Jump to content

Cyco

Members
  • Posts

    118
  • Joined

  • Last visited

Everything posted by Cyco

  1. Hallo, mal eine Frage. Kann man einfach den PSK einfach kopieren wenn ich die public IP der Gegenstelle ändern muss. crypto isakmp key g3952rj93's# address 2.2.2.2 no-xauth nach crypto isakmp key g3952rj93's# address 12.12.12.12 no-xauth Das geht doch schief oder? Danke und Gruß Cyco
  2. Hallo in die Runde, in welches VLAN stecke ich eigentlich den Destination Port wenn ich RSPAN konfiguriere? Irgendwie finde ich nicht die richtige Stelle in den Dokumentationen die mir das beantwortet!? z.B. die Source Ports sind im VLAN 100 oder fahren z.B. private VLAN (30[p], 200) Danke schonmal
  3. ahhh ich glaube einen sinnvollen Grund gefunden zu haben :D EDIT: "Nach nicht Erreichbarkeit kennt doch der eine Router vom anderen eh nicht mehr dessen Prio oder etwa doch?" Das würde mich aber noch interessieren? Folgendes Prob habe ich, was mir nicht ganz einleuchtet. Zwei Router: R1: interface GigabitEthernet0/0 ip address 192.168.10.28 255.255.255.248 no ip redirects standby 200 ip 192.168.10.30 standby 200 priority 90 duplex auto speed auto no cdp enable R2: interface FastEthernet0/1 description Fa0/1 WAN EthernetConnect ip address 192.168.10.27 255.255.255.248 duplex full speed 100 no cdp enable standby 200 ip 192.168.10.30 standby 200 priority 120 standby 200 preempt Dazwischen befindet sich eine WAN Verbindung. Jetzt ist irgendwo in der Providerwolke ein Fehler aufgetreten und die beiden Router konnten sich per ICMP nicht mehr erreichen. Für beide Router war alles i.O. (LAN/WAN und Line Protokoll UP) weil sich vor beiden Routern noch aktive Provider-Komponenten befinden. Normalerweise hätte doch das HSRP schalten müssen oder etwa nicht, da keine HSRP Messages ausgetauscht werden können?
  4. Hallo in die Runde, kann mir mal einer den Sinn hinter dem "decrement" bei HSRP erklären? Ich finde aktuell keinen sinnvollen Grund warum man diesen Wert setzen soll, da bei nicht Erreichbarkeit des primären Routers doch eh der secondäre Router zum neuen AKTIVE wird :confused: Nach nicht Erreichbarkeit kennt doch der eine Router vom anderen eh nicht mehr dessen Prio oder etwa doch? Kann mich da mal jedem Aufgleisen :) Danke schonmal
  5. Hallo Leute, sagt mal kennt jemand eine Möglichkeit den Typ des Devices (ob Layer 2 oder 3) anhand einer genauen OID rauszufinden? Layer 3 hat keine Fordwarding Database, aber ein Layer 2 Gerät hat unter umständen neben der FDB auch einen miniARP-Cache. Demnach wird ein L2 unter Umständen immer als beides erkannt. Hoffe es nicht zu verwirrend beschrieben zu haben ;-) Danke schonmal
  6. Hallo, habe das Forum schon durchsucht, aber leider nix passendes gefunden. Kennt jemand eine Möglichkeit, wie man RDP über PROXY auf eine public IP durchführen kann? Ich weiss, dass RDP nicht proxyfähig ist und NAT nicht in Frage kommt :( Deshalb hilft an dieser Stelle wahrscheinlich nur ein Workaround. Für Ideen bin ich sehr dankbar. mfg cyco
  7. Hallo! vllt kann mir das einer von euch erklären. Bsp.: Ich habe genau 4 Hops zwischen Quelle und Ziel. Solange das Ziel nicht erreicht wurde, sehe ich mit Wireshark nur "request"-Nachrichten abgehen. Woher bekommt der Client die Informationen (IP Adresse und unter Umständen den DNS Namen zu diesen IP's) wenn gar keine "reply" Nachrichten von den Zwischenhops zurückkommen? Ich bin immer davon ausgegangen, dass das Gerät selbst (bei dem der TTL 0 erreicht wurde) eine Nachricht mit seiner Absenderadresse und der Destination der eigentlichen Quelle versendet. stehe da gerade bissl auf'm Schlauch :confused: danke
  8. Hallo Leutz, mal ne Frage. Ich habe hier so einen Cisco Secure ACS Teil rumzustehen. Jetzt würde ich gern per MAC based Authentifizierung den Clients ein bestimmtes VLAN zuordnen. Geht das mit dem Teil oder benötigt ich noch es anderes? Ne andere Möglichkeit wäre wahrhscheinlich dann 802.1X gegen Active Directory oder Radius zu fahren (MAC Authentication Bypass)!? Danke schonmal...
  9. Hallo, also wenn ich das richtig gelesen habe, dann hat der WS-C3750G-12S-E eine 32GBit Backplane und das sollte locker reichen. Daran angeschlossen werden eh nur 100 MBit Switches (iLo Netz) mit 1GBit Uplink zur C3750G-12S. Vielen Dank für eure Hilfe
  10. Hallo Jungs, mal ne Frage. Ich suche eine neue Alternative zur Catalyst 3508g xl (8 Port fibre) welche dem heutigen Stand enspricht und deutlich mehr Glasinterfaces besitzt. Kennt da jemand was, denn ich finde nichts so richtig. Nexus? Schonmal danke im Vorraus.
  11. Hallo, mal ne Frage. Wie ihr auf den Bild sehen könnt, habe ich drei Router. Zwischen R1 und R2 läuft HSRP auf den "e0" Interfaces. Jetzt eigentlich schon meine Frage. Wie muss das Routing auf R3 eingestellt sein, damit ich das 171.16.6.x/24 Netz erreichen kann? Müsste ich auf R3 zwei Routen mit den beiden Gatewayadressen von R1 und R2 ABER mit unterschiedlicher Metrik einstellen? Auf den "e1" - Interfaces läuft KEIN HSRP, demnach habe ich ja theor. immer zwei phy. gebundene Adressen als Gateway. Danke mfg Cyco
  12. Kein Plan warum der auf UTC steht. Habe ich selber nicht konfiguriert das Teil. Jetzt stellt sich mir die Frage ob das auch so funktioniert wie ich mir gedacht habe. Also Cisco Router als NTP Server fürs lokale Netzwerk und Windoofs Clients können sich da die Zeit problemlos holen. Gibts Erfahrungen das das problemlos funktioniert? Oder kann der Cisco selbst nur als NTP Client arbeiten!? Thx
  13. Hi...wollte ich gerade noch nachposten. Wenn ich das gerade richtig verstanden habe, kann man ja die Zeitzone manuell einstellen. Solange man da nix dran macht, sollte die Uhr immer auf UTC stehen bleiben?!
  14. Hallo! Ich wollte eventuell einen Cisco Router als lokalen NTP Server mißbrauchen. Jetzt stellt sich mir aber die Frage, ob ich damit auch die lokale Clock auf dem Router selbst beeinflusse (show clock)? Hintergrund ist, dass der Router auch VPN Verbindungen herstellt. Aktuell steht die Uhr auf UTC. Weil das Teil ja auch VPN's über verschiedene Zeitzonen aufbaut,könnte ich mir jetzt vorstellen, dass die Aushandlungen der VPN's nicht mehr hinhauen, oda? Danke für jede Antwort!
  15. Hello Fans, mal ne kurze Frage. Muss oder sollte man den Stack darauf vorbereiten, dass ein neuer Member hinzukommt (zumindest hat mir das einer erzählt, konnte aber in der Ciscodoku nix konkretes finden)? Habe den neuen Member auf Factory-Einstellungen zurückgesetzt und da es die Nr 3 im Stack werden soll, die Switchnr. geändert... Switch# Role Mac Address Priority State -------------------------------------------------------- *3 Master 0000000000000 1 Ready ...ist jetzt noch etwas beim neuen Salve zu beachten und was bedeutet jetz dieses "switch 3 provision ws-c3750g-24t"??? Vielen Dank
  16. Hallo! Das mit dem VOR oder DAHINTER ist doch eigentlich nur Ansichtssache?! Dann nochmal ein Bsp. was ich mal so ähnlich in einem Buch gesehen habe. 10.1.3.0/24 ====== |eht1-Router-eht0|====== 10.1.4.0/24 <----------- Komminikationsrichtung -------- Angenommen ich möchte jetzt allen Rechner im 10.1.4.0/24 Netz verbieten, mit dem 10.1.3.0/24 zu kommunizieren. 1. Jetzt könnte ich an "eth0" eine ACL für IN 'ODER' an "eth1" eine ACL für OUT definieren. Sollte beides gehen bzw. sieht ganz logisch aus?! 2. Eigentlich sollte doch aber auch folgendes funktionieren. => eth0 als OUT ACL 'ODER' eth1 als IN ACL Das bedeutet doch eigentlich auch nix anderes, dass eingehender Traffic erst du den Routingprozess geht, bevor die ACL von "eth0" das Paket verwirft, bevor es intern an "eth1" geschoben wird. Die bedeutende Frage in diesem Bsp ist, ob im Router interner Traffic welcher von eth0 zu eth1 geschoben wird als OUTgoing gedeutet wird und mit Fall von eth1 dann als INcomming? Hoffe ich habs ned zu verwirrend beschrieben! Danke
  17. Hallo! Ich habe hier gerade ein Verständnisprob. mit diesen ganzen ACL's. Wir haben bei uns in der Firma so ein schickes 6500 Teil wo man virtuelle Layer3 Schnittstellen definieren kann. Jetzt gibts zu jedem Interface eine "access-group" für INcomming. Erstes Codebeispiel. Bedeutet...lasse alles rein und filtere rauszus's. interface Vlan122 description Vl122 MEINE ip address 10.1.122.1 255.255.255.0 ip access-group inacl-122 in no ip redirects no ip proxy-arp ip policy route-map rm122 no shutdown no ip access-list extended inacl-122 ip access-list extended inacl-122 permit ip any 10.1.122.0 0.0.0.255 ! permit ip 10.1.122.0 0.0.0.255 10.7.201.0 0.0.0.255 permit ip 10.1.122.0 0.0.0.255 10.9.203.0 0.0.0.255 Würde das genauso funktionieren, wenn ich das Ganze als OUT konfiguriere? interface Vlan122 description Vl122 MEINE ip address 10.1.122.1 255.255.255.0 ip access-group out_acl-122 out no ip redirects no ip proxy-arp ip policy route-map rm122 no shutdown no ip access-list extended out_acl-122 ip access-list extended out_acl-122 permit ip any 10.1.122.0 0.0.0.255 ! permit ip 10.1.122.0 0.0.0.255 10.7.201.0 0.0.0.255 permit ip 10.1.122.0 0.0.0.255 10.9.203.0 0.0.0.255 Meiner Meinung nach ist das IN und OUT doch völlig äquivalent oder sehe ich das falsch? Im IN - Fall würde das Paket schon beim Empfang gefiltert werden (ohne quasi die Schnittstelle zu durchlaufen => bildlich gesehen) und im OUT - Fall würde das Paket erstmal durch die Schnittstelle geleitet werden und kurz vor dem Senden gefiltert werden?! Könntet ihr mich mal bitte diesbezüglich aufklären? Vielen Dank
  18. Hallo Mal ne kurz Frage. Konfiguriere gerade meinen ersten Cisco Router in Bezug auf ISDN. Angeschlossen ist das Teil vom NTBA auf BRI0 (BRI1/0) Jetzt stellt sich mir gerade die Frage, ob ich überhaupt einen Dialer bauen muss, wenn sich nur von Remote eingewählt wird. Meiner Meinung nach sollte es doch zureichen nur die BRI 1/0 zu konfigurieren oder liege ich da falsch? Kann ich das Ganze jetzt noch mit Access Listen absichern, damit die Remoteuser sich nur auf bestimmt Hosts bzw. kleines Subnetz connecten können? Danke für eure Hilfe!
  19. Hallo! Gibt es ne Möglichkeit zusätzliche Konfigurationen auf einen Switch/Router über Netz zu kopieren? z.B. alle Befehle in einem File ablegen und dann übertragen. Hintergrund..ich möchte das AAA per Radius auf den Kisten aktivieren und wollte nicht auf jedes einzelne Gerät gehen um die Befehle einzeln eingeben zu müssen. Kennt jemand ne elegante oder komplett andere Möglichkeit dieses zu realisieren? Danke
  20. Servus... Mal ne Frage an die Experten, die IEEE802.1X im Einsatz haben. Und zwar leuchtet mir noch nicht ganz ein, wie die bzw. anhand welcher Daten die Authentifizierung von statten geht. Soll Zustand => eine ADS Domäne, die alle User und Computerkonten enthält. In der MS Hilfe lese ich, dass jeder Client der Authentifiziert werden soll, ein Computerkonto besitzen soll. Da XP ja EAPoL (IEEE802.1X Supplicant) fähig ist, müsste ja rein theor. das vorhanden Computerkonto dazu genutzt werden oda sehe ich das falsch? Was ist mit Clients, die NICHT EAP bzw. IEEE802.1X fähig sind. Dazu habe ich ein paar Infos gefunden, wo ein "Benutzerkonto" mit der MAC - Adresse als Username und PW im AD erstellt wird. Sehe ich das richtig? Wäre super, wenn ihr mir hierbei mal weiterhelfen könntet. Vielen Dank
  21. Danke... Aber was ist MDA? Ist MDA die Lösung falls bei Multi Host jetzt eine unbekannte MAC hinzukommt? Und was meinste das zu 2. die Sache veraltet ist? Bedeutet das, dass der Port weiterhin offen bleibt, wenn sich ein Client abmeldet? thx
  22. Hallo! Ich bin gerade dabei, mich mit dem Thema ein wenig zu beschäftigen und habe auch schon die ein oder andere Beschreibung gelesen. Jetzt habe ich noch ein paar offene Fragen, welche aus den Whitepapers von Cisco meiner Meinung nach nicht so richtig ersichtlich sind. Da ganze in Bezug auf Multiple Hosts an einem IEEE 802.1X aktivieren Port. z.B. VMWare oder ein Switch/Hub an einem IEEE 802.1X aktivierten Port. Hier schreibt Cicso: 1. Der erste erfolgreich authentifizierte Client bestimmt das VLAN für alle Clients und schaltet den Port frei. 2. Findet ein EAP Logoff statt, wir der Port gesperrt. zu 1. Was passiert jetzt mit dem Port, wenn ein Client mit unbekannter MAC zusätzlich an diesen Port gebracht wird. Blockiert der Switch dann den gesammten Port für alle Clients oder nur für die unbekannte MAC oder wird die unbekannte MAC auch einfach zugelassen (wäre eigentlich fatal)? zu 2. Bleibt der Port dann weiterhin geschlossen, oda fangen die restlichen Clients einen erneuten EAP Prozess an und der Port wird wieder freigeschalten? Vielen Dank Cyco
  23. Hallo! Besteht eine Möglicheit, den bestehenden IP Pool von fest zugeordneten IP <=> MAC Adressen auf einen Radius Server zu übernehmen bzw. bei neuen IP => MAC Adressenzuweisungen, diese automatisch auf den Radius zu übertragen? Oder gibt es vllt die Möglichkeit, dass der W3K Radius - Server auf die MAC Adressen vom W3K DHCP Server zur Authentifizierung zugreifen kann, ohne eine extra MAC - DB am Radius zu flegen? Ziel soll eine IEEE802.1X Authentifizierung von Geräten am einem Switch sein. danke
  24. Moin... Da von den inzwischen über 200 Seiten starken Tread wahrscheinlich 90% nur noch Spam ist und das Wesentliche nicht mehr zu finden ist, stelle ich mal meine Frage direkt. Was kann ich als Diplom-Informatiker, MCSA 2000 (leider schon lange her) und KEINE Beruferfahrung im Vorstellungsgespräche als Monatsgehalt in etwa verlangen? Quasi Einsteigergehalt! Kein öffentlicher Dienst! Danke für die Antworten
  25. Hallo! Mal eine Frage an die Profis von euch. Und zwar habe frage ich per SNMP (Perl Script) eine ganze Menge Daten vom Switch ab. Dabei steigt die CPU - Auslastung teilweise in kritische Bereiche von 50-70%. Jetzt würde ich gern wissen, ob sich sowas irgendwie negativ auf den Switch bzw. auf die zu vermittelnden Pakete auswirken kann? Kann es passieren, dass vermehrt Pakete verworfen werden, solange der Agent bzw. die MIB durch SNMP Abfragen abgefragt wird? Vielen Dank
×
×
  • Create New...