Wordo

Ich mach mir da eher wegem Pruefungen Sorgen, z.B. wird folgendes als Fehler gezaehlt: Q: Setze bei einem Router das Enable PW auf "test" Ich geb ein: enable secret 0 test A: Falsch, enable secret test (da 0 default) Egal .. BTT

<offtopic> Ist der deny any eigentlich nicht Standard? Hab das gestern noch gelesen, mach aber selbst auch am Ende immer ein deny any any </offtopic>

Fragen wir doch mal andersrum, woher weisst du das die Switche am Ende ihrer Kapazitaeten sind? :)

Die Transfernetze (wie auf der Zeichnung) existieren ja auch nicht wirklich. Schau dir den Link von maho an, da steht das recht gut erklaert drin ...

Hmmm .. macht man nicht i.d.R. ein Gast-VLAN wo den Clients erst mal die Moeglichkeit gegeben wird sich anzumelden? Danach wird einem dann das "richtige" VLAN zugewiesen. So kenn ich das .. Theoretisch (nach erfolgreicher Anmeldung) muessten man dann beim Logonscript hast den ipconfig /renew (?) ausfuehren .. oder er bekommt die IP von Radius (ISA?)

Ein starker Radiusserver sollte das eigentlich koennen, Radiator z.B., hier ist ne nette Diskussion. Meine AD Kenntnisse sind aber extrem beschraenkt, vielleicht isses nicht das richtige fuer dich: http://www.open.com.au/archives/radiator/2005-09/msg00030.html

Clientnetz-A -- Transfernetz-A -- internet --Transfernetz-B -- Clientnetz-B So muesste es aussehen, sprich 2 Transfernetze, C-A spricht T-A an um zu C-B zu kommen. Vice versa muss da halt auch eins sein (sieht halt sauberer aus)

Statt "switchport access vlan 240" muesste es glaub ich "switchport trunk allowed vlan 240" sein, weil 1 im Trunk default dabei is. Vielleicht 240 auch wenns native is, hab ich bis jetzt noch nie probiert. EDIT: sorry, hab grad noch mal die Doku vom 2950 und 3550 durchgeblaettert. Vergiss das mit dem trunk allowed und access vlan, so stehts drin: switchport trunk native vlan 240.

Ich weiss nicht ob du mit einer Bridge oder VLAN weiterkommst, da mit Sicherheit in beiden Netzen auch dieselben IP's vergeben sein werden. Sprich bei beiden hat der Server im LAN die IP .1 am Ende (z.B.). Und dann fangen die Probleme an :shock:

Gilt das fuer PIX oder Cisco IOS? Das waer ja schon mal nicht schlecht! Evtl. gibts ja dann bald mal ne "NETMAP" Funktion wo man nicht fuer jede einzelne IP ne Regel erstellen muss.

Es geht ja darum dass beide Clientnetze dieselben IP's haben, und sicherlich keiner von beiden sein Netzwerk aendern kann/will, also muessen die Clients halt andere IP's "ansteuern" und am Router werden die Adressen dann genattet. Sprich wenn beide x.x.1.x haben dann muss Netz A x.x.2.x ansteuern um zu B zu kommen und B muss x.x.3.x ansteuern um zu A zu kommen.

Mit Linux und nem gepatchten IPTables geht das, da kannste die IPSec-Hooks ordentliche NATen, aber ob Cisco das auch kann ... kein Plan. Ich denk mal das ist das IOS zu penibel als sich mit NAT-Regeln "austricksen" zu lassen

Ob er unbedingt eine IP braucht um sich anzumelden weiss ich nicht, aber eine Verbindung ist oft nicht noetig wenn der Client sich mind. ein mal erfolgreich an der Domaene angemeldet hat, danach sind die Daten gecached (ab XP? Bin Windowsdau)

Bei Bosom bekommste bestimmt nen Unlock-Key. @xyCruiseryx: Hast du das mit der CCNA oder CCNP Version gemacht? Hab mir mal die 6er fuer CCNA geladen, aber das Tool hat mich 0 ueberzeugt :rolleyes: Evtl. taugts ja mehr wenns unlocked ist, aber die Testversion is nicht so ueberzeugend. Ist Semsim was anderes/besseres? Hab noch nie was davon gehoert ..

oehmm .. mach mal conf t line vty 0 4 login local exit exit

ICMP Time Exceeded ist in 90% der Faelle ein Routingloop!

Ich wuerd eher auf die IP, bzw den Rechner der IP tippen. Mal nen Sniffer installiert und geschaut ob wenigstens die requests an Interface ankommen?

Bevor du deine gesamte Konfiguration verhunzt solltest du mal nen Blick hierauf werfen: http://www.cisco.com/en/US/products/hw/switches/ps646/products_configuration_guide_book09186a00801f0a3a.html Ich route nicht zwischen VLAN's und hab auch keinen Catalysten frei um das zu testen, will dir da jetzt auch nichts falsches erzaehlen :D

Setz die Switchports wo du Clients dranhaengst mal auf access und nicht dynamic: conf t int <interface> switchport mode access EDIT: mit ... conf t ip routing ... noch Routing aktivieren :)

Gut, dann machste auf dem Catalysten erst mal nix mehr, dem PC gibst du die 194.194.194.10 und als Gateway die 194.194.194.1. Und dann guggste mal ob du surfen kannst :D und wenn nich, dann Ping mal vom PC aus den Router (194.209.193.1), mal schaun ob du hinkommst.

Du hast was falsch gemacht, denn wieso sollte ein Client ueber die 1 gehen um auf die 10 zu kommen wenn er im selben Netzwerk ist ;) Ich glaub dir ist da mit dem Routing was noch nicht ganz klar. Was willst du denn nun machen?

Jetzt gibste erst mal ein "wr" ein (nicht im Config-Mode) damit alles gespeichert wird. Dann wieder ein "conf t" und dann ein "no ip http server". Dann isses aus. Am besten alles jetzt noch mal testen (aus-/einloggen) etc bevor du nochmal speicherst. Fuer Clients im VLAN 10 waere das Gateway die 194.194.194.1, und im Switch is ja schon das richtige(?) Gateway ins I-Net eingerichtet.

ip http server ... wenn da ein "no" davor steht laeuft keiner! Du gibst dem PC eine aus dem 194.194.194.Xer die frei is (schon mal nich die 1) EDIT: Bei ner 836 z.B. isses so, wenn du dich das erste mal ueber HTTP einloggst, bisschen rumspielst und dich nich gscheid abmeldest, wird die Authentifzierung umgestellt, also spiel da lieber nicht rum (im HTTP) wenn du noch unerfahren bist :)

Nimms mal raus, auf eigene Gefahr aber. Wer weiss was fuer "Unwichtiges" zu nicht gepostet hast. Also wie bei dem "show run" gibste ein "conf t" und dann "no ip route 0.0.0.0 0.0.0.0 192.168.111.111". Der Rest sieht ja ganz anstaendig aus (bis auf das der Webserver laeuft :eek: )

Ich glaub langsam waers Zeit die Konfiguration zu posten (kannst ja das unwichtige Zeugs weglassen) :)