Lanjunkie

Hallo Leute habe mal wieder ne Fachfrage: Hab ein internes Netz mit Domain in der zum Internet ein Proxyserver mit ISA2004 steht, dieser ist ebenfalls Teil der Domain da für den Webfilter nach draußen die Anmeldeinformationen darüber entscheiden was man sehen darf und was nicht. Vor dem ISA Server hängt noch ein DSLRouter mit einer internen Firewall. So nun soll eine Website extern freigegeben werden, aber nur für Mitarbeiter! Kein anderer (Annonymer soll die HP angezeigt bekommen) Dazu haben wir ne DMZ (mit dritter LAN Karte) erstellt und den Webserver da rein gepackt. Danach die Filterreglen im ISA festgelegt und im DSL Router alles nötige eingestellt. Soweit so gut auf dem Webserver läuft IIS6.0 und ist nun auch von außen erreichbar. Nun die Frage: Damit nur User die Seite sehen die es sollen, haben wir im ISA Server für die DMZ Weiterleitung (Weblistner) eingestellt das eine Autentifizierung immer nötig ist und auf DIGEST Autentifizierung gestellt. Funktioniert auch wunderbar, sobald man mit der URL kontakt auf nehmen will kommt ein Login Fenster. Hier muss man dann allerdings seinen Domänenlogin eingeben und weiter gehts. Funktioniert alles wie gewohlt. Aus der DMZ gibts außer einem Port für eine SQL Verbindung keine weiteren Ports welche ins interne LAN gehen. Allerdings stellen wir uns die Frage wie sicher das ganz ist. Immerhin muss man in dem Loginfenster seine Domainanmeldung eingeben. Wie werden die Daten hier übertragen?? Immerhin ist es ja DIGEST, aber was heißt das? Werden die Daten des Loginfensters auch einfach per HTTP übertragen?? Wir verwenden zwar komplexe Passwörter, welche alle 30Tage geändert werden müssen. Aber wenn jemand die Daten erspäht könnte er damit was anfangen?? Der ISA läßt ja nur HTTP anfragen per Listner zum Webserver durch. Und im DSL Router sind außer diesem Port alle anderen dicht. Was meint ihr dazu? :confused: ----------------- ------------ ----------------- - LAN (Domäne) - <--> - ISA 2004 - <--> - Router mit FW -- > Internet ----------------- ----- | ---- ----------------- | | Webserver in DMZ

Ist halt für den mobilen Betrieb in 2 Räumen vorgesehen und jeder Raum hat ne eigene Leitung, und jedesmal in den Technikkeller rennen und umstecken?? Nö bitte nicht! Und jedesmal die Port umkonfigurieren? Das wär auch Hölle... Das muss doch möglich sein...

Hallo, hab mal wieder ein Problem. Hab hier nen Catalyst 2950 und auf allen Ports läuft Port Security das klappt auch wunderbar. Nutze hier das Sticky Learning und nach dem lernen einer neuen MAC wird immer die Running in die Startupconfig kopiert. Jetzt habe ich ein Notebook welches an 2 verschiedenen Ports funktionieren soll. Leider nimmt er die MAC nur auf einem Port (Interface) an. Bei dem zweiten sagt er immer duplicate mac address found. Im Sticky mode geht er dann immer immer immer auf Shutdown. Laut Handbuch ist dieses Verhalten auch korrekt: It is a security violation when one of these situations occurs: •The maximum number of secure MAC addresses have been added to the address table, and a station whose MAC address is not in the address table attempts to access the interface. •An address learned or configured on one secure interface is seen on another secure interface in the same VLAN. Hier die geladene Config: Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# end IOS2950C V12.1(22)EA6 Frage gibts ne Workaround ohne nen unmanaged Switch vor einen Port zu schalten an dem dann beide Laptopleitungen hängen? Danke!

Hallo daking, also erstmal Danke für die ausführliche Antwort! Den Befehl switchport trun encap dot1q kennt mein 2950 zwar nicht (altes IOS, denke ich) Aber der Rest nach Lösung A klappt wunderbar. Allerdings muss das native DUMMY Vlan der beiden gegenüberliegenen Trunkports das gleiche sein, da sonst ständig vlan configuration errors über das CPD Protokoll ermittelt werden. Da ich immo das def Vlan 1 nicht einfach so ändern kann, weil es ein Teil eines großen Netzes ist was bisher nicht mit VLANs und Port-Securitys betrieben wurde, habe ich das erstmal so gelassen und lediglich die native vlans auf den Trunks auf X gesetzt. Hat es denn überhaupt einen Nachteil VLAN 1 auch für Nutzdaten zu benutzen, außer das da auch die CDP Daten übertragen werden? Danke!

Abschnitt von SW2 ! interface FastEthernet0/21 description UplinkSW3 switchport mode trunk ! Abschnitt von Von SW3: ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 description UplinkSW2 switchport mode trunk ! interface FastEthernet0/23 shutdown ! Über den Trunk sollen 2 VLANs übertragen werden (1&2) Ja ist ein Windows Notebook mit XP prof2 und SP2 mit Domainanmeldung (AD)

Habe mal eine Frage zu Trunkports zwischen 2 Switchen. Habe hier nen Catalyst 3750G und 2 Catalyst 2950 in folgender Config SW1 (3750G) <--Fiber 1Gbit Trunk --> SW2 (2950) <---Kupfer 100Mbit Trunk --> SW3 (2950) Sind also alle in Reihe und der 3750 ist der Kopf der Anlage, es sind zwar noch mehr Switche verbaut aber um dieses Segment gehts halt. Auf allen Switchen läuft Port-Security im shutdown modus, funktioniert auch wunderbar! Nur ist mir aufgefallen, dass wenn ich aus dem SW2 die Verbindung zum SW3 rausnehme und statt dessen mein Notebook anklemme aufs Netz Zugriff bekomme. (Die MAC von meinem Laptop ist not allowed auf den Switchports). Beide Trunkports von SW2 und SW3 sind auf mode trunk gesetzt, aber mein Notebook geht trotzdem. Die Frage ist also ob man das auch wegbekommt und quasi es nur erlaubt das die beiden Switche mit einander reden dürfen? Und dann noch eine Frage, wie macht ihr das mit den SNMP Traps und Syslognachrichten? Wollte das bei uns auch nutzen aber ich habs noch nie gemacht, bringt Win2003 Server einen Server dafür mit, oder gibts da was gutes als Freeware? Oder was könnt ihr empfehlen? Danke für eure Hilfe!