#9370

igmp snooping sollte per default aktiviert sein. pim muss auf allen Interfaces aktiviert sein, auf denen Multicasts weitergeleitet werden sollen. /#9370

die Adressen mit permit Statements in der ACL werden durch den Tunnel erreicht - war vielleicht ein wenig missverständlich ausgedrückt. /#9370

mppe ist nur die Verschlüsselung, die in PPTP verwendet werden kann. Für Telekom Austria ADSL oder Wholesale ADSL gibt es keine Möglichkeit das mit Cisco Routern, die nur Ethernet Schnittstellen haben, zu machen. /#9370

mit Multicast Routing. Am einfachsten ist es mit PIM Dense Mode. Wenn du danach auf CCO suchst, kommen sicher hilfreiche Links daher. Der Nachteil am Dense Mode ist, dass alle teilnehmenden Router den Stream bekommen, egal ob es Abnehmer dafür gibt oder nicht. Wenn du es nur auf dem Cat6k machen willst und sonst keine anderen Router involviert sind, dann nimm das. Die andere Möglichkeit ist PIM Sparse Mode, der aber je nach Variante mit Config Aufwand verbunden ist. /#9370

Hallo, ich habe mir jetzt nicht den gesamten Thread durchgelesen, sondern nur die anfängliche Frage und die Antworten überflogen. Sollte ich was verpasst haben, bitte nicht böse sein. das am Anfang gesuchte Feature für OSPF nennt sich OSPF Demand Circuit. OSPF Demand Circuit Feature [iP Routing] - Cisco Systems /#9370

Die Cisco Router unterstützen zwar PPTP aber nicht als Client. Cisco Router kann man in Ö für ADSL vergessen, außer man hat einen mit ADSL Intf. /#9370

das "nat 0" nimmt die in der ACL definierten Adressen vom NAT aus, da bei der PIX NAT vor IPSec kommt. split tunnel definiert, welche Adressen für Client VPN nicht über den IPSec Tunnel erreicht werden /#9370

zieh dir mal den Auto-qos Command rein: Cisco AutoQoS Q&A [Provisioning, Monitoring, and Management] - Cisco Systems Mit dem kann QoS für VoIP gut abgebildet werden. Für die zweite Anforderung, um DoS Attacken abzufedern, gibt es Policing oder Rate-Limiting. Rate-Limit (CAR): Cisco IOS Quality of Service Solutions Command Reference, Release 12.2 - Commands: rate-limit -- set qos-group [Cisco IOS Software Releases 12.2 Mainline] - Cisco Systems Policing: Cisco IOS Quality of Service Solutions Command Reference, Release 12.2 - Commands: match ip precedence -- police [Cisco IOS Software Releases 12.2 Mainline] - Cisco Systems /#9370

In Ö wird aber PPTP verwendet und das kann kein Cisco Router (PPTP Client) /#9370

das müsste schon gehen. Du musst halt berücksichtigen, dass der VPN Konzentrator dann für jede Aussenstelle eine eigene Routing Tabelle hat. Die müssen dann zusammengeführt werden, die Adressen davor aber genattet werden. /#9370

XL Switches unterstützen kein dot1x und werden es auch nie. /#9370

Zwei Kollegen ware nvor kurzem auf einem Heinz Ulm Bootcamp - der eine hat es geschafft, der andere nicht. Heinz Ulm macht nicht mehr alles selber, was aber nicht so schlimm sein soll, da er bei den neuen Technologien nicht mehr so fit sein soll. Seine Mitarbeiter sollen aber nicht schlecht sein... Der Vorteil an den Bootcamp ist, dass man Einblick in die CCIE Beispiele bekommt. #9370

warum sollte NAT nicht funktionieren? -> Zuerst Routing dann NAT. #9370

du kannst jede beliebige DHCP Option mitschicken: Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Configuring DHCP, DDNS, and WCCP Services [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems #9370

Ich habe es zwar selber noch nicht probiert, aber seit Version 7.2 ist folgendes möglich: Cisco Security Appliance Command Reference, Version 7.2 - queue-limit through router rip Commands [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems The following example uses an SLA operation to install a default route to the 10.1.1.1 gateway on the outside interface. The SLA operation monitors the availability of that gateway.If the SLA operation fails, then the backup route on the dmz interface is used. hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside hostname(config-sla-monitor-echo)# timeout 1000 hostname(config-sla-monitor-echo)# frequency 3 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability hostname(config)# route outside 0.0.0.0 0.0.0.0 10.1.1.1 track 1 hostname(config)# route dmz 0.0.0.0 0.0.0.0 10.2.1.1 254 #9370

poste mal die gesamte Config. #9370

der beste tftp Server ist 3Com Deamon (3CDaemon) 3Com Software Library - Utilities for 32 bit Windows Dort gibst du an, wo die Files liegen. Um das IOS musst du dich sleber kümmern.... #9370

Hallo, das ist deshalb, da IPSec vor dem NAT gemacht wird. siehe Link: NAT Order of Operation [iP Addressing Services] - Cisco Systems der ist zwar für IOS, gilt aber in Teilen auch für die PIX. /#9370

Hallo, diese Anleitung hilft vielleicht weiter: Password Recovery Procedure for the Catalyst 6500 with Supervisor 720 Running Cisco IOS Software Prior to 12.2(17)SX [Cisco Catalyst 6500 Series Switches] - Cisco Systems ist zwar auch nur die Standard Prozedur, sie verweist aber auf einen möglichen Bug, den du vielleicht haben könntest... /#9370

mit dem 836 wäre ich vorsichtig, da er über keine HW Verschlüsselung verfügt und du mit der Performance sehr bald im Eck sein wirst, wenn du mehrere Tunnel hast und dir VPN Durchsatz im MBit/s Bereich erwartest.

jeder Router mit einem WIC Slot. 25xx Router würde ich nur noch in Testumgebungen verwenden, da EoS, EoL -> keine neue SW mehr #9370

Hallo, die 3550iger würde ich auf alle Fälle behalten - die können gleich viel wie 3560/3750 Switches. Sie haben halt nur 10/100 MBit Ports für die User. Wenn du das Netzwerk erneuerst würde ich die D-Link und XL Switches austauschen. Die Gründe dafür sind Performance und Features. Ich arbeite selber für einen Dienstleister, würde dir aber auch als Neutraler zu den tollen Features raten, die die neuen Switches bringen. Dazu gehören MST (Multiple SpanningTree), DHCP Snooping und Dynamic ARP Inspection, vielleicht auch 802.1x, ersteres um niedrige Konvergenzzeiten zu erziehlen und wenige SpanningTree Instanzen zu haben. Die anderen eignen sich super um L2 Attacken zu erkennen und abzuwehren und den Zugriff auf das Netzwerk zu kontrollieren. Es gehören dann noch andere, schon länger verfügbare Dinge dazu, aber das würde den Post nur unendlich lang machen. VLANs finde ich bei der Größe auf alle Fälle notwendig. Du schreibst von ca 500 benutzten Ports. Da kommt schon einiges an Broadcasts usw. zusammen, die alle User erhalten. Außerdem würde sich die Security erhöhen lassen, wenn das Netzwerk segmentiert wird und nicht jeder alles darf (ACLs oder FW zwischen den Segmenten). Ganz wichtig wäre es, die Gast User und Testumgebungen vom Produktionsnetz fernzuhalten. Von der Topologie würde ich ein Standard Design verwenden: Zwei Core Switches; zwei Switches pro Stockwerk, die miteinander verbunden sind; Der erste Stockwerkswitch geht auf Core Switch 1 under der zweite auf den Core 2. Die Core Switches mit einem Channel verbinden. Ich würde dir zu einem Designworkshop mit deinem Lieferanten raten, bei dem die Features und Topologie durchgesprochen wird. /#9370

Hallo, ich bin mir nicht sicher, aber das könnte sein, wenn kein Name Server auf der ASA konfiguriert ist. #9370

hast du die Windows Firewall eingeschalten? #9370

Hallo, es kommt darauf an. Die XL Switches sind EoL (End of Life) und ab 27.7.07 End of Support. Es wird von Cisco keine SW mehr für diese Switches entwickelt und es werden auch nicht mehr alle Bugs behoben (habe das selber miterlebt mit dem Voice Vlan Feature). Ab dem End of Support Datum werden auch keine schwerwiegenden Bugs mehr behoben. Wenn du aber derzeit zufrieden damit bist und in näherer Zukunft kein Voip oder tolle Security Features benötigst, dann würde ich sie behalten. Die Dinger sind robust und einfach zu bedienen. Zur CPU Load: Das Ding hat >20% Leerlauf CPU Load. B ei den XL Switches habe ich auch bis 70%-80% keine Probleme erlebt. #9370