#9370

wobei ES-IS nicht wirklich ein Routing Protokoll ist - siehe meine Antwort weiter oben. Ich würde IS-IS und IGRP nehmen. /#9370

A) ES-ES: von dem habe ich noch nichts gehört B) RIP: verwendet UDP Port 520 (wie schon erwähnt) C) IGRP: IP Protocol Nummer 88 -> manche IP Protokolle sind im Network Layer angesiedelt D) ES-IS: ist kein Routing Protocol, sondern ein Router Discovery Protocol, ähnlich ICMPv6 E) IS-IS: ist am Network Layer angesiedelt /#9370

ich würde es mit Routing lösen. Das Multilink funktioniert nicht immer einwandfrei. /#9370

Dann würde ich auf Variante 2 verzichten, da es relativ komplex wird. Zu Variante 1: access-list 101 deny ip any network vlan2 access-list 101 permit ip any any access-list 102 deny ip any network vlan1 access-list 102 permit ip any any interface vlan1 ip address x.x.x.x y.y.y.y ip access-group 101 in interface vlan2 ip address z.z.z.z a.a.a.a ip access-group 102 in Mit der obing schematischen Config können User aus Vlan1 nicht auf Vlan2 zugreifen und umgekehrt. Sie können aber auf den Server und ins Internet. /#9370

für jedes VLAN ein L3 Interface konfigurieren und mittels ACL am VLAN Intf (wird in HW gemacht) abschotten. Problem: nicht stateful -> Antwort muss berücksichtigt werden. Sollte aber für die Anforderung kein Problem sein. Eine zweite Möglichkeit wäre mittels vrfs: Für jedes VLAN ein L3 Interface konfigurieren und dieses in ein eigenes vrf geben (eigene Routing Tabelle pro vrf). Den Uplink zur Firewall als Trunk konfigurieren, der die VLANs transportiert. Der erste Punkt an dem die VLANs zusammenkommen ist an der Firewall und die weiß wer was darf. /#9370

das kann di PIX nicht /#9370

das sind aber die Uralt 2900XL Switches. Die "neueren", die man noch sieht (WS-C2924C-XL-A und WS-C2924C-XL-EN) können das... /#9370

gleich wie für das dynamische NAT. In dem Fall könnte es aber sein ,dass man eine Route-map benötigt - wenn ACLs unterstützt werden, dann verwende diese. "Verbiete" NAT für den Server für Kommunikation mit 10er, 172iger... Adressen. Am besten mal das NAT für den Server rausgeben und testen, ob jetzt der interne Zugriff funktioniert, dann wieder reinkonfigurieren und das NAT anpassen. /#9370

alle Cisco Switches sind VLAN tauglich.

sind die im Link aufgeführten Erfordernisse erfüllt, vor allem die Rechte, die der Enrollment User haben muss? Download details: Simple Certificate Enrollment Protocol (SCEP) Add-on for Certificate Services /#9370

jedes DHCP Relay wird einen Request an den Server weiterleiten und die schnellste Antwort gewinnt - wenn vom HP Switch nichts am Server ankommt, dann ist es falsch konfiguriert. DHCP Relay am Cisco deaktivieren: die Helper Address am L3 Interface rausnehmen. Es könnte aber auch ein DHCP Server am Switch konfiguriert sein... /#9370

Hallo, aggressive Mode hat nix mit dynamischen IP Adressen zu tun. Da wird nur der IPSec Verbindungsaufbau ein wenig abgekürzt, indem weniger Pakete hin-und her geschickt werden. Das Problem lässt sich entweder mir dynamischen Crypto Maps oder EasyVPN lösen. Einfach danach auf CCO suchen, dann kommen einige Beispielconfigs daher. Eine Seite muss aber eine statische IP haben. /#9370

hängt da noch ein 3560iger im selben L2 Segment? Wenn ja, dann deaktiviere dort mal DHCP. Interessant wäre auch ein Trace beim DHCP Server. Dann siehst du sofort, ob der Request ankommt und welche IP vom DHCP Server vergeben wird /#9370

es schaut so aus, als ob entweder der Switch die falsche GIADDR in das Paket schreibt (das ist die IP Adresse von dem Interface, an dem er die Anfrage bekommen hat (Gateway Address)), oder der DHCP Server das nicht richtig verarbeiten kann. /#9370

Hallo, Ein paar Anmerkungen zu deiner Config: 1) der Webserver ist 10.10.1.100? Wenn du intern darauf zugreifst, dann auf die private IP Adresse? Das wird nicht funktionieren, da beim static nat keine Ausnahme definiert ist. Das würde auch die half-open Sessions erklären. Ist sonst alles von A nach B und umgekehrt möglich? Siehe auch Configuring a Router IPsec Tunnel Private-to-Private Network with NAT and a Static - Cisco Systems 2) Ich verstehe den Sinn der oubound ACL am Inside Intf nicht. Es wird jeglicher Verkehr von den anderen Standorten erlaubt und der Zugriff auf den Server und der VPN Clients wird mit der ACL am outside Interface geregelt. Ich würde das so machen: interface Dialer1 ip access-group bla in interface Vlan1 ip inspect blabla in Damit wird der Verkehr vom Inside zum Outside inspected und der Antwortverkehr durchgelassen und der Verkehr zum Server wird auch erlaubt. Gehen die VPN Clients direkt ins Internet? Wenn ja, dann das inspect outbound am Dialer1 Interface. 3) Warum ist die MTU am Dialer Interface 1492?.... Ich habe jetzt dsa Beispiel am CCO gesehen, wo es genauso konfiguriert ist. Ich würde das TCP MSS Adjustment einmal weglassen und nur verwenden, wenn das ICMP Error Handling nicht funktioniert. In deinem Fall sollte es einwandfrei funktionieren, da alle Firewalls in deinem Einflussbereich liegen. 4) Beim dynamischen NAT ist keine route-map notwendig - es genügen die denys in der (extended) ACL, in der definiert wird, wer genattet wird. /#9370

werden ICMP unreachables von der Firewall gefiltert? /#9370

Hallo, deine Frage ist ein wenig konfus gestellt - wenn ich dich richtig verstanden habe, willst du auf der PIX einen CA Server aufsetzen, damit sie Zertifikate verteilen kann? Das geht nicht - da musst du entweder eine IOS Box oder 3rd Party Server verwenden. /#9370

im IOS werden alle Befehle mit "no" rückgängig gemacht. Mit "clear" werden Statistiken, Intf Stati usw gelöscht. /#9370

genau auf das wollte ich hinaus.... /#9370

wie schaut die Routing Tabelle aus? "show ip route" /#9370

laut Doku sollte es ab 12.3.14T funktionieren. Vielleicht ist es kaputt? Second-Generation 1- and 2-Port T1/E1 Multiflex Trunk Voice/WAN Interface Cards [Cisco IOS Software Releases 12.3 T] - Cisco Systems /#9370

How to Add AAA Authentication (Xauth) to PIX IPSec 5.2 and Later - Cisco Systems /#9370

du meinst mit HSRP? Dann so: Load Sharing with HSRP [iP Application Services] - Cisco Systems /#9370

ist ist auch Spoke-Spoke Kommunikation möglich. Kurzer Überblick über Unterschiede zwischen MPLS und IPSec MPLS==Multi Protocol Lable Switching IPSec == IP Security IPSec dient zum sicheren Austausch von IP Verkehr; es ist im Vergleich zu MPLS langsam und es kommt einiges an Latenz zusammen, wenn oft ein- und ausgepackt wird. MPLS hat einmal nichts mit VPN zu tun. MPLS VPNs ist nur eine Anwendung, die von MPLS unterstützt wird. Diese MPLS VPNs sind unverschlüsselt. Eine andere Anwendung wäre MPLS Traffic Engineering Das Forwarding von MPLS setzt auf Lables auf -> Der Router bekommt ein Paket mit einem Label und schaut in seiner Forwarding Tabelle nach, wo es hingehört. Es ist extrem schnell . In MPLS lässt sich so gut wie alles andere einpacken (ATM, Frame Relay, IP, Ethernet...), in IPSec nur IP (außer man verwendet GRE oder L2TPv3). MPLS hat weniger Overhead als IPSec. IPSec kann für die Anbindung von Außenstellen über das Internet verwendet werden, MPLS VPNs nicht. @Otaku19: es gibt genügend Firmen, die ihr eigenes MPLS Netzwerk haben, es ist keine reine Provider Technologie. MPLS ist dann interessant, wenn man Kunden oder Abteilungen auf Layer 3 voneinander trennen und man auf Geschwindikeit angewiesen ist. Was früher mit FrameRelay oder ATM gemacht wurde, wird heute mit MPLS gemacht. Bei Verwendung von MPLS VPNs hat man pro VPN eine eigene Routing Tabelle -> es können überlappende IP Adressen verwendet werden und die Trennung zwischen den VPNs ist sehr einfach. Bei IPSec muss man sich selber darum kümmern, wie unterschiedliche Bereiche getrennt werden. Bei Verwendung von MPLS VPNs will man irgendwas voneinader trennen, bei Verwendung von IPSec etwas sicher über ein unsicheres Medium (z.B.: Internet) übertragen. Diese Auflistung ist bei weitem unvollständig, streicht aber einige Vor-/Nachteile der Technologien heraus. /#9370

so etwas kann sie nicht können /#9370