interface gibts, trunk doch dort raus

AUI verwenden und zu nem Switch trunken :)

das muss dann aber schon ne Managementstation sein ;) per SNMPtraps an den syslog Server gesendete Events bringen einem da nix. Für die Interfaceauslastung reicht locker n freeware SNMP Programm

denke mal das man auf der pix die interface auslastung via SNMP gut protokollieren kann, das machst du über ein paar Tage und schon siehst du zumindest mal wie viel Bandbreite gesamt verbraucht wird. Für geneuere Analysen komtm man dann um Flow nicht herum, da weiß ich aber nicht ob man das über die PIX an einen Collector schicken kann...aber evtl. gibt es einen Router davor/danach über den man das spielen kann

dann nutzt ein Client auch nicht seinen installierten RDP Client, sondern dieses JAVA Applet wird runtergeladen und über dieses die verbindung hergestellt, bzw. die Verbindung wird ja dann von der ASA aus aufgebaut, die müsste da proxy zwischen Client und terminal server sein ?

na dann hat sich das erledigt :)

auch gleiches IOS auf beiden Geräten ?

das benötigt man um via webVPN auch RDP nutzen zu können ? quasi auf der "Startseite" die man erreicht dann auch gleich einen Terminalserver ansprechen zu können ? Ist dann in den Bookmarklist einfach zusätzlich zu http,https,ft und cifs dann rdp zu finden ?

nö, wir sind alle Secure CRT verwöhnte Snobs :)