blackbox

Hi, vom "cisco" design ist der 2960S nen AccessLayer Switch - den kannst du dafür auch verwenden. Er kann auch ein "bischen" L3 Funktionen - was aber aus RAM geht und teilweise in Software gemacht wird. Wenn du auch in Zukunft L3 Funktionen haben willst - dann nimm den 3560er... Dem fehlt dann aber die Stacking Option des 2960Ser - die hast du erst wieder ab dem 37xxer. Die Frage ist - wie es dann von dem Switch weiter ins Netz geht... den soviele Server - und dann nur 1 GB Uplink finde ich nicht so dolle - da würde ich eher auf was mit 10G Uplink gehen...

Hi, hast du für das H.323 was du vermutlich verwendest - auf der ASA mal die FIXUP´s deaktiviert ? Das hilft hier meistens.

Hi, über den ASDM kann man das wirklich aktuell sehr schön lösen - sample Configs sind so etwas schwer (ich frage mich aber immer wieder - warum man einfach mal nen ASA kauft wenn man davon keinen sitzen hat und sowas nicht mit seinem Systemhaus macht)

Hi, für den Nicht Cisco Man - ASDM aufrufen - Livelog aufrufen - und schauen was da so angezeigt wird (ggf. auf die IP filtern - vom Kaspersky Server). (Wenn was geblockt wird ist es in der Regel rot oder ähnliches - jedoch nicht schwarz...

Hi, du bist dir sicher - das auch Certifikate drauf sind?

Hi, wichtig bei dem Unterschied ist das "S" hinter dem 2960 - das heißt - das über das Stacking Module erweitern kannst - im Vergleich zum "G" Modell - was das nicht hat. Die S Serie kann man ein wenig als Nachfolger Serie zum G ansehen. Bei den S Modelle : All models available with optional Cisco FlexStack stacking module (bis auf einen wo es nicht geht) Ebenfalls haben die "S" Modelle etwas mehr "Power" unter der Haube. Die Warranty ist auch einen Hauch besser. Ich würde die "S" Modelle den "G" Modellen vorziehen.

Hi, != heisst "ist nicht gleich" Sprich die Cert liegen im Flash und die Config im NVRAM - somit bekommst du die so einfach nicht mit der Config - teste mal die "Backup" Funktion aus dem ASDM - evtl. nimmt der die mit und ist für dich einfach anzuwenden.

hi, ich tippe drauf - das er auf einen Namen gepingt hat und keine DNS Namensauflösung auf dem Router eingerichtet ist. Ping doch einfach mal die 8.8.8.8 (Google Public DNS) an - der antwortet in der Regel auf "Ping".

Hi, wir haben die Erfahrung gemacht - das die S2M Lines wesentlich stabiler sind. Wenn ich in die Überwachung schaue - laufen div. S2M seid jahren ohne Ausfall - aber ne SDSL worüber der SIP in der Regel rennt - haben fast alle 1x im Jahr ne Downtime.

Und schau mal was das Log dann sagt. Da kommt bestimmt was!

Hallo, nein - die erstellen Certifikate kommen immer auf den Client für den du sie installiert hast. Meldet sich jemand mit Cert an - wird gegen die CA geprüft - da aber die ASA nicht die CA ist - muss sie ein "Unter" Certifikat der CA anfordern (einmalig) - so das sie prüfen kann - ob das Cert OK ist. Dier Cert werden nicht "verglichen" sondern geprüft gegen die CA. Identity Certificates = Das womit der User sich anmeldez CA Certificates = Das wogegen du prüfst

Da ja eine andere Instanz die Zertifikate ausgestellt hat - muss die ASA ja eine unter Instanz werden (Trust Point) - um diese Zertifikate prüfen zu können. Dann müsste es über die Funktion "Certificate to Connection Profile" klappen - habe ich aber bisher auch noch nie eingesetzt (nur mal beim lesen drüber gestolpert). Du musst ja nicht mehrere Certifikate auf die ASA laden - die kommen ja vom Client und werden gegen den Trustpoint gecheckt. Danach einem VPN Profil dann zugewiesen über obige Funktion.

Sag nochmal - was du genau machen willst (Typ Hersteller)

Hi, ja - da wird das VLN 116 und 300 1:1 zugeordnet. Du hattest aber was geschrieben - das VLAN 1 sollte 116 werden ?!? Da steht in der Cofig nur - das die Ports 1-24 "access auf Vlan 116" haben - das ist aber nicht das "Nativ" auf dem HP

Hi, dann musst du aber doch nicht die Certifikate auf die ASA laden ? Welche eToken willst du verwenden ?

Hm - verstehe nicht ganz was du machen willst. Willst du SSL Clientless machen - oder warum willst du Certifikate auf der ASA importieren ? Beim VPN bringt doch der Client das Zertifikat mit ? Oder willst du S2S machen - dann kannst du pro S2S natürlich nen Certifikat importieren.

Hi, äh wie jetzt - du schreibst - das du das VLAN 1 (HP) mit dem VLAN 116 (Cisco) verbinden musst - das kannst du über einen Trunk (seitens Cisco) vergessen - da der ja dann das 116 mit 116 verbinden will. Das würde nur so gehen - das du auf dem Cisco den Port als Access Port für VLAN 116 definierst und auf dem HP den für Access VLAN 1. Zusätzlich wirst du kein Traffik über den Link bekommen - anderst kannst du nicht von einem VLAN (HP) zu einem anderen VLAN (Cisco) brücken. Das VLAN 999 tut hier nicht weh - nur wenn du das auch mit welchem VLAN auf dem HP auch immer verbinden willst - müssen wir hier gedanken machen. Nebenbei - warum machst du dir so nen "Kuddel" zwischen zwei Herstellern und zwei Netzen ?

Hi, du hast aber 2 SSL Lizensen immer frei - bei ner "10 User" ASA sollte das doch reichen.

Hi, der CCDA ist eher was in Richtung zwischen Vertrieb und Technik - spricht die "Design" Phase (evtl. Consulting) - es ist meiner Meinung nach von beiden mit drin. Es verdeutlicht - wie man das Netz "Designen" soll - das leider vielen Leuten fehlt. Nachher im CCDP - ist es ja fast der CCNP - nur mit der ARCH Prüfung statt Troubleshooting.

Hi, genau die Upgrade Pfade habe ich genutzt für den "HP AIS Network 2011" - war eigentlich echt Easy - man haette es auch "Vertriebsprüfung" nennen können - für Fachwissen reichte der CCNA aus - wenn du den ASE haben willst - brauchst du nen CCxP.. Aber Bücher sind mit da auch nicht untergekommen - und der Kollege der den Lehrgang gemacht hat - ist mit ner "Loseblattsammlung" und nem "Cisco Grundlagen Buch" wieder gekommen... Typisch HP eben...

Hi, Buch für HP - puhhh - ich habe Cisco gelernt und Datenblätter geschaut - irgendwie haben die da ihr Konzept noch nicht so "rund"

Hi, wenn man heute den ganzen Tag IOS / .NET / Powershell tippt - danach kann man weder noch englisch noch sonst eine Sprache :-) - Sorry - ich bin für eine "Rechtschreibkorrektur" hier im Forum :-) :-)

Danke Wordo, ja - es soll Läden geben - die haben auf beiden Seiten der "zugekauften" Standorte gleiche IP´s - und da kann man nur in die NAT Kiste greifen :-( Danke dir - sowas hatte ich gesucht - dann wird es doch noch was mit dem Pfingsturlaub :-)

Hi danke dir - doch du checkst es - aber irgendwie ist heute nicht mein Tag - bin für die ganze sache schon gefühlte 100 NATs am machen :-) Suche einfach gerad nach so einem Sample... Mein Kopf ist leer und tut weh :-)

Hallo zusammen, ich sitze mal wieder irgendwie auf meinem Hirn. Ich habe eine Leitung zwischen 2 Cisco Routern (10 MBit) - auf der möchte ich den Traffik zwischen "2 IP" priorisieren - sprich die haben vorfahrt. Hat da jemand nen Ansatz - auf Services geht nicht - da dieser unterschiedlich ist und keiner so genau weiß was (Maschinesteuerung). Würde mich über ein paar Denkanstöße freuen.