Wurstbläser

Hi Nonsens, .. wenn Du "ena" durch "en" und "line con 0" durch "li c 0" ersetzt sparst Du sicher eine ganz Sekunde um darüber nachzudenken, welchen Sublevel der 2ten Schicht nochmal CDP benutzt :D ich habe mal gelesen das Abkürzungen nicht so gefragt sind bei Simulationen in Prüfungen - warum also drauf anlegen? Besser einmal zuviel copy run start und login als einmal zuwenig ... Gruss Robert

Hallo ... bin kein QOS-Experte... aber würde eher vermuten, das CIR für doe "Committed Information Rate" alla Frame-Relay steht, Der numerische Wert müßte also ein Bandwidth-Wert sein. "policing" ist das QOS feature das Bandbreiten kontrolliert welche in interfaces hereinkommen (sorrry für das denglisch) - also was für service-provider. Das Gegenteil währe traffic-shaping das auf ausgeheneden Verkehr angwandt wird. "conform-action" bdeutet: was tue ich wenn mein Daten Aufkommen unterhalb des Wertes liegt: "transmit" - also übertragen/zulassen "exceed-action" bedeutet: was tue ich mit den paketen die meinen Wert übersteigen: "drop" (zusätzlich gibts "violate-action" für eine zweite Datenrate die ISP konfigurieren können ...) Wie das auf ein ADSL passt ist mir nicht klar .. Empfehle CISCO-Press zu QOS, z.B. Cisco QOS Exam-Certification S. 331ff - hier ist der police-befehl für die aktuelle IOS Syntax auch aufgeführt .. Gruss Robert

Hallo Wand, mein Tip (erstmal kleines Budget) Router mind 2x 2503 - (2501 geht auch - kein ISDN Port) die 16xx Linie geht auch genausogut, sind keine 19" Geräte und leiser aufgrund des externen Netzteiles. Achte auf den Speicher (16MB RAM und 8(selten 16)MB Flash sind das maximale und sollten sich auf den Preis auswirken. Meistens braucht man einen Transceiver. die 03 haben zusätzlich eine ISDN-BRI Schnittstelle - auch ein nicht wirklich leichter Part der CCNA Prüfung Switche sind wesentlcih teurer - der Idealfall ist die 2950-Reihe (300,-€ plus) - Die Reihe 2900-XL ist billiger und bietet schon FastEthernet. Ein wenig lernen kann man auch mit der 1900 Reihe - es fehlen aber Features der CCNA-Prüfung. Grundsätzlich währe auch ein FastEthernet-Schnittstelle im Router schön. Das fängt aber ab so 300,- € an (Reihe 2620 oder 1720 mal bei Ebay surfen) - FEthernet erlaubt Routing zwischen VLANS zwar auch CCNA Gegenstand - man muss aber auch nicht alle Details selbst nachspielen. Also ganz günstig 2x 2503 1x19xx/29xx ISDN-Anlage zum testen der Dialer-Konfiguration. Vergiss die Hardwareausstattung der Bildungsanbieter (es sei den es ist ne offizielle CISCO Academy - die sind meistens gut) - in meinem Kurs letztes Jahr kam der Chef mit 4 1603 oder 1605 angesch...... - oberpeinlich für 16 Teilnehmer! (war CDI Dortmund, jetzt WBS-Berlin) Gruss Robert

sorry, natürlich fehlt die 121 aber: aber nicht ausgehend aus dem VLAN - vom Router aus Betrachtet !! Wenn dann ein Filter für Netzwerkpakete auf ein Interface gelegt wird - und zwar in Richtung "out" betrifft das Pakete die ins Vlan/Subnetz reingehen! (ich hätte statt einer ACL für VLAN 1 und 2 auch zwei seperate nehmen können - ist natürlich überflüssig VLAN1 als Quelladresse zuzulassen - sorry, das kann natürlich verwirrend sein. So kann man eben dieselbs ACL auf zwei interfaces binden) Ich kann Dir CISCO-IOS-Access-Lists von OReilly empfehlen nicht zu dick und alles drin. Die Kombination von ACL/NAT und Dialer ist ja praktisch genau das CCNA Thema - das ICND Buch von CISCO-Press ist da auch sehr zu empfehlen! Gruss Robert

Noch was eingefallen ... Aus Sicherheitsgründen sollte man VLAN1 eh nicht im Produktionsnetz benutzen (Absicherung VTP-Server und Spanning Tree), wenn Du also neu addressieren könntest, und Du willst 2 VLANs das Internet betreffend eh immer gleich behandeln, köntest Du die Zwei Netze 192.168.2.0 und 192.168.3.0 auch mit einer anderen Wildcardmask 0.0.1.255 zusammenfassen und so die ACL um die Hälfte kürzen. Sicher nocht nicht so wichtig - wenn du Netze oder Subnetze gruppierst, am Besten mit einer geraden Zahl anfangen, genauer noch 2 hoch n. Früher oder später fängt man aber an jeden Port zu definieren, dann wächst die Belastung auf dem Router .. Gruss Robert

unsichtbar steht in der letzten Zeile Deiner ACL 121: access-list 121 deny ip any any (ein implizites deny any steht am Ende jeder ACL) Du hast damit erreicht, dass aus Deinem .1-VLAN nur Zieladressen mit .1 und .2 über den Router gelangen. "In" und "Out" sind aus der Perspektive des Router-Interfaces zu sehen. Mach folgendes: access-list 121 permit ip 192.168.1.0 0.0.0.255 any access-list 121 permit ip 192.168.2.0 0.0.0.255 any interface fast0/0.1 ip access-group out so dürften nur Host aus den definierten Subnetzen ins VLAN1 - in andere Netzte (0.0.0.0 0.0.0.0) dürfen Sie. Ginge auch über Standard-ACLs. VLANs nach ins Internet: access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq www (port 80 in Netz, VLAN1) access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq 443 (port 443/https in Netz, VLAN1) access-list 120 permit udp 192.168.1.0 0.0.0.255 eq 53 any eq 53 (DNS in Netz, VLAN1) access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq 25 (port 25, SMTP in Netz, VLAN1) access-list 120 permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq 110 (port 110 POP3 in Netz, VLAN1) das ganze noch mit VLAN 2 und binden auf Dein Internet Interface: router(config-int)#ip access-group 120 out so gehts in etwa (nicht das das jetzt total sicher wäre - besser aber als "permit ip allesmussraus") Gruss Robert

JA, genau richtig.

Hi Swen der Eintrag 0.0.0.0 0.0.0.0 in der Routing-Tabelle dient nur zum Abgleich der Zieladressen - den solltest Du so lassen. Wenn Du den internetzugang für einzelne interne Subnetze (filtern nach Quell-Adressen wenn man so will) sperren willst, geht das nur über ACLs. (Es gibt ein paar andere exotische Lösungen wie default-netzwerke unter eigrp/ospf oder route-maps die man theoretisch nutzen könnte. In deinem Fall aber nicht angebracht - nur weil Du noch nach anderen Möglichkeiten fragst - ganz abgesehen von Firewalls) Hab jetzt leider nicht soviel Zeit - such aber mal in Handbüchern (oder der CISCO-website) nach der Konfiguration von Access-Listen für Dialer, die den "interesting traffic" definieren - der Verkehr auf dem Netz, der die Einwahl auslösen soll. Eine zweite ACL muss zusätzlich - nach dem Aufbau der Verbindung - den Verkehr aus Deinen VLANs 3-5 abblocken. Es kann ja sein, dass eine Anfrage aus VLAN 1 die Verbindung aufgebaut hat, danach aber Anfragen aus den anderen VLANs die Verbindung einfach aufrechthalten. Zusätzlich sollte ein erweiterte Access-List benutzt werden, die zusätzlich die EIGRP-Konfiguration so absichert, das dein Routingprotokoll nicht über die Wählverbindung sendet. (könnte die Verbindung ebenfalls aufrechthalten od. ein Sicherheitsproblem darstellen) leider nicht die vollständige Lösung mit Syntax .. Gruss Robert

So - zu diesem Thema will ich aber auch nochmal schlaumeieren: Es ist der Unterschied zwischen Deduzieren und Induzieren! Ersteres MUSS, zweites KANN. Als Beispiel: ein MCSE Zertifikat kann ein höheres Gehalt bringen, muss es aber nicht. Der statistische Nachweis ist sicher zu erbringen, wenn zwei Personen c.t. (ceterus paribus - Lat.: mit ansonsten gleichen Vorraussetzungen z.B. gleicher Grunsdausbildung/Arbeitszeugnissen) mit und ohne MCSE verglichen werden - wird der mit Zertifikat vermutlich ein höheres Gehalt vorweisen (-> http://www.certmag.com/salaries). Dies wird ja wohl jedem einleuchten (- immer c.t.!) Der Umkerhschluss, dass Zertifikat X mehr Gehalt bringt ist einfach schon logisch falsch. Wenn es aber überhaupt eine Möglichkeit gibt sich als FISI oder Quereinsteiger für etwas höheres zu Qualifizieren dann ja wohl mit Zertifikaten. Ähnlich wie mit dem Abitur: Mit Abi allein, oder wegen dem Abi gibts sicher keinen Job - ohne Abi ist eben schlechter als mit. Gruss Robert

Hallo Swen, falls es Dir hilft, stell Dir Deine 5 Vlans wie 5 seperate Geräte vor. Die Konfiguartion ist dann so, als hättest Du einen Router mit 5 Fastethernet Schnittestellen und 5 Switchen (Du löst das eben jetzt virtuell über die Subinterfaces). Eigentlich hast Du deinem gesamten LAN ja bereits den Internetzugang ermöglicht, indem Du eine Default-Route "ip router 0.0.0.0 0.0.0.0 dialerX" eingegeben hast. Wenn Deine Clients nun die IP-Address der Subinterfaces des Routers Ihres VLANs als Standardgateway eingetragen haben sollten doch alle Internetzugang haben. Du müßtest jetzt 2 zusätzliche Dinge über die ACLs implementieren: 1) wann der Dialer rauswählt und 2)dass Deine VLANs 3-5 nicht rauskommen. Wichtig wäre zu beachten, das wenn Du eine ACL eingerichtet hast die nur VLANs 1 und 2 erlaubt den Dialer zu initiieren, VLANs 3-5 immer noch ins Internet kommen - eben nur den Aufbau der Verbindung nicht einleiten können: noch eine ACL die das verhindert, oder die ACL ein zweites mal, diesmal auf das Out-Interface binden! Gruss Robert PS: ein Router mit 5 Subnetzen - läuft ein Routing-Protokoll? RIP? PPS: dein "deny ip any any" in der ACL ist eigentlich überflüssig - es ei den du hängst ein "log" hintendran, und Zugriffsversuche der abgelehnten Hosts aus Sicherheitsgründen oder beim Troubleshooting zu loggen.

komisch die Bilder - die mit vier Pfeilen sind doch Switche, ein Doppelpfeil soll doch ein Hub sein?? Dann komme ich auch nur beim zweiten Bild auf fünf: 3; 5; 5; 7 habe ich - in der Reihenfolge. Da diese Zahlen mit Deinen nur in der Reihenfolge nicht übereinstimmen vermute ich da den Fehler ... Gruss Robert

@mark ich sehe noch zwei Dinge: brauchst Du RIP als Routing-Protokoll? (vielleicht alte Unix Kisten die das noch brauchen ... - kann man ansonsten getrost weglassen, wen man z.B. nur ein C-Subnetz wie 192.168.x.y hat) sieht so aus als müßtest Du mit der einen statischen Route hinkommen ip route 0.0.0.0 0.0.0.0 dialer1 ip route 0.0.0.0 0.0.0.0 dialer2 50 (als Ersatzroute für ne zweite Einwahl - die 50 erhöht die Administrative DIstance so dass diese Route nur benutzt wird wenn die erste ausfällt) lass mal hören ob es mit der statischen IP geht. Gruss Robert PS Befehle löschen geht in der Regel indem Du ein "no" for die entsprechende Zeile der Konfiguration setzt. Ob Du irgendwelche Mist-Routen in der Routing Tabelle hast siehst Du mit "show ip route" - natürlich alles mit dem CLI/telnet So kannst Du Befehle Zeile für Zeile eingeben: Einloggen Konsolenkabel+Terminalprogramm oder Telnet: router>enable router#configure terminal router(config)# <befehl> ... nach enable und configure terminal jeweils Deine Passwörter eingeben. Nder eingabe von "en" und "conf t" kannst Du die Befehle Zeile für Zeile eingeben, z.B. router(config)# ip nat inside source static tcp 192.168.1.200 80 1.2.3.99 80 router(config)# ip nat inside source static tcp 192.168.1.200 25 1.2.3.99 25 RIP löschen mit router(config)# no router rip Am schluss die config speichern (wichtig!) router(config)#exit router#copy running-config startup-config oder kürzer - man kann alle Cisco IOS Befehle abkürzen: router# copy run start

tja - da war ich echt überrascht - das gibts wohl wirklich. Leider scheint das aber nur so eine Art Hilfs-DNS zu sein. Cisco scheint wohl keine vollständige rfc-implementierung vorgenommen zu haben (keine Zonen-Transfers, keine Reverse-Lookups - Delegierungen scheinen aber teilweise zu gehen) Bei Cisco surft man sich jedesmal schwindlig, aber das hier scheints zu sein: http://www.cisco.com/en/US/products/hw/contnetw/ps813/products_tech_note09186a00801fa9dd.shtml Dieses feature DistributedDirector muss es aber sein. Merkwürdig finde ich wirklich die sehr dünne Dokumentation - Ist doch nicht gerade unwichtig DNS. Weißt Du mehr Thorgood? Gruss Robert

Hi ... benutzt Du private IP-Adressen intern? ... hast Du eine statische IP vom Provider? (eine für den Zugang und 8/6 für interne Server?) ... mir ist nicht klar ob das bei Dir ein NAT Problem ist ?? Robert

Hallo Ihr zwei kann es sein das Mark einen DNS-Server meint und Mr. Osio die Einrichtung des Clients beschreibt? Von DNS-Servern im CISCO IOS hab ich auch noch nicht gehört ?! Robert

Hallo Mark ich habe richtig verstanden, das eine interne IP von außen auf Port 80 (und andere später noch Ports) erreichbar sein sollen? ip nat inside source static tcp 192.168.1.200 80 [externe IP]* 80 (extendable) ip nat inside source static tcp 192.168.1.200 8080 [externe IP]* 8080 (extendable) etc. *genauer: inside global. Die feste IP Addresse die du von der Telekom bekommen hast Mit diesen Befehlen wird eine einfache Übersetzung einer IL ind IG vorgenommen. InsideLocal/InsideGlobal - Warum willst Du das Dialer-Interface nehmen wenn du eine statische Adresse der Telekom hast??? Das "extendable" keyword wird evtl. erst ab zwei und mehr mappings vom Cisco IOS selbst hinzugefügt und muss nicht selbst eingegeben werden Gruss Robert Ergänzung: In der CISCO IOS Command Reference (12.2) IP S.66ff ist nicht zu erkennen das ein interface angegeben werden dürfte sobald tcp/udp spezifiziert wird ...

Hallo brolek CCNA ist der Einstieg. Danach gibt es div. Professional-Level und dann den CCIE. Die CCNA Prüfung (VUE/Prometric) kostet 160,- €. Schau am besten hier nach. http://www.cisco.com/en/US/learning/le3/learning_career_certifications_and_learning_paths_home.html Gruss Robert

Sorry Leute! ich hab mich verlesen - habe "darkjedi" und "daking" für dieselbe Person gehalten. von euren USernamen schliesse ich ja auf ganz entsetzliche Hobbys :) R.

.. verstehe ich das richtig das Du Dein Vorschlag aus Deiner ersten Antwort selbst wieder zurückgezogen hast? Layer-2 Broadcasts breiten sich doch nicht ein VLAN hinaus aus. Noch irgendjemand für B?

ich jeden falls nicht - interessiert mich aber auch. Dieses Citrix-Zeugs kann ja nicht so schwer sein - ist aber häufig gefragt in Stellenanzeigen.

Hallo Leute mich interessiert eure Meinung zu einer CCDA-Prüfungsfrage. Sie betrifft VLANs. Which of the following design criteria would require the deployment of VLANs in a proposed solution (Choose all that apply) a) Security netween departments b) Segmenting collision domains c) Segmenting broadcast domains d) Multicast traffic on the LAN e) The use of multivendor equipment Answer: A, B C ist not valid since broadcasts pass inside same vlans Ein auktualisiertere Form (v.30 statt v.29) eines 'poulären Fragenkataloges' schlägt jetzt die Version "A, B" vor - welche ich für echt dämlich halte. Antwort A, C ist doch die wriklich einzig logische - oder? Fallen jemandem überhaupt Gründe ein, warum man zu der Antowrt "B" kommen könnte? Gruss Robert

Hallo Leute, weiß jemand wie CISCO und 'die Fachwelt' die IOS Lizensierung handhabt? Also mehr die praktische* Seite? (*: Verklagen, Aberkennen der Zertifizierung oder Staatsbürgerschaft, "Angebot das man nicht ablehnen kann" machen) Sicher sollte man im komerziellen Einsatz immer eine Lizenz für sein IOS / Feature-Pack besitzen. Wie siehts denn mit den armen Schluckern aus, die sich bei ebay ein paar alte CISCO-Geräte billig einkaufen um Ihre CISCO-Zertifizierungen zu fundieren. Die bei Ebay angebotenen Router haben ja nur in 5% (wenn überhaupt) aller Fälle tatsächlich eine Lizenz dabei. Ich erinnere mich noch an die MS-Politik die Lizenzrechtlich sogar das verkaufen von OEM-Lizenzen ohne PC verbieten wollten - wie wir heute wissen hat sich dort seit inzwischen seit ein paar Jahren eine 'andere Rechtsauffassung' durchgesetzt. Hat jemand Erfahrung? Manchmal wird die CISCO-Politik als so restriktiv beschrieben, das selbst das Betreiben eine schnöden 626/836 für den privaten DSL-Zugang mit rechtlichen Problemen gepflastert scheint - während sich bei Linksys jeder Hanswurst die Firmwares downloaded und vor- und zurück-kompiliert. Gruss Robert :thumb1:

... oder VUE bzw. Prometric übers Internet. Geht nur mit Kreditkarte - allerdings kann man da den Termin dann auch direkt reservieren und muss noch nicht mal vorher im Testzentrum anrufen. Hat bei mir immer tadellos funktioniert. (PLZ-Bereich 4....) Gruss Robert

.. da es kein Mechanismus wie eine Auslagerungsdatei gibt, muss das ganze Image in den Arbeitsspeicher. Da sich der Router 2MB für Routingtabellen etc. reserviert hat, bleiben nur noch 2Mb übrig für das IOS. Vermutlich kann man aber auch das booten von der Flashkarte einstellen - ich vermute das man sich das Configuration-Register näher ansehen muss. Habe die konkreten Configurationsschritte aber nicht im Kopf... Gruss Robert

Hallo Ancient - super Idee, hau rein - die Praktischen Erfahrungen sind natürlich wichtig - die paar (1-3) Lulli-Simulationen sind aber gut zu schaffen. Der Wendell Odom von CISCO-Press empfehle ich ebenfalls. Du kannst die so wichtige praktische Erfahrung auch mit fundierter Theorie untermauern. Viele sog. Praktiker sind auch nur 'Fummler' - die tippen solange bis alle LEDs grün sind. Es gibt auch Leute die haben dann aber immer noch nicht verstanden warum es funkktioniert: sehr weit verbreitet. Fang einfach an, wenn Du es nebenbei machst teile dir den CCNA in die zwei Teilprüfungen und versuchs. Gruss Robert