Blacky_24

http://www.mcseboard.de/showpost.php?p=563259&postcount=6 Er soll 10 Subnetze INNERHALB von 172.16.1.128/26 bilden. Gruss Markus

Aaaaaaaaaaaaaargh. Was soll er denn sonst draus machen? /26 = 64 Adressen /27 = 32 Adressen /28 = 16 Adressen /29 = 8 Adressen /30 = 4 Adressen Anhand der Aufgabenstellung kann er doch garnix anderes machen wie /30. Was ist da unklar? Hier gehts ums Prinzip, das MUSST Du verstehen sonst hast Du IP nicht verstanden, also konkretisiere bitte Deine Frage! Gruss Markus

Das Zauberwort heisst "TAPI". Solche Lösungen gibt es von ... bis ... Für mein altes Ascom Eurid 40 gab es ein serielles Kabel mit Treiber, damit konnte man aus Outlook rauswählen, die besseren PBXen können das auch alle. Rauswählen über Outlook geht damit eigentlich immer, bei eingehenden Gesprächen den richtigen Kontakt aufzumachen können nicht alle. Also nach einer Lösung mit TAPI suchen ... Gruss Markus

Als Erstes solltest Du den SN-Rechner wegschmeissen, den hast Du in der Prüfung auch nicht. SN werden vom Anfänger von Hand gerechnet, der Profi macht das im Kopf. Die Aufgabenstellung ist klar, Du hast anscheinend aber ein Problem damit, sie zu verstehen: Plan the first 10 usable subnets of the LAN network address: 172.16.1.128/26 Da steht: Die ERSTEN ZEHN BRAUCHBAREN in 172.16.1.128/26 - alles Andere können wir getrost ignorieren. Frage 1: Was ist brauchbar? Meiner Meinung nach beginnt die Brauchbarkeit bei Netzen der Grösse 4 (s.o.), also brauchen wir 10 4er Netze = 40 IP-Adressen Frage 2: Kriegen wir 10 4er Netze in den vorgegebenen Adressraum? Der vorgegebene Adressraum hat 64 Adressen, 40 passt also. Es bleibt ein "Rest" (64-40=24), damit können wir leben, es kommt auch nicht darauf an, ob dieser Rest irgendwie sinnvoll ganz oder teilweise genutzt werden kann, die Aufgabenstellung verlangt die ERSTEN 10 BRAUCHBAREN Netze und stellt keinerlei Anforderungen an einen eventuellen Rest. Gegenüberlegung: Wir haben 64 Adressen die auf 10 Netze verteilt werden sollen, ergibt rechnerisch 6,4 Adressen pro Netz. In unserem Binärsystem können wir Netze der Grösse 6,4 nicht abbilden, was wir können ist 1, 2, 4, 8 ..... 8 können wir im konkreten Fall abhaken da zu gross (nicht im Rahmen der Aufgabenstellung machbar), am nächsten liegt also die 4. 2 ist nicht brauchbar da keine nutzbaren Adressen beinhaltend, 1 wäre eine Hostroute, kein Netz. Also landen wir wieder bei der 4. Nochmal: Du denkst zu kompliziert! So was bricht Dir in der Prüfung das Genick. Die Aufgabenstellung ist simpel und klar. Du darfst nicht anfangen, da mit irgendwelchem Halbwissen irgendwas reinzuinterpretieren was nicht da steht. Subnetting ist wie schwimmen oder Fahrad fahren - da hilft nur üben, üben und üben und irgendwann macht es "klick" und man kanns. Schmeiss den Rechner weg und setz Dich hin und lerne das von Hand zu machen. Rechne ein paar Tage lang Netze, Beispiele findet man leicht bzw. kann man selber machen. Da hilft nur Routine. Wenn Dich Deine Freunding nachts um 3 weckt und nach irgendeinem Netz fragt muss die Antwort wie aus der Pistole geschossen kommen, dann hast Du es begriffen. Und das ist dann eine der unumgänglichen Grundlagen für alles andere was noch kommt - Routing, Supernetting, Netzwerkplanung, Fehlersuche ... Gruss Markus

Vergess in diesem Zusammenhang das CIDR, Du bist auf einem Holzweg was das angeht. Ich weiss schon wo der Floh in Deinem Ohr herkommt aber in diesem Zusammenhang ist der vollkommen falsch. Du sollst SUBnetten, nix anderes - und Du kannst Dich somit nur IN dem vorgegebenen 172.16.1.128/26 bewegen, nicht irgendwo ausserhalb. Jenseits des Routers der das 172.16.1.128/26 terminiert weiss eh kein Schwanz was Du treibst. Gruss Markus

Was steht denn hinter dem "/"? Abgesehen davon halte ich die erste "Lösung" für Kokolores. Die geben Dir ein Netz dass Du in weitere Netze unterteilen sollst, wie kommst Du da auf die Idee Deine Netze bunt und lustig ausserhalb des vorgegebenen Bereichs zu verteilen? Wenn Du von einem ISP eine Leitung mit einem /25 kriegst kannst Du die Adressen ja auch nicht irgendwo in die Weltgeschichte legen. "Usable" heisst in meinen Augen dass man mindestens zwei Hosts reinkriegt, also pro Netz vier Adressen (Netz, Host1, Host2, Broadcast) - beginnend mit der 172.16.1.128 und unter der Voraussetzung dass Du dahinter 40 Adressen Platz hast. Gruss Markus

Das "access-group outside_access_in in interface outside" muss ich wahrscheinlich nicht verstehen. Probier mal: access-list INSIDE-IN permit ip 192.168.30.0 255.255.255.224 192.168.1.0 255.255.255.0 any access-group INSIDE-IN in interface inside Gruss Markus

Das Einfachste für einen Switch ist wohl , die Tags dann in die Frames zu schreiben wenn der Frame in den Switch reinkommt - wenn der Frame nicht schon einen Tag hat, also über einen Trunk in den Switch kommt. Die Tags erst später in den Frame zu schreiben würde bedeuten: - Innerhalb des Switches gibt es getaggte (über einen trunk in den Switch gelangte) und ungetaggte (über einen Endgeräteport in den Switch gelangte) Frames - Rührei ist immer schlecht, speziell dann wenn es in Kombination mit Spiegelei auftritt; - Für jedes ungetaggte Frame das den Switch über einen Trunk verlässt muss der Switch nachsehen über welchen Port der Frame in den Switch reinkam um dann den Tag in den Frame zu schreiben - das dürfte wohl eine todsichere Methode sein um den Switch performancemässig das Genick zu brechen. De facto läuft es bei den aktuellen Switches i.d.R. wohl darauf hinaus, dass die Tags in dem Moment in den (ungetaggten) Frame geschrieben werden, in dem der Frame das VLAN verlässt dem der Port zugeordnet ist über den der Frame in den Switch gekommen ist - g**ler Satz :) Das ist aber meiner Meinung nach eher Stoff für eine philosophische Haarspalterdiskussion am Ethernet-Stammtisch. Man sollte wissen wo man was taggen kann und was die Vor- und Nachteile dabei sind. Mir ist kein Switch bekannt bei dem man administrativ explizit vorgeben kann an welcher Stelle getaggt wird. Die High-End-Eisen von Extreme und Foundry haben sehr viel Intelligenz in der Hardware (ASICS - besch**sen kompliziert in der Entwicklung und wenn der Entwickler einen schlechten Tag hatte kaum durch Software zu reparieren, wenn aber gut gemacht super performant), da wird man sich wohl hüten, die Komplexität durch verschiedene Tagging-Instanzen zu potenzieren - abgesehen davon dass man bestimmte Sachen ggf. nicht mehr konfigurieren kann wenn man sich für bestimmte Taggingverfahren entscheidet. Gruss Markus

Lass es, das wird nicht funktionieren. Der VPN-Client sitzt sehr tief im System, installiert eigene Dienste und Treiber ... Da hat sich in Vista zu viel geändert als dass das gut gehen würde. Wenn Du noch etwas wartest wird Cisco bestimmt einen Vista-geeigneten VPN-Client zur Verfügung stellen. Gruss Markus

Das mit der Aufklärung überlasse ich Deinen Eltern :) Die gute Nachricht: VLAN-Tagging kann so ziemlich auf jeder OSI-Schicht erfolgen, gängig sind derzeit OSI1-OSI3. OSI1: Das Tagging wird am Switchport durchgeführt. OSI2: Das Tagging wird anhand der MAC-Adresse durchgeführt OSI3: Das Tagging wird anhand der IP-Adresse durchgeführt OSI1 ist das Gängigste und Einfachste, impliziert allerdings den grössten administrativen Aufwand. OSI2 und OSI3 erfordert entsprechend intelligentes Equipment, ist in Netzen ab einer bestimmten Grösse aber absolut gängig. Tagging auf dem NIC ist recht selten, die wenigsten Karten / Treiber können damit umgehen, ein Beispiel für solche Karten wären die (meisten) Server-Karten von Intel. SNAP ist nicht 802.3 sondern SNAP. Hast Du irgendwelche witzigen AT2-Sachen in einem alten Novell-Netz vor oder warum willst Du SNAP verwenden? Gruss Markus

Nö, habe ich nicht. Ich sitze im Garten unter dem Sonnenschirm, habe Blick auf die Alpen und kann mich einfach nicht entscheiden ob ich mir noch einen Kaffee oder das erste Bier hole. Alles in Allem die besten Voraussetzungen für ein ruhiges Wochenende. Meine teilweise etwas rustikale Art, meine Postings zu formulieren entspricht meinem ebenso rustikalen Naturell - hart aber herzlich, jedoch so gut wie nie beleidigend gemeint. PDM und OS sollte man auseinander halten, sonst gibts Konfusion. Gruss Markus (der mit dem Bier doch noch wartet bis der Grill vorgeglüht ist)

Ansonsten weisst Du wovon Du schreibst? Bug bei IPSEC in PIX-OS 3.0.3? Das OS gab es zu einer Zeit in der die PIXen noch Floppylaufwerke hatten und man Token-Ring-Interfaces einbauen konnte, das war so 1996-1997 - und über IPSEC mit der PIX haben wir damals alle laut gelacht. Der einzige IPSEC-Bug in PIX-OS 3.x war dass damit IPSEC überhaupt nicht möglich war, IPSEC mit der PIX geht erst ab 5.x - und das kam irgendwann in 2000 raus - auch auf einer ganz anderen Hardware-Plattform. Gruss Markus

Dann ist es wohl an der Zeit dass Du zu Deinem Chef gehst und ihm sagst dass Du das Ding nicht handeln kannst. Dann gibt es drei Möglichkeiten: - Dein Chef sorgt dafür dass Du die erforderlichen Kompetenzen bekommst; - Dein Chef sucht jemanden der die Kompetenzen hat; - Dein Chef sagt dem Kunden dass der sich jemanden suchen soll der die Kompetenzen hat. An einem sicherheitsrelevanten System rumzufummeln ohne 100% zu wissen was man tut ist fahrlässig - und dass kann einem sehr schmerzhaft auf die Füsse fallen. Und wenn da irgendwas fällt kannst Du mal davon ausgehen dass Dein Chef seine Füsse schnell aus der Fallinie bringt, wenn er Verantwortungsbewusstsein hätte würde er dich sonst wohl nicht in diese Situation bringen. Gruss Markus

AFAIR gabs 801/803 mit und ohne CAPI (unterschiedliche Ordernummern). CAPI war auf einer eigenen CD. Das englische Datenblatt könnte da aussagekräftiger sein weil da normalerweise auch die Ordernr. drin stehen. Wenn Du die CAPI-CD nicht hast hat sie entweder der Verkäufer verbummelt oder der Router hatte keine CAPI im Lieferumfang. Ob man die CAPI heute noch lizenzieren / nachbestellen kann entzieht sich meiner Kenntnis. Gruss Markus

Die Antwort lieferst Du doch selber. Es ist billig und der Standard ist ein "kann", kein "muss". Ich habe so einen Schrott zigfach gesehen, meistens Installationen aus den 90ern als Cat. 5 aufkam. In die beschränkten Köppe wollte einfach nicht rein dass man an eine Leitung nur einen PC hängen kann, vorher hatten die nämlich 10 Base2, da reichte es, eine Leitung quer durch die Bude zu schmeissen und man konnte alle PCs mit T-Stücken dranhängen. Damals kamen auch etliche proprietäre Split-Systeme auf. Da wollten etliche Elektriker pfiffig sein und haben solche Bastarde empfohlen - und weil unten rechts dann nur noch der halbe Preis stand ist der Geschäftsführer feucht im Schritt geworden und hat beauftragt. Konnte sich ja keiner vorstellen dass jenseits Cat. 5 / 100 MBit noch was kommen könnte, meisten lief das ja weiter auf 10 MBit und man hatte dann noch den Sprung auf 100 MBit als "Reserve". Gerüchteweise soll auch heute noch so verlegt werden weil die Dummen einfach nicht aussterben. Zum brechen. Wieder mal ein Beweis dafür dass der der exzessiv "spart" am Ende oft doppelt zahlt. Gruss Markus

Wusste gar nicht dass es in Deutschland einen BATM Titan gibt :) Die Kiste hat ein Webinterface, Telnet sollte auch gehen. Einigermassen selbsterklärend und geradeaus gebaut (ist allerdings schon länger her dass ich die in der Hand hatte, mag mittlerweile anders aussehen). ISL Können die AFAIR nicht, also die VLANs auf den Cisco auf 802.1q taggen, dann sollte das auch mit dem BATM passen (so man aufs Management kommt). Gruss Markus

Für Laptop-Platten gibt es externe USB-Gehäuse - und Adapter mit denen man die Platten an ein ATA-Kabel hängen kann. Ersteres sollte es für ein paar Euros im MediaGeizIrgendwas geben, letzteres im gut sortierten Fachhandel (Schrauberbude) oder per WWW. Grosse Hoffnungen würde ich mir so oder so nicht machen. Worst Case helfen nur noch spezialisierte Datenretter. Gruss Markus

Das was Du suchst ist ein Traffic-Analyzer/Lastgenerator, kostet so ab 100 Kiloeuro aufwärts. Mit einem Stück Software ist es da nicht getan. Gruss Markus

Eher nicht, das 10.99.99/24 ist am anderen Ende des Tunnels. Gruss Markus

Es ist doch relativ egal ob auf der anderen Seite eine PIX steht oder ein VPN-Client? Ich muss allerdings zugeben dass ich das noch nicht getestet habe, ich arbeite zu 99,999% über das CLI weil ich da flexibler bin - und bei SSH von Outside braucht man auch keinen Tunnel aussenrum. Werde den PDM von Outside mit VPN-Client nachher mal testen. Gruss Markus

http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/products_configuration_example09186a0080094497.shtml Gruss Markus

http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a00804dfa69.html Gruss Markus

Wo sind die ACLs denn gebunden - Interface - Richtung? Irgendwelche Zeilen die mit "Global" anfangen? Im Prinzip sollte das was Du willst kein Problem sein, mit den geposteten Konfig-Trümmern kann man diesbezüglich aber keine Aussage machen. Gruss Markus

Ähnlich? Ah ja. Account braucht er auch nicht da das ganze Zeug im "public" steht. Draufklicken, runterladen, Anleitung lesen, machen. Gruss Markus

Du denkst nicht, Du glaubst - und das macht am am besten nach den Riten der jeweiligen Religionsgemeinschaft, nicht im Netzwerk. Confreg zur Password-Recovery gibt es bei der PIX nicht. Gruss Markus