kroliczko

Ist ein Monitorport für Host A konfiguriert? nein

Stimmen die Netzmasken der Hosts? 255.255.255.0 identisch bei allen Hosts

Eine defekte Netzwerkkarte? keine Fehler zu erkennen

Mehrfach vorkommende MAC-Adresse? nein

Findet die Kommunikation über Multicast statt? nein

 

A darf doch alle Traffic (z. B. zu B oder C) sehen, weil er selber beteiligt ist aber doch nicht zwischen B und C!!! das ist doch gegen das Switching Prinzip oder lege ich hier falsch?

 

 

 

Ist es normal, dass alle Rechner im selben Subnet/vlan den gesamten Traffic aller Maschinen sehen dürfen?

Hi all,

in unserem LAN ist folgendes zu beobachten:

 

Host A 192.168.20.15 (vlan 20)

Host B 192.168.20.43 (vlan 20)

Host C 192.168.20.44 (vlan 20)

 

Die Hosts hängen an unterschiedlichen Access-Switch(3750er), die wiederum an einem Core-Switch(6506er) hängen aber alle im selben vlan.

 

Auf dem Host A läuft Wireshark und ich man kann sehen, wie die Host B und Host C untereinander kommunizieren z. B. TCP Verbindungen!!!

 

Wieso sieht der Host A das???

 

Es ist doch kein Broadcast sondern unicast zwischen den beiden anderen Rechner!

 

meines Erachtens darf Host A die Kommunikation zwischen den beiden Hosts nicht sehen dürfen!

 

Für eine Erklärung/Idee wäre dankbar.

 

 

Gruß

Hallo,

Ein PC(Win XP) soll in in die Domaine.

zwischen dem PC und dem Domain Controller(Win 2003 Server) hängt eine Cisco PIX Firewall.

Welche Ports müssen freigeschaltet sein, damit der PC sich gegenüber dem Domain Controller(AD) Authentifizieren kann?

 

 

Grüße

super vielen Dank!

Ich werde das ganze mal konfigurieren und feedback geben ;-)

Danke!

der radius-Server ist für den Router erreibar. Ich möchte erstmal nur, dass die VPN User sich gegenüber den radius-Server authetifzieren!

Momentan funktioniert es aber die Authentifizierung für die VPN-User ist local auf dem Router!

 

 

Es wäre sehr hilfsreich wenn du mir die nötige command mal postest ;-)

 

 

schon mal super Danke!

Ich wäre sehr dankbar, wenn jemand mir so ein configbeispiel für diese Konstelation hier posten!

 

Gewünscht ist: die komplette Authentication/Authorization des Routers(ssh,telnet) und der VPN Users gegenüber den Radius-Server(172.16.1.2) läuft!

 

 

Danke & Grüße

stimmt es, dass "crypto isakmp profile" verwendet werden sollte, wenn der Router Site-toSite und Remote Access VPN machen sollte?

 

welche commands fehlen noch, damit die Remote Access VPN User sich gegenüber einen Radius-Server(172.16.1.2) authentifizieren und nicht local?

 

 

Grüsse

Hallo zusammen,

remote user sollen sich per VPN mit dem Router verbinden, um auf das Netz hinter dem Router zugreifen zu können aber dies klappt leider nicht!!!

 

 

VPN_ROUTER#show running−config

!

aaa new−model

!

!

aaa authentication login userauthen local

aaa authorization network groupauthor local

!

aaa session−id common

!

username vpnuser password 0 ******

!

!

!

crypto isakmp policy 10

authentication pre−share

encryption 3des

group 2

!

crypto isakmp client configuration group vpngroup

key ******

dns 172.16.1.21

wins 172.16.1.20

pool ippool

acl split_tunnel

!

crypto isakmp profile vpnclient *** wozu braucht man das???? *****

match identity group vpngroup

client authentication list userauthen

isakmp authorization list groupauthor

client configuration address respond

!

!

crypto ipsec transform−set newset esp−3des esp−md5−hmac

crypto ipsec transform−set remote−set esp−3des esp−md5−hmac

!

crypto dynamic−map dynmap 10

set transform−set remote−set

set isakmp−profile vpnclient

reverse−route

!

crypto map map1 65535 ipsec−isakmp dynamic dynmap

!

ip access−list extended split_tunnel

permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255

permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255

!

ip local pool ippool 10.10.120.10 10.10.120.50

 

-------------------------------------------------

 

was hat eigentlich "crypto isakmp profile vpnclient" zu bewirken bzw. welche Funktionalität liefert das denn?

 

 

wenn ich mich über vpn verbinde, klapt es und ich bekomme ein IP zugewiesen aber ich kann keine Maschinen von 172.16.1.0/24(hat der Router als directly connected) anpingen!!

 

 

Danke und Grüsse!

Hallo ,

könnte man mir bitte den wesentlichen Unterschied zwischen den beiden folgenden commands erklären:

 

static (inside, outside) [ip_address1] [ip_address2] netmask 255.255.255.255

static (outside, inside) [ip_address2] [ip_address1] netmask 255.255.255.255

 

Beispiel:

 

static (inside, outside) 10.1.1.24 192.168.1.24 netmask 255.255.255.255

static (outside, inside) 192.168.1.24 10.1.1.24 netmask 255.255.255.255

 

was hat es eigentlich für Auswirckung wenn man die Reihenfolge der interfaces ändert wie in dem Beispiel?

 

 

Danke und Gruß

Hallo zusammen,

wenn ich bei einer Firma arbeite und möchte eine Schulung besuchen dann müsste ich s. g. "Schulungsvereinbarung" unterschreiben!

 

Wie sieht allgemein eine Schulungsvereinbarung?

wie lange gilt es dann?

wie viel muß der Mitarbeiter zurückzahlen und ab wann wenn er die Firma verlassen möchte?

worauf muss man dabei beachten?

 

Ich bitte um diese Infos bzw. Erklärung.

 

 

Danke im voraus!

 

viele Grüße

Jungs, vielen herzlichen Dank für euere Antworten.

Woran unterscheiden sich genauer die beiden Modis(transparent und Server/Client) bzw. was sind die Vorteile und Nachteile der beiden Lösungen?

Bitte einbißchen ausführlicher bzw detaillierter wenn es geht ;-)

 

Danke im voraus!

Hallo zusammen,

Es geht um ein Netzwerk mit ca. 15x Access-Switchen, 2x Core-Switchen und ca. 20 VLANs.

welches Switch-Modi(client,server,transparent) ist hierfür geeignet und mehr Sinn macht?

 

Ich wäre sehr denkbar für jeden Tipp bzw. Vorschlag oder Erfahrung.

 

 

Gruß

Hallo zusammen,

um unser Netzwerk auf Latenz und Co. mal zu überprüfen, habe ich einen Switch(um extended ping zu ermöglichen) als Client benutzt und einen ping auf einen anderen Rechner gesetzt.

Zwischen den beiden Clients(Quelle- und Zieladresse) sind 2 Layer2 Switchen und 2 Router.

 

Das Ergebniss ist folgendes:

 

Test-Client#ping

Test#ping

Protocol [ip]:

Target IP address: 192.168.1.3

Repeat count [5]: 1000

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 192.168.1.7

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 1000, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.7

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (1000/1000), round-trip min/avg/max = 1/1/10 ms

 

Welche Bedeutung haben die parameter min/avg/max?

Kann jemand mir die ping-Statistik genauer interpretieren? was bedeutet eingentlich "max 10ms"?

Was sagt diese Ergebniss über das Netzwerk generell?

Kann ich davon ausgehen, dass das Netzwerk bzw. die getestete Strecke sauber ist?

 

 

 

Danke!

 

 

Grüsse

Danke!

Hallo,

Gibt es ein Cisco Switch mit nur 6 oder max. 8 Port (Kupfer RJ45) ?

 

mit anderem Worten: wie heisst der Cisco Switch mit den wenigsten Kupfer Port?

 

 

Danke & Gruss

Danke... erledigt!

Hallo zusammen,

wie kann ich am besten und effektivsten die Latenz in einem IP-Netzwerk messen?

um zu wissen ob hier hohe bzw. niedriege Latenzzeiten gibt.

 

Schöne Grüsse

Hallo,

was macht eigentlich der Befehl "fixup protocol" auf der PIX und welche Wirkung der hat?

 

welche Wirkung wenn es eingeschaltet bzw. ausgeschaltet?

 

 

Danke & Grüsse

Hallo,

Ich habe eine Cisco PIX515 version 6.3 und würde gerne den folgenden das interface ethernet3 als Trunk konfiguriere:

 

interface ethernet3 100full

nameif ethernet3 trunk security100

 

Am interface ethernet3 hängt ein C3524 Switch mit dem Port FastEthernet0/24 , auf dem 3 VLANs angelegt sind. Der Port FastEthernet0/24 ist als trunk konfiguriert. Die VLAN interfaces auf der PIX sollten die GW(ip 10.1.10x.1) sein.

 

vlan 100 10.1.100.0/24 GW: 10.1.100.1

vlan 101 10.1.101.0/24 GW: 10.1.101.1

vlan 102 10.1.102.0/24 GW: 10.1.102.1

 

 

und anshliessend 3 VLANs anlegen und an das interface anbinden

 

wie kann ich auf der PIX VLAN anlegen und das interface als trunk konfiguriere und vlans anbinden?

 

PS: Konfigbeispiel wäre sehr hilfsreich!

 

Vielen Danke schon mal!

 

Gruß

Danke für die Antwort!

 

ja, hab ja auf Cisco Seite gelesen, dass man s. g. Downloadable ACL für diesen Zweck konfigurieren kann aber nur mit RADIUS und nicht mit TACAS! stimmt's??

Welche wesentliche Vor-/Nachteile hat TACACS gegenüber RADIUS eigentlich?

Tach zusammen,

 

Das Problem:

Wie kann ich konkret festlegen, auf welche Rechner ein remote user, der via Cisco VPN sich einwählt, zugreifen darf und nicht?

 

Ich wähle mich über die PIX ein und da ist ein dynamischer Pool konfiguriert. Der user bekommt eine die nächste frei IP Adresse von dem Pool zugewiesen. Die Authentifizierung läuft ber einen Cisco ACS Server! und somit kann eigentlich jeder, der sich einwählt, auf jeden Rechner zugreift!

Kann man eigentlich diese IP statisch vereben(nicht group per user) und wo kann mann den Zugriff festlegen?

 

Gibt es eine Möglichkeit, dieses Problem in den Griff zu bekommen bzw. bekannte Lösungsansatz? hat man schon damit Erfahrungen?

 

 

 

Ich bin für jede Hilfe bzw. Tipp sehr dankbar

 

Gruß

Danke onedread aber es funktioniert bei mir immer nocht nicht!!

 

nachdem ich den command "ip domain-name ..." erfolgreich ausgeführt hatte, kann ich irgendwie kein "crypto ..." eingeben! der Switch kennt kein Befehl heißt "crypto"!!

 

wie ich schon sagte: es handelt sich um einen C3750 mit der Version c3750-ipbase-mz.122-25.SEE3.bin

 

 

Noch einen Tipp vielleicht?

 

Gruß

Danke für die Erklärung!

und hast du es mit SSH für den Cisco3750 geschaft?

 

 

Ich habe es mit einem Cisco3750 Switch(c3750-ipbase-mz.122-25.SEE3.bin) versucht aber leider nicht geschaft :-(

 

mit conf t oder ohne lässt sich der command "crypto key ..." nicht ausführen!

 

Funktioniert es nun bei dir? falls ja wie hast du es konfiguriert?

 

 

Danke und Gruß

mal eine Frage:

welche Vorteile hat SSH gegenüber Telnet für den Zugriff auf Switch/Router/FW??

 

wofür ist gut SSH gegenüber Telnet und was kann SSH besser als Telnet bzw was lässt sich in dem Zusammenhang empfehlen?

 

Danke & Gruß

ok, d. h. im Prinzip gleiche Wirkung!

 

Gibt es eigentlich eine Rgel, die besagt, dass standard ACL sonah wie möglich an die Quelle und die extended ACL sonah wie möglich an die Source platziert werden soll oder umgekehrt???

 

Gibt es so eine Regel eigentlich und falls ja wie ist die richtige Reihenfolge?

welche Sinn steckt eigetlich dahinter?

 

 

anke & Gruß