Wurstbläser

Cisco ist eigentlich bekannt für 2-4 Simulationen pro Test, einem größeren Fragenpool, einer etwas kanpp bemesseneren Zeit. Die Simulationen spielen sich typischerweise in einer Telnet-artigen GUI ab. Die Syntax der Cisco Befehle sollte man dafür kennen. Gruss Robert

@Borderlinedance ... mal von Linux, Cisco etc abgesehen Wie siehts denn mit der zukünftigen MS Server Architektir aus? Habe leuten hören das die MS Parade-Produkte ActiveDirectory oder Echange in Richtung SQL mars***ieren sollen. Kenne mich selbst mit SQL nicht besonders gut aus - den generelle Trend bei MS scheint es aber doch zu entsprechen die Server-Produkte aufeinander abzustimme/zu integrieren. Die Antwort die Du dann suchts hieße MCDBA - und bis Du die alle fertig hast kannste Du dann schon dein erstes Longhor-Zertifikat machen! Gruss Robert

1) schwerer als MS 2) 1 oder 2 Prüfungen 3) er bringt Geld, Prestige, gute Jobs, schnelle Autos und jede Menge Frauen 4) sehr gute Ergänzung 5) Cisco Press Reihe Exam Certification Gruss Robert

+ 16% MWSt ...

wenn man Zeit hat (4-6 Wochen Versand) bekommt man viele Cisco Bücher auch in einer chinesichen Textbook-Edition z.B. über Ebay die aber druckgleich mit den original-Ausgaben sind. Habe so selbst schon mehrmals diesen Kanal benutzt - funktioniert immer gut. Das schient in den USA auch der Tip für College-Studenten zu sein - viele Verlage bringen Textbücher auf Uni-Niveau in einer chinesichen Version in Asien auf den Markt - da sich eine chinesischen übersetzung scheinbar eh nicht lohnt. Die Legalität ist für die USA geklärt - in Europa BRD dürfte die Buchpreisbindung keine Rolle spielen, das die Bücher auch unter einer eigenen ISBN Nummer herausgebracht werden. Die Amazon Angebote sind immer ein guter Tip - nur genau auf die Auflage achten! Gruss Robert

... Cisco bietet schonmal sehr viele Beispielkonfigurationen auf ihrer Website 1) Cisco -> NAT (statisch Portweiterleitung) 2) Microsoft -> Exchange zur Einbindung eine Exchange-Servers mit Firewall/Perimeter erinnere ich aus meiner Exchange Zeit auch ne ganze Reihe von Whitepaper und Lösungen. Für genauere Lösunge z.B. aus diesem Forum fehlten auch ne Reihe von Angaben Exchange-Version / NetzTopologie/Firewall etc .... Gruss Robert

Hallo jmiller hört sich doch alles gut an. OSPF sendet exakt diese Pakete. Die DD Pakete enthalten eben nicht alle Infos für die topology table - hat der Router nicht die aktuellen Daten für ein Netz/Link fragt er mit nem Request genauer nach ... Der genaue inhalt der Pakete ist wohl was für einen Sniffer (-> http://www.ethereal.com gut und für lau, linux+win). Vielleicht bietet sich hierbei wirklich mal der offizielle OSPF RFC an - kenne Ihn selbst allerdings nicht. Jeff Doyle: Routing TCP/IP 1, Cisco Press ist ein erstklassiges Buch - dass ich nur empfehlen kann. Gruss Robert

habt ihr echt ne ACL auf nen switchport legen können? Ich hätte jetzt Stein (und Bein) geschworen das man mit dem entsprechenden Image eine ACL villeicht auf ein VLAN binden könnte - aber einen einzelnen Port??? Wozu sollte das auch gut sein? Zur Absicherung sollte man doch port-security oder private VLANs nehmen ... @S21lit21: firewall feature set auf dem 2950?? also 3550 ließe ich mich ja überzeugen ... Gruss Robert

die 640- (oder z.B. 642- ) Nummern sind Examensnummern nicht Kursnummern. CCNA wird man wenn man Examen 640-801 ablegt, oder 640-811 und 640-821. Also 801=811+821 Gruss Robert

Hallo sbE darf ich nochmal nachfragen warum so eine einfache Lösung nicht in Betracht kommt? Wenn ihr eine Linux/VPN Appliance habt, die außer einem einzigen VPN Tunnel in die Zentrale keine andere Route anbieten kann, müßte man doch eigentlich nur vor diesem Gateway EINE Routing-Entscheidung zu dem ISDN-Ersatz-Gateway treffen: entweder über einen weiteren Router, oder zur Not der Routingtabellen der Hosts selbst. Dazu sind doch Router gebaut - da nützt es doch nichts wenn man sich eine Black-Box hinstellt wo man an der einen Seite eine IP eingestellt bekommt und sonst darf man ein Kabel einstecken hoffen. Dan kann man doch nur seine eigenen Router davorsetzen!? (Ich bin jetzt mal davon ausgegangen das Deine Linux-Appl 2x Ethernet in/out hat, und Dein C16001xeth in und 1x ISDN out. Mit 2 Ethernetschnittstellen im 1600 könnte man den ganzen Router vor die Linux-Kiste stellen - theoretisch auch mit einer secondary IP - das ist aber nicht so "schön") Gruss Robert

... blicke in der Beschreibung Beitrag 7 auch nicht so exakt durch. Mal so als Vermutung: Wenn man nun das NAT über die Route-Maps definiert und nicht über ACLs entsteht doch ein voller (extended?) Eintrag in die NAT Tabelle - ist damit nicht vielleicht der Rückweg wieder korrekt zu finden? (Ähnlich dem keyword "extended" bei statischem NAT?) rout-map TEST permit 10 match ip address 1 -> acl 1 Deine internen source IPs match ip next hop 2 -> acl 2 Deine Ziel IP ip nat inside source route-map TEST pool/interface ... nur so ne Idee - Gruss Robert

... das "extendable" statement erlaubt das statische zuordnen einer IL (InsideLocal) IP zu mehreren IG (InsideGlobal) IPs. Dies bräuchte man in einer multihomed ISP Anbindung damit bei unterschiedlichen Scenarien ein wirkliches load-balancing auf einem Router zustande kommt. Vielleicht findest Du genaueres under "ISP Multihoming with NAT" bei Cisco. Auch wird es bei der NAT Variante PAT vom Cisco IOS automatisch eingefügt um in der NAT-Tabelle für einen "erweiterten" Eintrag (ähnlich dem bei Route-Maps) zu sorgen: siehe "show ip nat translations" noch mehr -> Doyle: Routing TCP/IP II, Seite 374ff (Cisco Press 2003) Gruss Robert

Hi habe vor 2 Monaten diese nochmal für eine CISCO-Prüfung durchgearbeitet: http://www.amazon.de/exec/obidos/redirect?link_code=ur2&camp=1638&tag=mcseboardde-21&creative=6742&path=ASIN%2F3932588908 Also ich finds eine ganz exzellente Einführung für alle Kryptografischen Grundlagen. Es geht nie um konkrete Konfiguration sondern immer um verständliche Einführung und Erklärung. Wenn Du die Themen die du aufgelistet hast umdrehst - wird praktisch ne Inhaltsangabe des Buches draus: Kryptografie, Zertifikate, PKI Die zwei negativen Kritiken bei Amazon finde ich unverständlich: eine kritisiert die mathematischen Einführungen seien zu oberflächlich ... also die zwei oder drei Kapitel die tatsächlich in die Mathematik einsteigen sind tatsächlich kurz und dünn - hier sind einfache EDVler aber auch wirklich überfordert wenn sie mathematische Verfahren bearbeiten, beurteilen oder ableiten können sollen. Das ist wohl wirklich mehr ein Thema für ausgebildete Mathematiker ... Gruss Robert

Hallo Hercules - wär doch mal ne schöne Gelegenheit bei Cisco einzusteigen äh - also in den "Themenbereich" sozusagen, nicht den Laden selbst :). Ist aber jetzt schwer abzuschätzen was Ihr sonst so braucht in eurem Business, welche Ansprüche sonst noch bestehen. Gerade so einfachere modulare Geräte 2600XM oder 3600 z.B. könnt ihr ja noch nachträglich mit Firewall, alle möglichen anderen Interfaces, 3DES/AES Hardwaremodul usw. aufrüsten. Ist etwas teuer - schwer allerdings von außen für euch zu beurteilen. Da ihr scheinbar demnächst eh ein wenig VoIP testen wollt ... Das Ungewisse an Deiner Fragestellung ist die Anzahl der VPN Benutzer. Wenn ihrs zunächst mit 2-3 Benutzern testet und es läuft gut - wieviele sollen dann hinterher drauf laufen: 5, 50 oder eher 500? Verschlüsseln kostet CPU .. Gruss Robert PS: also zu Deiner anderen Frage: Du müßtest da eher euren Provider befragen ob der eine Form des QOS anbietet, oder anbieten kann. Ob die Frames die ihr ihm übergebt einfache unverschlüsselte Pakete oder "super wichtige" Voice Pakete in einem IPSec Tunnel ist dem doch egal. In der Regel dürften die Provider ein sog "Differentiated Service" QOS Modell implementiert haben - er wird dann idR auf die TOS/Precedence bzw. DSCP bits in euren IP Headern schauen, und danach seine QOS Entscheidungen treffen.

Hi fry2k also ich würde eher zu dem ersten raten - vom Konzept her scheinen die die Bücher der "Exam Certification Series" näher an den Prüfungen und haben eine CD mit recht ordentlicher Software dabei. Die "Self Study" Reihe hat i.d.R. deutlich mehr Text, mehr und breitere Erklärungen - etwas ausschweifender und breiter im Thema und ohne CD-Rom und Prüfungsfragen. Da du die Prüfung ja schon einmal mit guten 812 versemmelt hast, wirst Du ja schon so einige Grundlagen drauf haben. Allerding kenne ich das zweite Buch auch nicht - auch das Sybex Buch das mapulativ empfiehlt kenne ich nicht. Andere Sybex Bücher zu ähnlichen Cisco Themen sind mir aber positiv afgefallen. Insofern ... Gruss Robert

... so, auf die schnelle habe ich jetzt nicht herausfinden können ob die Lösung "peer default ip address pool xyz" mit variable Subnetzmasken zurecht kommt ... Mein Vorschlag auf die schnelle, zuerst mal mit einer IP probieren, danach mit vielleicht mit DHCP auf dem Router: "peer default ip address dhcp poolX". Bei Deiner "peer default ip address pool xyz" Konfiguration sehe ich nicht woher der Router Deine /26 Maske kennen soll - ich denke deshalb vergibt er die maske /32. Diese Route zu 10.0.0.0 - warum sollte ARCOR irgendein Traffic für dieses Netzt weiterleiten - vor allem wohin? Gruss Robert

... also genau versteh ich jetzt nicht was Du meinst - fehlt jetzt nicht der Dialer 1 in Deiner Konfig? Warum benutzt Du so ein krummes Netz mit /26 auf der einen Seite? Wenn Du eh ppp multilink erlaubst reicht doch für das dialin eine einzige IP - da ist ein pool doch unnötig. Versuchs doch dann erstmal mit "peer default ip address 1.2.3.4" Unter RIP hast Du "passive interface" entfernt, das Netz 10.x.x.x wird ins Internet geroutet und mit dialer list 1 protocol ip permit würde jetzt sogar das RIP Protokoll schön alle 30 sec. dein Idle-timer zurücksetzen so das du 24h ISDN pro Tag an ARCOR bezahlen darfst - das ist jetzt aber nicht die gleiche Konfig aus deinem ersten Beitrag wo Du nur die rotary-group durch dialer-pools ersetzt hast??? Gruss Robert

... mit dialer "rotary group 1" wird das BRI nur mit dem Dialer 1 verbunden. Dialer 2 hat keine B Kanäle zur verfügung. Benutze besser Dialer pools: BRI 0 -> no dialer rotary-group 1 (weg damit) BRI 0 -> dialer pool-member 1 Dialer 1 -> dialer pool 1 Dialer 2 -> dialer pool 1 auf weitere Fehler hab ich jetzt nicht geschaut .... Gruss Robert

@skywalker also bei "copy flash tftp" kannst Du davon ausgehen das dies so stimmt. Mach vorher ein "show flash" und tip deinen IOS-Image Namen 1:1 ab. Ich wette das war ein Tipfehler - ist mir selbst schon häufig passiert ... (wenn du "show version" benutzt siehst du auch den Dateinamen des IOS - allerdings steht er so 10 20 Zeilen weiter oben - "show flash" wäre da einfacher - Hast du die Endung *.bin berücksichtigt?) Gruss Robert

... je genau so sollte das sein. CISCO versteht unter PAT allerdings auch ein direktes Port-Mapping. Soll soll ein Admin z.B. in der Lage sein, z.B. über eine öffentlcihe IP 20.1.1.20 und deren Port 3390 bis 3395 jeweil 6 verschiedene Hosts alle auf deren IP z.B. 10.1.1.20 bis 25 und denselben Port auf jedem dieser Hosts, z.B. 3390 zu erreichen. In diesem Sinne übersetzte NAT IP+Source, PAT übersetzt TCP+Destination. Bin gerade gestern über diese Definition gestolpert - vielfach wird PAT aber als NAT overload verkauft - in den CISCO Prüfungen wäre dies aber falsch .... Gruss Robert

unter "Block einspielen" kann ich mir wenig vorstellen ... bei Deiner obigen Konfiguration scheint "ip routing" zu fehlen - es ist überhaupt kein Routing-Prozess aktiv. Deine direkt verbundenen Router z.B. dein Netz 192.168.0.0/24 dürften dann als connecte direkt in deiner Routing Tabelle auftauchen. Dein ICMP-Packet kennt also den Rückweg nicht, genau wie Cyrrus beschrieben hat .. Gruss Robert

mein Senf dazu: Frage 1: Layer 3 sofern statisches NAT, oder 1:1 übersetzt wird. Beim NAT overload (die wohl häufigste NAT Implementierung) kommt definitiv der Layer 4 hinzu. Vielfach läuft das auch auch unter PAT - wobei CISCO häufig eine andere Funktion darunter versteht ... oder sogar Layer 3-7 (wobei OSI 5-7 = TCP/IP 4) Frage 2: was ist denn bloß eine virtuelle Kommunikation? und was hat der FTP mit der Firewall zubesprechen - also die Frage ist ja echt daneben... Ich würde aber vorschlagen, das heute übliche statefull Firewalls mindestens bis in den Layer 4 schauen - ohne in die Anwendungsschicht zu gucken gehts aber sicher auch nicht lange gut (Netscrenn von Juniper, Checkpoint soweit ich weiß, Cisco nutzt dafür sein IDS). Selbst NAT greift z.B. in der CISCO Implementierung noch in die Anwendungsschicht ein da viele Anwendungsprotokolle Ihre IP in der Anwendungsschicht mitschicken - DNS wäre ein gutes Beispiel. Also wieder eine gute Gelegenheit an der Frage rumzumäkeln. :) Gruss Robert (-> geändert wg Rechtschreibfehler)

Hi Filius ich denke Frank hats genau erkannt: Das ist ja geradezu das klassische Spanning-Tree Problem. Allerdings glaube ich auch das es ein switchport sein muss. Also auf dem Interface: switch(config-if)# spanning-tree portfast (zusätzlich gibt es di features bpdu-guard und bpdu-filter, die Schützen vor unauthorisierten Swicthen die sich an den falschen Prot angeschlossen ausversehen zu einem neuen Root-Switch wählen lassen, und so deine fein ausgeklügelte ST-Topologie durcheinanderbringen ...) Gruss Robert

Hallo sBE ... mal ne ganz doofe Frage: wer will dynamisches Routing nicht haben? Ich bin mir ziemlich sicher daß Herr Dijkstra, Herr OSPF und Frau Rip genau an Euch gedacht haben als sie sich ihre Routingprotokolle ausgedacht haben ... Musst Du denn gleich an die Administrativen Distancen - die sind doch eh nur innerhalb des Routers von Interesse. Auch statische Routen haben ja ne AD. Warum sollten den nicht zwei Routen mit zwei verschiedenen Metriken funktionieren, eine über den Tunnel, die andere über ISDN? Gruss Robert

Moin - was heißt denn Du "bekommst nichts mehr zurück ..." ? Ein Ping geht also nicht? Gruss Robert PS: Du brauchst das RIP Protokol tatsächlich?