Wurstbläser

Hi Blacky - zu Deiner Frage mit Ping und Cluster: IP + Default Gateway scheine zu stimmen ... warum ist ein native vlan 189 auf dem trunk konfiguriert ??? Wenn das nur ein Uplink zwischen 2 Switchen ist - ist das sicher nicht notwendig. Zusätzlich: wenn schon ein native vlan - ist auf beiden Seiten des Trunks dasselbe vlan als 'native' definiert ??? Zuerst Dein Ping lösen - dann klappts auch mit dem Cluster ... Gruss Robert

Hier zu Deiner Frage im PS: die "internal vlans" Cisco Systems, Inc ----------------------------------------------------------------------------------------- The following information applies to VLAN ranges: •Layer 3 LAN ports, WAN interfaces and subinterfaces, and some software features use internal VLANs in the extended range. You cannot use an extended range VLAN that has been allocated for internal use. •With Release 12.1(13)E and later releases, to display the VLANs used internally, enter the show vlan internal usage command. With earlier releases, enter the show vlan internal usage and show cwan vlans commands. •With Release 12.1(13)E and later releases, you can configure ascending internal VLAN allocation (from 1006 and up) or descending internal VLAN allocation (from 4094 and down). In previous 12.1EX releases that support 4096 VLANs, internal VLANs are allocated from 1006 and up.

kurze Nachfrage ... Warum wollt Ihr den die 2950 gleich aussortieren? Wozu braucht man auf den Etagen Gigabit und Layer 3 Funktionalität? Werden die Etagen mit 1gbps angebunden? Es gibt eine einzige sinnvolle vorgehensweise: Netzwerkmanagment einrichten (-> kostenlos z.B. den OpManager von adventnet.com) und die JETZIGE Auslastung eurer Accessports MESSEN. Danach die Investentscheidung treffen. Die Tausender die man am 3560 sparen kann, kann man schön in die Security investieren ...

... da sollte doch auch etwas einfacher gehen 1. initiierst Du einen Datei-Transfer oder mehrere per http oder ftp. Dein Interface ist für minuten voll ausgelastet und es gibt genug show commands die auslastung live zu zeigen. 2. schon der EXTENDED PING command bei Cisco läßt dich Precedence oder DSCP Werte von Hand setzten, auch hier würden die die qos show commands zeigen in welche queue diese packete gesetzt werden, Deine Ping Zeiten in ms wäre schon alleine aussagekräftig genug. Gruss Robert

class-map X match interface e4 policy-map Y class X priority zzz int e1 service-policy Y out ... mal so granz grob aus dem bauch .. -> syntax im IOS configuration guide quality of service zu deiner IOS version bei http://www.cisco .com http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/prod_configuration_guide09186a008017d8e5.html Gruss Robert

... haben die 3560 nicht so eine "Link-Option" - sprich: man kann entweder den RJ45 Port oder die MiniGBICS(SFPs) benutzen. (Du meinst die MiniGIBICS ja?? den 3560 gibts lt. Cisco garnicht mit GBICS). Ein neuer Befehl währe hier "media-type rj45" im interface config modus ... Bei ner "Link Option" würde "reinstecken" also nicht ganz reichen ... Gruss Robert

Hi irgendwie finde ich den Pool den Du deinen Clients zuodnest merkwürdig: ippool mit 100 öffentlichen Adressen 14.1.1.100 etc ?? Die Adressen sollten etwas näher an deinem internen LAN liegen. Habe den verdacht Du hast die Konfig hier abgeschrieben -> http://www.cisco.com/en/US/partner/products/sw/secursw/ps2308/products_configuration_example09186a00801c4246.shtml - bitte dann mal die Zeichnung und Addressierung mit deinem Netz vergleichen und anpassen. Die AAA Kommandos sind für die Gruppen Athentifizierung deine VPN Clients via AAA ohne externen TACACS+ oder RADIUS Server, eben über die "Lokal" eingetragenen username/password Daten .. Gruss Robert

-> Overon, hau rein, versuch doch den nächsten Level, sagen wir die erste Security prüfung aus der CCSP Reihe ... ist auch zu schaffen.

wie proxy? http-proxy? sowas wie Squid, MS ISA? davon hab ich noch nie bei dem IOS Router gehört ...

soweit ich weiß gibt es keine Verlängerungprüfungen. Habe mal gehört das die ICND zur Verlängerung des CCNA ausreicht. Eigentlich steht das ganz gut dokumentiert auf der CISCO Seite ... "CCNA certifications are valid for three years. To recertify, either pass the current CCNA exam, or pass the ICND exam, or pass any 642 professional level or Cisco Qualified Specialist exam (excluding Sales Specialist exams), or pass a CCIE written exam on or after October 1, 2004." (das hat mich jetzt 30 Sekunden auf der CIsco Website gekostet)

Hallo Chack, meiner Erfahrung nach kann man alles in Nicht-Englisch nach dem CCNA Level vergessen. Der Configuration Guide von Cisco zur ASA / PIX 7.0 ist eigentlich sehrgut, Cisco Press hat ein zwei sehr gute Titel [in Englisch natürlich]. Die ASA ist eben PIX, VPN und Optional IPS zusammen, komplex genug also um sich über ein Jahr oder länger in so etwas einzuarbeiten ... Gruss Robert

Hi Fu, ich glaube Papier ist "default-mäßig" voreingestellt. Das erste ob Papier oder Email ist umsonst. Für 15 schlappe Dollar kannst Du jedes Zertifikat aber nachbestellen. Kommt also ganz auf Deine Terminbedürfnisse an wie shnell Du das Papier brauchst, reichen 6-8 Wochen, reicht Papier. brauchst Du's schneller, z.B. für Bewerbungen etc. gehts schon mal innerhalb von einer Wochen oder 4 Tagen per Email ... Du logst dich mit deiner Zertifizierungs-ID (nicht CCO) im "Carreer Certifications Tracking System" ein - dort regelst Du diese formalen Angelegenheiten.

... den 2960 kann man stacken ???? erst die 3750 haben überhaupt den Anschluss für ein StackWise Cable - im Configuration Guide steht was von Clustering im SNA . Du meinst vielleicht so etwas?

so ist das Prinzip: NAT bringt durch die neuen Source/Destination Addressen die Authentifizierungfunkton von ESP oder AH durcheinander: der Hash stimmt nicht mehr - da sich der Header geändert hat, dessen Orginalität ja mit Authentisiert werden sollte. Sobald also NAT auf einer VPN Strecke liegt müssen die ESP oder AH Packete zusätzlich in UDP oder TCP Packete gekapselt werden, deren Adressen oder Ports werden dann nicht mehr "gehashed" und können so munter übersetzt -> "genattet" werden. Man kann entweder eine UDP oder TCP Kapselung fest konfigurieren oder auf die automatische Entdeckung mit NAT-T setzen.

Hi Carsten, konzentrier die auf deine PPP Konfiguration - dein BRI und ISDN Gedöns läuft. Du hast auf beiden Seiten denselben Hostnamen! R2! Nix Gut! schalte dein "debug isdn * " komplett aus und Suche im PPP - genau wie rob 67 geschrieben hat . nicht zweimal r2 auf beiden Seiten!

Hi Pete, die etwas "coolere" Lösung wäre die Implementation eines zusätzlichen externen Packetfilters. Das Cisco IOS bietet wesentlich ausgereiftere Routingfunktionalitäten als die Pixen - z.B. Policy Routing via Route Maps. Gerdaezu Ideal eignet sich ein äußerer Packetfilter auch um mit die Pix vor allzu banalen Spoofing oder DoS attacken mit ACls zu entlasten. Wie ist denn das zu verstehen daß Du HINTER dem T-Com Router R2 wieder eine eigene Firewall implementieren willst?? Layer 2? Wäre das nicht im Netz der T-Com?

Hallo Beilster, Schritt für Schritt stehts in Büchern z.B. zu den Cisco Zertifizirungen SECUR (alt) oder SNRS (neuer) oder aus der CCNP Reihe BCRAN. Es gibt auch den Security Configuration Guide zur Cisco IOS Software. Schwer zu vermuten was Du alles wissen willst...

Hallo Pete, die ASA wird vermutlich auch die Konzentratoren als Produktlinie ablösen ... Ganz neu ist die Integration eines IPS Moduls in zwei Ausführungen - in der Form ist diese IPS Funkktionalität in Sachen Leistungsfähigkeit bei der PIX und dem "ip audit" feature nicht vergleichbar. Auf der ASA läuft OS 7.0 und 7.1 - die AIP-SSM Module haben eine eigenständiges Software: es sind vollständige Pentium4 Systeme mit Flash Speicher statt Festplatte und - soweit ich weiß - einer gehärteten Debian Linux Distribution. Der Traffic kann von den diversen DMZ Interfaces oder dem Inside/Outside entweder "inline" (IPS) oder "promiscous" (IDS) umgeleitet oder bearbeitet werden ..

... aus dem aktuellen BCMSN Buch: ELECTING DESIGNATED PORTS In each determination process discussed so far, two or more links might have identical Root Path Costs. This results in a tie condition, unless other factors are considered. All tie-breaking STP decisions are based on the following sequence of four conditions: 1. Lowest Root Bridge ID 2. Lowest Root Path Cost to Root Bridge 3. Lowest Sender Bridge ID 4. Lowest Sender Port ID Interessant: "All tie breaking STP decisions [...]" doch interessant ?

Hi Sailer, stimmt! aber ... da war ich auch etwas überrascht ... Ich habe den Eindruck das ZWEI Methoden existieren. versuche das selbst nochmal genauer rauszubekommen. Es gibt seit diesem Frühjahr eine neue Auflage des BCMSN Buches - versuche mal die neue Version in die Finger zu bekommen.. Hier sieht man z.B. das es einen Wet Port ID gibt, der unabhängig von der MAC ist und im Spanning-Tree eine Rolle spielt: Switch#show spanning-tree interface FastEthernet 0/1 detail Port 1 (FastEthernet0/1) of VLAN0001 is forwarding Port path cost 19, Port priority 128, Port Identifier 128.1. Designated root has priority 32769, address 000a.4107.7400 Designated bridge has priority 32769, address 000a.4107.7400 Designated port id is 128.1, designated path cost 0 Timers: message age 0, forward delay 0, hold 0 Number of transitions to forwarding state: 1 BPDU: sent 237, received 1

.. nicht mit steigenden TTLs? gehts nicht bei 1 los bis zum Ziel? so sieht bei mir aus WinXP: Tracing route to http://www.spiegel.de [195.71.11.67] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms localhost [192.168.124.1] 2 12 ms 12 ms 14 ms dslb-084-056-128-001.pools.arcor-ip.net [84.56.128.1] 3 12 ms 12 ms 11 ms stg-145-254-14-201.arcor-ip.net [145.254.14.201] 4 22 ms 15 ms 15 ms ffm-145-254-16-18.arcor-ip.net [145.254.16.18] 5 16 ms 18 ms 16 ms 213.20.249.153 6 16 ms 14 ms 14 ms rmws-frnk-de07-gigaet-0-0.nw.mediaways.net [213.20.255.4] 7 15 ms 14 ms 15 ms rmwc-frnk-de01-so-0-1-2-0.nw.mediaways.net [213.20.249.201] 8 23 ms 21 ms 21 ms rmwc-gtso-de01-pos-2-2.nw.mediaways.net [195.71.254.45] 9 22 ms 22 ms 22 ms xmws-gtso-de02-vlan-3.nw.mediaways.net [217.188.58.204] 10 23 ms 22 ms 24 ms 195.71.11.67 Trace complete. Also bei gehts mit 1 los. Ich meine auch bei Cisco gabs 'nen UDP traceroute .. Windows nutzt mit Sicherheit ICMPs .. gruss Robert

... wo war nochmal die UDP-Variante des traceroutes in der Cisco-Welt zu finden? Irgendwo werden doch UDP-Packete mit steigenden TTLs versendet - mir fällts gerade nicht ein ..

.. damit tue ich mich etwas schwer - lese seit dem CCNA nur noch englische Cisco Docs ... Bei den Catalyst Switchen scheint jedes Modell seine etwas eigenen QOS -Queues zu haben. WRED/RED ist auch eher ein IOS Konzept und ist was für L3 Interfaces. Im Grundsatz geht es darum nach COS/TOS Kriterien Packete an einem bestimmten Schwellenwert aus einer Queue fallenzulassen BEVOR diese vollständig gefüllt ist - auf diese weise versucht man mithilfe des TCP-Mechanismus einzelne Flows herunterzudrosseln so das eine bessere Gesamtausnutzung der Bandbreite möglich ist (Phänomen -> TCP Global Synchronization z.B.) Aufgrund der häheren Datenmengen werden die QOS Mechanismen bei LAN-Switchen deutlich vereinfacht damit diese noch in der Switching-Hardware umgesetzt werden können. Aber deutsche PDFs fallen mir da spontan nicht ein ... Gruss Robert

zum wrr: rr steht für Round-Robin, dh. heißt immer eine gewichtete Verteilung an einem Gesamten. So hast Du eben nicht 20% oder 20 von Hundert, sonder 20 von 101 ... was Du mit Layer 1 meinst ist mir nicht ganz klar. Man könnte sogar darüber streiten ob es wirklich 4 queues sind - da vorher der gesamte Traffic mit allen 8 COS/TOS classes auf nur 3 queues aufgeteilt wird, und die 2. queue auch nur mit einer 1 gewichtet, fällt diese in der praxis einfach unter den Tisch. [so kämst Du auch wieder auf 100% interessanterweise ... :-) ] Zu Schwellenwerten empfehle ich dir mal eine Recherche in Sachen RED oder WRED auf der Cisco Website ... ich denke derartige "Drop Schwellen" dürften damit gemeint sein .. Gruss Robert

Hi alex, grundsätzlich existieren immer zwei Antworten auf diese Frage: a) Ciscos Position: Bei Kauf eines gebrauchten Gerätes, muss eine neues Lizenz nachträglich erworben werden. Zu Softwareupdates ist man nur berechtigt, wenn man 1. so eine Lizenz erworben und registriert hat (oder eben ein neues Gerät gekauft hat) und 2. Einen Wartungsvertrag für eine gewisse Laufzeit erworben hat. (jeweils nur im Rahmen des ursprünglichen Feature-Sets) b) Gebaruchtgeräte-Händler Europa: Fast alle vertreten - und verkaufen - das IOS Image mit. Die rechtliche Idee dahinter ist ähnlich dem damaligen Streit um die Windows OEM Lizenzen die Microsoft per Liznezbedingungen vom Weiterverkauf ausschließen wollte. Heute ist das ja kein Problem mehr. Problem aber bei Cisco: zwar hat keiner großartige rechtliche Konsequenzen zu befürchten falls er einen gebrauchten Router mit einem Image (das der Verkäufer natürlich legal lizensiert haben sollte) kaufen und in Europa Betrieb nehmen würde - man bekommt nur keine Wartungsverträge bei Cisco, keine Updates. Dazu muss dann immer noch eine Lizenz nachträglich geordert werden... Gruss Robert