Wurstbläser

permit = erlauben tcp 21 = Port 21 für FTP tcp 20 = Port 20 für FTP-Data eq 21 = eq ftp eq 20 = eq ftp-data Der FTP-Client öffnet von einem Port >1023 eine Verbindung zum FTP-Server Port 21. Der FTP-Server öffnet seinerseit eine Verbindung über TCP-Port 20 in die umgekehrte Richtung. Unterscheiden zwischen Active- und Passive-Mode Besser und genauer steht es hier: http://slacksite.com/other/ftp.html Gruss Robert

@Jorgo: An wen wendest Du Dich? Ich verwechsel 4byte mit 12bit? Ein Tag oder ein Label ist kein Rahmen. Gruss Robert

@Mortys Also den Anbieter den Du persönlich erwähnst kenn ich nicht. Das Kriterium das ich Dir genannt habe (privat und öffentlich) läßt sich aber teilweise im Vorfeld überprüfen. Wenn du den Anbieter persönlich besuchst, versuch einfach mal in die Klassen zu schauen, versuche aushängende Teilnehmerlisten zu finden, all sowas. Sprich jetzige Teilnehmer an. Wenn Du an nen 'billigen' Dozenten gerätst, sitzt Du eh allein da mit Deinen Büchern .. (Ich mein das garnicht ironisch ..)

naja - die Prüfung Cisco BCMSN zum Beispiel: "What is the numerical range of user-configurable dot1q VLANs?" Wenn jemand 140,- € von Dir haben will falls Du sowas nicht weißt, dann ließt man sowas halt durch. Es ist ein bischen so wie der Pfarrer der sich beim Abfassen seiner Predigt überlegt, "Als Jesus aus dem Einen Fisch 4096 gemacht hat, hat er eigentlich einen selbst gegessen? Hat er einen für Morgen aufbewahrt, um dann ggfs. nochmal ein paar Fische 'machen' zu können? Dann hätte er zum Verteilen ja auch nur 4094 gehabt!" Mal eine netter Vergleich - wo wir doch jetzt alle Papst sind. Das schöne an diesem Forum ist ja auch, das man solche Fragen immer gerne als Anregung nimmt, sich nochmal kurz mit diesem Thema zu Beschäftigen ... das bringts wirklich. Gruss Robert

Willi wills wissen ... ... der FID ist aber nicht VID!! Aber etwas später steht es ganz genau in 9.3.2.3. Seite 86: Es gibt also theoretisch 4096 verschiedene VLANs, wovon zwei aus technischen Gründen nicht benutzt werden sollen 0 und FFF. Na ja - wird gez ein bischen akademisch: Der Tag (VID - nicht FID) kann Werte von 0-4095 annehmen, wobei 0 als nicht gekennzeichnet gilt (obwohl der Tag 0x000 enthält) und FFF zu Implementierungszwecken verwand werden soll. VID 1 soll man auch nicht benutzen. Naja - da hats Cisco in der zitierten Doku nicht so genau genommen ... Offensichtlich aber gibt es selbst von CISCO nur ganz wenige Modelle die überhaupt 4096 VLANs unterstützen ... Als ein schönes Thema um sich bei schlampig formulierten Prüfungsfragen aufzuregen :) Kann man mal sehen wie schnell man Details überliest! @saracs: Geb Dir zu 51% Recht! Gruss Robert

eine Faustregel für Weiterbilder würde ich heute nie mehr missachten: Finanziert sich ein Weiterbilder nur durch geförderte Weiterbildung der öffentlichen Hand (also meißtens Bildungsgutschein) muss man damit rechnen, mit einer Wahrscheinlichkeit von ca. 70-80% ein höchtens Mittelmäßige Qualität vorherscht. Ein Unternehmen würde einen schlechten Weiterbilder nie ein zweites mal engagieren. (Dies ist natürlich sehr subjektiv - ist aber Erfahrung 1. und 2. Hand) Selber-Lesen ist eigentlich auch sehr cool. :) Manchmal muss man nach guter Literatur länger suchen. Gruss Robert

ich gesteh, ich hatte die Zahl nur in Erinnerung - und "nur" aus der Cisco Doku http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_tech_note09186a0080094322.shtml#max_no_vlans Allerding scheint Cisco ja nicht ganz unwesentlich an den IEEE Standards beteiligt zu sein. Da mir jetzt auch kein Grund einfällt warum man die 4095 und 4096 als 12bit-Maximum nicht verwenden sollte - bin ich davon ausgegangen. Ich finde aber auch kein RFC das 802.1Q beschreibt. Meinst Du RFC 3069? Gruss Robert

Hallo Ripley Ich denke die der MCSE2000 wird als leichter empfunden, weil bei so vielen MCSEs sich die Prüfungefragen ruckzug unter den Auswendiglernern verbreitet haben. Ist aber wohl schwer sich da festzulegen - es gibt ja wohl kaum jemanden der beide Wege genommen hat. Vielleicht ist es methodisch günstiger noch den 2000 zu machen der der Wechsel von NT4 auf 2000 doch deutlich größer/wichtiger war als 2000 auf 2003. Wenn dich die zwei zusätzlichen Prüfungen nicht stören, kannst du vielleicht bei 2000 noch mehr, oder günstigere Literatur bekommen. Gruss Robert

@WarLord: warum sollen Probleme am Endgerät auftauchen? Der .1q Tag sollte eigentlich spätestens am Access-Port des Switches der sich direkt mit dem Endgrät verbindet, entfernt werden. Nur die Switche sollten fürs Trunking mit einer MTU von 1504kb zurechtkommen. Für Endgeräte sind VLANs absolut transparent. Gruss Robert

.. erhöhe auf 4096 VLANs. Der Präzision halber: Es ist auch mehr ein "Tag" (4byte) und weniger ein "Rahmen" (Die Cisco-eigene ISL-Technik hat einen richtigen Rahmen inkl. Checksum). Es sind auch mehrere VLANs pro Port möglich, heißt dann "Trunk". Gruss Robert

Ich denke JA, Cisco nennt die Zahl hinter dem T "Rebuild Identifier" Kollege thorgood hat in einem benachbarten Beitrag diesen schwer nützlichen link zum Thema Benennung IOS gefunden: http://www.cisco.com/en/US/products/sw/iosswrel/ios_abcs_ios_networking_the_enterprise_listing.html (White Paper: ABCs of Cisco IOS Software Release) Gruss Robert

Hallo zimbo - also fragen 1 und 2 sollte man als CCNA eigentlich beantworten können. 3 und 4 - kann mal passieren. Trotzdem sorry für Deine 140,- € Prüfungsgebühr .. 1) Verteilung, besser Beschränkung der Broadcasts. 2) hop count 3) ignoriert die Konfiguration -> http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a008022493f.shtml 4) Du meintst vermutlich "Runts", Frames < 64 kb. Ursache: Kollisionen. Sind Ethernet-Frames kleiner als 64kb, könnte ein Port die Kollision übersehen. Das CollisionDetection Verfahren (das CD in CSMA/CD) mißt im Halb-Duplex-Betrieb ob auf dem Receive-Kabelpaar ein Frame ankommt während es selbst sendet. Wäre der eigene gesendete Frame kleiner als 64kb, würde der Port nicht mehr auf Kollisionen 'horchen' und die Übertragung im Falle einer Kollision nicht wiederholen. (zuverlässige Übertragungsmechanismen ab Layer 4 überprüfen zusätzlich) Die Beschränkung auf 64kb ergibt sich aus der maximalen Länge der Collsion-Domains von eben 100m. Gruss Robert

-> Windows 2003 Storage Server ... diese Version des 2003 Server kann definitiv weniger als die anderen Versionen. Dies ist wohl nötig um die Preise für die Lizenz senken zu können. Also geringerer Funktionsumfang: aber Windows2003 Kernel mit ActiveDirectory. Also ein Windows NAS. Gruss Robert

mal kurz zu den IOS-Versionen: Normalerweise sind höhere Versionsnummern bei den IOS-Versionen immer die neueren, fehlerfreieren etc. Allerdings werden bei einer Versionsumstellung der ersten Nachkommastelle (Also z.B. von 12.1 auf 12.2, oder von 12.2 auf 12.3) die Umfang der Features festgelegt, und nur noch in den T-Versionen durch neue Features ergänzt. So kann also ein IOS mit einer niedrigeren Nummer, aber mit dem (T) in den Klammern neue Features enthalten, währen bei festgelegten Features nur noch optimiert und 'gepätscht' wird ... Gruss Robert Habe da auch ein schönes 12-Seiten PDF - von CISCO: "The ABCs oc Cisco IOS Software Release" (ein White Paper) leider hat es 160kb und ich kanns nicht in dieses Forum hochladen. Ich finde das Dokument nicht mehr bei CISCO ...

ACLs sind hier wohl überfordert. Ein Hostname in der ACL würde ja eine Namensauflösung erfordern die zu einem unakzeptablem Verzögerung (latenca) führen würde. Es würde auch kein Sinn ergeben da eh nur numerische IP-Adressen verarbeitet werden - der Domainname stünde erst wieder im Layer 6 oder7 HTTP-Paket, der Host hat die Namensauflösung ja bereits weit vor dem Router vorgenommen. Die richtigen Techniken zur Abwehr sind hier wohl Systeme wie IDS/IPS - diese nutzen andere Mechanismen um z.B. ACL-Einträge dynamische zu erzeugen wenn eine bestimmte Signatur ein IP/Port Verhalten ausgemacht hat ... mal so ganz grob beschrieben. Vielleicht hat eure IOS-Version ja ein IDS-feature mit an board? (... oder man gewinnt die administrative Kontrolle über den Desktop zurück) Gruss Robert

Vielleicht darf ich noch folgendes anmerken: 1) Ein einziger DNS-Server ist wahrlich sehr wenig. Mindestens ein zweiter Server sollte sich als sekundärer Server zusätzlich bereithalten. Ich lese aus der Beschreibung, das der neue DNS-Server auch der erste DNS-Server im Netz überhaupt ist? Die anderen Standorte haben aber bereits DNS - sonst könnte man ja auch keine Zonen von dort übernehmen?! 2) Das Konzept der DNS-Zonen-benennung mit .local gilt als veraltet. Allgemein wird emfohlen so etwas wie intern.eurefirma.de als Name empfohlen, wobei eurefirma.de der Name sein soll/darf unter dem ihr auch im Internet zu erreichen seid. Für diese Art der Konfuguration hält MS auch einige Beispiele bereit 3) Ich dachte (bis jetzt) das Konzept einer DMZ beschreibt die Art der Absicherung eines(mehrerer) subnetzte z.B. zwischen zwei Router-Firewalls oder anderen Appliances. Welchen Sinn macht es den Mailserver z.B. in Subnetz .4/22 und den Webserver in .8/22 zu stellen wenn die Absicherung durch die Firewalls identisch ist? Ein bisschen ungemütlich finde ich die Platzierung aller Server in einer DeMilitarized Zone = weniger Sicherheit. gibt es denn noch eine richtige Serverfarm oder kleines Subnetz für andere Server? Wenn man das so ließt, könnte man meinen alle Server stehen in dieser DMZ ... Gruss Robert

@Finanzamt: Also dieses "Taste ausbauen" - das ist jetzt ernst gemeint oder? (Ist doch eigentlich garnicht so doof?!)

Wählt sich der Router grundsätzlich nicht ein, oder nur eine bestimmte Verbindung? show running-config?

für die ganz Harten: http://www.ietf.org/rfc/rfc1195.txt

um es zu ergänzen - unter der Vorraussetzung das EIN Client nicht auf EINE Adresse zugreifen können soll: access-list 100 deny ip host xxx.xxx.xxx.41 host a.b.c.d access-list 100 permit ip any any host xxx.xxx.xxx.41 ist hinter interface ethernet1: interface ethernet1 ip access-group 100 in Bitte eine ACL-Nummer zwischen 100-199 wählen (extended ACL) Gruss Robert

Hallo Andre - .. hört sich so an, als sollten sechs Server in EINER DMZ, in sechs jeweils eigenen Subnetzen untergebracht werden. Potentiellen Angreifern würde man durch die Benenneung DMZ1-6 schon mitteilen wie man seine DMZ organisiert hat. Darüberhinaus hätte man mehr zu konfigurieren und solange eure Server nicht alle server1 heißen ... (ADS dürfte in dieser Fragestellung keine Rolle spielen) Was spräche FÜR 6 Zonen? Gruss Robert

aahh - jetzt ist es sonnenklar. Das geht natürlich ohne* Probleme. *mit der Einschränkung das es sich bei dem Port nicht um einen Trunk-Port handelt, also einen Port der über eine Leitung mehrere VLANs transportiert. In deinem Fall hast Du dann z.B. VLAN 10 statisch dem Port zugewiesen, an den du den neuen/anderen Switch hängst. Erst ein Trunk markiert(z.B. per 802.1q) die VLAN-Frames so, das ein Switch der die VLAN-Technik nicht versteht, mit ihnen nichts mehr anfangen könnte. Gruss Robert

Lass was hören Dread - bin auch schon gespannt wie es weitergeht

... "getrennte Netze" könnte auch noch auf eine Aufgabenstellung für "ip classless" sein. Hört sich an nach einer Übersetzung von "discontigous subnets" router rip version 2 (wg. der subnetze) no auto-summary und: ip classless (default ab IOS 12.irgendwas) Gruss Robert ähem, etwas alt der Beitrag - merke ich gerade. Egal - gez isser geschrieben, vielleicht freut sich noch jemand anders.

kenne jetzt die Nummern des 2003-Pfades auswendig, in der 2000der Version scheint sich zumindest für die ersten 4 Prüfungen eine Tradition herausgebildet zu haben: 210 215 216 217 dann Rest. Im Klartext: 1.Professional 2. Server 3. Netzwerk 4. Active Directory Also ich finde das auch sinnvoll. Mit Erfahrung aus der Praxis ist es natürlich etwas einfacher mal von so einer starren Reihenfolge abzuweichen. Am besten die KLappentexte oder Inhaltsverzeichnisse der MCSE-Literatur oder des MS-Website studieren - lohnt sich immer. Nur weil ich gerade Buch X rumliegen habe würde ich damit nicht anfangen!