Blacky_24

Bild sehe ich nicht. Grundsätzlich kannst Du den David hin und her portieren wie Du willst. Auf der David-CD ist ein Tool mit drauf mit dem man die ganze kranke Archivstruktur auf der jetzigen Maschine ein- und auf der neuen Maschine auspacken kann. In der Tobit-Knowledgebase findest Du diverse Artikel die das Procedere beschreiben. Aufpassen musst Du mit den David-Lizenzkeys. Erst mal testen ob die überhaupt auf Windows funktionieren. Tobit hat da die Kunden mehrfach ver**** <- bitte selbst ausdenken was da stehzen soll. In einer Version ging der Key auf beiden OS, dann wieder nicht, dann wieder doch. Echt zum brechen. Novell und Windows können problemlos koexistieren. Melden sich die User halt gleichzeitig auf beiden Systemen an, so what. Der Windows muss vom Novell nix wissen und umgekehrt - wenn man allerdings die Accounts (Benutzernamen / Passwörter) konsistent halten will ist etwas Arbeit angesagt, ansonsten muss man die halt in beiden Welten pflegen. Last but not least sollte man ein paar Gedanken ans DNS verschwenden, ggf. den DNS auf dem Novell abrüsten und auf den W2K3 pointen. Gruss Markus

Klar, weil mail.deinefirma.ch keine DNS-(Sub)-Domäne sondern ein Hostname ist fällt das dem DNS-Report auf die Füsse. Also die Abfrage auf deinefirma.ch machen, die Mailserver findet er dann selbst über die MX-Records im DNS - und in der MX-Rubrik im Report sollte nichts rot sein. Gruss Markus

Geh mal auf http://www.dnsreport.com/ und kipp Deinen Domänennamen oben links ein. Interessant speziell die Angaben zum Reverse-DNS. Wenn kein Reverse-DNS für den Mailserver eingetragen ist hast Du schlechte Papiere bei fast allen grossen Hostern. Dann einfach den der die IPs liefert bitten einen Reverse-DNS einzutragen. Dieses merkbefreite Sorbs erdet IPs ohne Reverse-DNS als "dynamic". Gruss Markus

Aber auch nur die Basics wie sie im Buch stehen. BGP ist nicht nur ein Routing-Protokoll sondern auch noch Politik. Die Leute die das wirklich draufhaben sind sehr dünn gesät. Wenn Du RIP oder EIGRP vermurkst geht vielleicht Dein LAN nicht mehr, wenn Du BGP vermurkst geht noch viel mehr nicht mehr und es kostet richtig Geld weil die Admins der anderen AS deine Routen schneller erden als Du "Muh" sagen kannst und damit die ganzen Peerings rausfliegen. Wenn man nicht wirklich Ambitionen im Enterprise- oder Carrier-Umfeld hat kann man BGP nach der Cisco-Prüfung getrost wieder vergessen. Die Advanced Routing ist etwas BGP-lastig und die Leute vergessen dabei schnell dass Routing nicht Selbstzweck und IP nicht nur BGP ist. Im Prinzip gehts beim Advanced Routing nur darum, den Leuten die vertieften Grundlage des Routings zu vermitteln. Distance-Vector- und Linkstate-Protokolle sind einigermassen übersichtlich, die EGPs schlagen da etwas aus der Art weil sie eben Meta-Protokolle sind und andere Aufgaben haben - obwohl BGP als Path-Vector-Protokoll systematisch nicht weit weg von den Distance-Vector-Protokollen ist. IS-IS sieht man in grösseren Firmen ab und an. Gruss Markus

Besteht nicht die Möglichkeit, die Transform-Sets zu vereinheitlichen? Abgesehen davon dass die Konfig minimal übersichtlicher wird geht das massiv auf die Rechenleistung der PIX wenn sie mehrere unterschiedliche Cryptoalgos parallel rechnen muss. Das Transform-Set gibst Du im jeweiligen Crypto-Map-Eintrag an, dann sollte das tun. Kopie aus einer laufenden Konfig von mir (IPs anonymisiert) - alles drin: VPN-Client, unterschiedliche Transform-Sets und Lifetimes ... sysopt connection permit-ipsec sysopt connection permit-pptp crypto ipsec transform-set FRA2SET esp-3des esp-sha-hmac crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 3600 crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET crypto map FRA2MAP 10 ipsec-isakmp crypto map FRA2MAP 10 match address FRA2 crypto map FRA2MAP 10 set peer 213.83.123.123 crypto map FRA2MAP 10 set transform-set FRA2SET crypto map FRA2MAP 20 ipsec-isakmp crypto map FRA2MAP 20 match address FRA3 crypto map FRA2MAP 20 set peer 213.83.234.234 crypto map FRA2MAP 20 set transform-set FRA2SET crypto map FRA2MAP 30 ipsec-isakmp crypto map FRA2MAP 30 match address BAM1 crypto map FRA2MAP 30 set peer 217.91.123.234 crypto map FRA2MAP 30 set transform-set FRA2SET crypto map FRA2MAP 40 ipsec-isakmp crypto map FRA2MAP 40 match address RXXXXX crypto map FRA2MAP 40 set peer 217.91.234.123 crypto map FRA2MAP 40 set transform-set SRSWNSET crypto map FRA2MAP 65535 ipsec-isakmp dynamic outside_dyn_map crypto map FRA2MAP interface outside isakmp enable outside isakmp key ******** address 213.83.234.234 netmask 255.255.255.255 isakmp key ******** address 217.91.123.234 netmask 255.255.255.255 isakmp key ******** address 217.91.234.123 netmask 255.255.255.255 isakmp key ******** address 213.83.123.123 netmask 255.255.255.255 isakmp identity address isakmp nat-traversal 20 isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 28800 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 2 isakmp policy 30 lifetime 86400 vpngroup IPSECVPN address-pool VPNRASPOOL vpngroup IPSECVPN dns-server 10.1.18.1 10.1.18.2 vpngroup IPSECVPN wins-server 10.1.18.1 10.1.18.2 vpngroup IPSECVPN default-domain yyy.xxxx.de vpngroup IPSECVPN split-tunnel IPSECVPN_splitTunnelAcl vpngroup IPSECVPN idle-time 1800 vpngroup IPSECVPN password ******** Tut ganz wunderprächtig. Gruss Markus

BGP mal eben so zu erklären ist kaum möglich, dafür ist BGP zu mächtig. Wenn Du das volle Programm willst kaufst Du Dir das Buch "Internet Routing Architecture" von Bassam Halabi (vorzugsweise in der englischen Ausgabe, die deutsche Übersetzung finde ich nicht so gut). Ansonsten gibt es etliche Grundlagenbeschreibungen im WWW, z.B. http://www.riverstonenet.com/support/bgp/index.shtml http://www.ittc.ku.edu/EECS/EECS_800.ira/bgp_tutorial/ Auf http://www.cisco.com wirst Du mit Material mehr oder weniger zugeschüttet, ansonsten gibt es diverse RFCs die BGP im Detail beschreiben und natürlich auch etliche Bücher ... Gruss Markus

Welcher Preis ist denn "realistisch". Nur weil das Investitionsvolumen von der Höhe her möglicherweise Deinem Jahresgehalt entspricht heisst das noch lange nicht dass das deswegen auch teuer ist. Wieviel Geld willst Du ausgeben und welche Leistung erwartest Du dafür? Das was da auf Eurem Einkaufszettel steht ist das untere Ende dessen was Cisco beim Switching anbietet. Solange Du nicht weisst und verstehst wie das (hoffentlich vorhandene) Konzept hinter dieser Beschaffung (inkl. Pflichten- und Lastenheft) aussieht kannst Du wohl kaum beurteilen ob das Preis-Leistungs-Verhältnis angemessen ist. Es gibt immer einen der das billiger kann - ob der dann aber gleich gut ist weiss man immer erst hinterher. Das klingt nicht wirklich nach einem tollen Netz, andererseits erlauben diese Angaben kein Urteil. Kling auch nicht toll, ich wage aber zu behaupten dass das Problem nicht unbedingt das MetaFrame ist sondern der der das geplant bzw. installiert hat - oder der der dann nachträglich die Parameter geändert hat. S.o. Der Preis ist relativ. Gegenfarge: Warum sollte ich. Einer der Vorteile von VoIP ist dass das im Datennetz laufen kann - Integration von Sprache, Video und Daten - da werde ich wohl kaum hingehen und dafür dann wieder ein eigenes Netz bauen. Für so was gibt es VLANs und QoS, was soll also der Krampf mit der zusätzlichen dedizierten Infrastruktur die dann auch noch gepflegt werden muss. Keine Ahnung was das konkret heisst aber Du kennst das besser als ich. Klasse. Da hätten wir VoIP nicht erfinden brauchen. VoIP dann wieder zur Insellösung zu machen spricht nicht dafür, dass man das Konzept verstanden hätte - oder den Mehrwert von VoIP nutzen würde. Oha, die jungen Wilden scharren mit den Hufen. Ruhig Brauner ... Wir werden es kaum schaffen, Dich hier fit für eine Diskussion mit der Geschäftsleitung zu machen. Erstens mal sitzen die Jungs im Stammwerk näher am Boss - und zweitens kennen sie den wahrscheinlich schon ein paar Tage länger. Somit wären wir bei der Politik und in der wirst Du - wenn ich diesen Thread mal auf mich wirken lasse - keinen Stich machen. Wenn man "gerade erst am weiterbilden" ist sollte man nicht versuchen, anderen Leuten die Welt zu erklären, das geht in 99,999% der Fälle furchtbar ins Auge. Wie bereits oben geschrieben: Kritisieren kannst Du erst wenn das das Konzept kennst und verstanden hast (und dass Du es nicht kennst heisst noch lange nicht dass es kein Konzept gibt!) - und auch weisst was die geplanten Komponenten können - und was andere Komponenten alternativ könnten. Gruss Markus

Komische Komponentenzusammenstellung deren Sinn ich in Unkenntnis des Konzeptes und des Umfeldes nicht nachvollziehen kann. Den 4503 nur mit der SE bestückt als Core-Router laufen lassen und damit auf den kleinen Catalysts die E-Features freischalten? Für Voice eine eigene Infrastruktur aufzubauen scheint mir auch - vorsichtig formuliert - diskussionswürdig. Nur weil Cisco draufsteht erstarre ich noch nicht in Ehrfurcht. Wenn das von Grenzdebilen geplant und zusammengesteckt wird ist das Zeug auch nicht besser als das vom Mediamarkt - nur teurer. Gruss Markus

Ein leerer Flash sieht aber anders aus?! Kennt der 38er den Befehl "squeeze"? War früher mal bei den Routern angesagt, wenn man im Flash was gelöscht hatte hat er den Speicherplatz nicht freigegeben, das hat dann squeeze erledigt. Gruss Markus

Das Ganze im Detail aufzudröseln braucht deutlich mehr Zeit als ich heute und morgen noch habe, die Familie fordert auch ihr Recht. Sieht nach einem Mischmasch aus, da war jemand mit SDM bzw. CM dran, der Rest wurde wohl von Hand gestrickt. Hinweise zu anderen Systemen zu geben ist schwierig solange man deren Rolle und Konfiguration nicht kennt. Wenn Du gar keine Ahnung von dem Thema hast solltest Du über eine entsprechende Schulung nachdenken, so ein Forum mag kurzfristig eine Hilfe, auf Dauer trägt das aber nicht. Ggf. ist es sinnvoll, jemand externen hinzuzuziehen der sich das Ganze ansieht und die Konfigs entsprechend anpasst, da kann er Dir auch gleich einen Minischulung verpassen. Bei Bedarf stehe ich da gerne zur Verfügung. Wenn die Sache bis Monatg Zeit hat können wir dann weiter machen, wenn nicht findet sich hier vielleicht auch noch ein anderer der Dir helfen kann. Gruss Markus

Auf dem Router "show tech-support" eingeben, dann spuckt der die Konfig ohne PW aus. Gruss Markus

Telnet auf die Router-IP, Einloggen, "enable" ENTER, Passwort eingeben ENTER. Der Prompt muss mit einer "#" enden, wenn da ">" steht geht (fast) nix - zumindest aber nix was Dir weiter hilft. Gruss Markus

Schau mal bei http://www.bechtle.de im MS-Lizenzshop, vielleicht ist er da gelistet. Gruss Markus

Das sieht brauchbar aus. Gruss Markus

Murmel. Das sind irgendwelche User-Logins, nicht die Tunnel-Keys. Steht da irgendwas mit "crypto isakmp key"? Komplette Konfigs mit Passwörtern NIENIENIE öffentlich posten - erst recht nicht wenn der Router dazu auch noch übers Internet erreichbar ist!!! Gruss Markus Gruss Markus

Jein. Ich bin mir nicht sicher - weil ich kaum mit VPN auf Router arbeite - ob die Preshared Keys für die Tunnel in der auslesbaren Konfig in brauchbarem Format drinstehen. Die normalen Passwörter stehen - gecryptet - in der Konfig drin (die Verschlüsselung ist allerdings nicht wirklich toll) und können so auch eingespielt werden, bei den VPN-Keys bin ich mir nicht sicher ob die - wenn überheupt - gecryptet drinstehen oder nur als ****** - dann hast Du ein Problem weil die anderen Tunnelenden das überhaupt nicht verstehen werden. Ist denn der Admin der ganzen Geschichte nicht irgendwo aufzutreiben? Du kannst mir zur Not mal die Konfig mailen - m.schwarzätqitcon.de - dann müsst Ihr aber schnellstmöglichst alle Passwörter ändern. Gruss Markus

TFTP-Soft installieren, in der Soft wird ein Verzeichnis angegeben welches per TFTP freigegeben wird, zusehen dass die Soft auch aktiv ist. Ev. vorhandene Firewall entsprechend anpassen oder temporär ausschalten. Die Datei mit der gesicherten Konfig in den TFTP-Pfad kopieren - da sollte nur die Konfig drinstehen, nicht noch irgendwelcher anderer Schamott. Der Router nimmt was Du ihm gibts, im Zweifelsfall auch die Zeitung von gestern - und dann hast Du beim Starten ein Problem. Dann einfach auf den Router gehen, enable, copy tftp: startup - der Router fragt dann die Parameter ab - IP vom TFTP, Filename u.s.w. Ich bin mir jetzt nicht sicher ob die Passwörter für den Tunnel in der Konfig drinstehen, bitte vorher prüfen!!! Ausserdem in der TFTP-Konfig vor dem Kopieren in alle Interfaces ein "no shutdown" reinschreiben. Gruss Markus

Wie gesagt, hier zeilenwiese die Bruchstücke von verschiedenen Konfigs zu posten hilft kaum weiter. Du kannst theoretisch beliebig viele Tunnel auf der Box definieren - vorher waren doch - wenn ich das richtig verstanden habe - 2 oder 3 Tunnel definiert. Einen TFTP-Server findest Du z.B. hier http://kin.klever.net/pumpkin/ Gruss Markus

Mit den Konfig-Fragmenten kann man relativ wenig anfangen. Eine Skizze von dem ganzen Elend wäre auch hilfreich. Ansonsten kannst Du auf einem PC einen TFTP-Server aufsetzen und von da aus die "gute" Konfig zurück auf den Router kopieren (copy tftp: startup-config) und den Router durchbooten (nicht nach "running-config" kopieren da sonst ein Merge gemacht wird). Alternativ mit der Hand am Arm die einzelnen Zeilen abgleichen. Solange Du an der running-config operierst ggf. vorher ein "reload in 30" (für 30 Minuten) absetzen, dann startet der Router nach 30 Minuten neu - nur für den Fall dass Du Dich aussperrst. Wenn Du in den 30 Minuten die Konfig wegspeicherst startet der natürlich mit der letzten gespeicherten Konfig neu. Gruss Markus

Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt. Ich bin mir sicher dass es bei Cisco ein Konfig-Beispiel für fest / dynamisch gemischt gibt. Gruss Markus

Das heisst nur dass Du eine Schachtel mit steinalter Software kaufst. Nach dem der Schachtel beiliegenden Lizenzvertrag geht die Lizenz für das IOS an den ersten Erwerber und ist - ohne Zustimmung von Cisco - nicht übertragbar. Solange Du die Schachtel nur ins Regal stellst ist es egal, wenn Du die Software installierst hast Du eine Raubkopie. Abgesehen davon ist das 11.2 nach heutigen Masstäben sowas von unbrauchbar weil es kaum was kann dass es sich nicht wirklich lohnt, dafür auch nur einen Euro auszugeben. IOS kostet je nach Hardwareplattform und Featureset zwischen ein paar und ein paar tausend Dollar. Richtig. Gruss Markus

Genau. Da kauft man sich für zig tausende Euros einen L3-Switch mit allem Tatütata und einer Backplane die non blocking und wirespeed kann und stellt nebendran eine Bastelbüchse damits auch ja schön langsam wird. Muss ich nicht verstehen. Gruss Markus

Mach doch einfach eine entsprechende ACL. Gruss Markus

Vereinfacht: NetFlow IOS Packaging Information Cisco 7200/7500/7400/MGX/AS5800—Although NetFlow functionality is physically included in all software images for these platforms, customers must purchase a separate NetFlow Feature License in order to be licensed for its use. NetFlow licenses are sold on a per-node basis. Other routers—NetFlow functionality is supported only in Plus images for these platforms. Customers are required to purchase an appropriate Plus image in order to utilize NetFlow functionality on these platforms. There is no feature license for most Cisco platforms except the following require a software license Cisco 7200/7500/7400/MGX/AS5800. Reformation IOS Packages—NetFlow is currently available in IP Base package and above. Ansonsten: http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp Zu Risiken und Nebenwirkungen einer Userüberwachung fragen Sie Ihren Betriebsrat oder Datenschutzbeauftragten. sFlow wird von Cisco nicht unterstützt, warum auch. Mit RMON habe ich keine Erfahrungen. Gruss Markus

Grübel. Wo hab ich das schon mal gehört :D Gruss Markus