Otaku19

heute hab ich auf der Live die IPS Prüfung mit 886 Punkten bestanden :) War eigentlich relativ einfach, falls jemand die Prüfung demnächst vor hat, es reicht sich den Certification Guide vorzuknöpfen und mit dem Demoe mode vom IME zu arbeiten, da sieht man eigentlich alles was man benötigtg. Echte hardware ist nicht notwendig

Ich hocke gerade in der ASA Session,sonst noch jemand da ?

wie gesagt, da sind so viele Faktoren ausschlaggebend die Bandbreite und Latenz stark beeinträchtigen können....nur wie bringst du das bei dir unter: Wie viele Leute in der Umgebung nutzen die gleiche Sendeanalge/NodeB Wie sind die Sender angebunden falls RiFu...egal was dei labern, Schnee,regen, Nebel etc beeunflusst RiFu, IMMER (Klappe zu, ihr Transmissionleute falls ihr das lest!)

wenn es ständig Beschwerden gibt, dann würde ich ein Bandbreitenmonitoring,also was MRTG artiges aufsetzen, dann weißt du zumindest was die ganze Zeit so verbraten wird, ein ip sla zu einem Ziel könnte Aufschlüsse über Latenzschwankungen geben. Aber die maximal ereichbare Bandbreite bei einem mobilen Zugang ist sehr dynamisch, die Luftschnittstelle ist einfach zu unzuverlässig und du teilst dir mit vielen anderen Usern eine Zelle und derenUplink. Wenn sich die LAge nicht bessert, hilft alles Raunzen nix, eine gscheite Leitung muss her, 3G ist höchstens eine Möglichkeit für eine Backupanbindung, aber niemals als einzige Anbindung für eine Branch Office

das wäre dann ein ständig laufender speedtest der dir die bandbreite nimmt, hat nicht viel Sinn

hm, versuchs mal direkt im ASDM beim Device Maangement -AAA irgendwas, im Demo Mode scheint das nicht so recht zu funktioneiren, ich kann da zumidnest keine befehle einem privilege level zuordnen. Das ganze solltest du halt bei euser machen der nicht gerade am ASDM angemeldet ist bzw den du gerade selber verwendest

dannmacht man halt ez vpn,hehe

wobei man mit sec plus ja nur das prolem mit den 2,5 Interfaces löst, die ASA kann damit auch kein PBR ! Aber für den Fall hier würds klappen, zumindest so lange bis jemand auf irgendeine dumme Idee kommt und nach etwas verlangt das PBR benötigt

konfiguriert werden muss im nrmalfall: static NAT acls die den Zugriff erlaubt laufende ftp inspection

vom desgin her legt man keien acls im Core auf irgendwelche interfaces

stimmt,natürlich wildcards. Aber desgintechnisch haben im Core solche Regeln nichts zu suchen :)

du musst di acl dann auch an einem interface und in die richtige richtung binden, ping geht dann natürlich weiterhin, du blockst ja tcp. in deinem fall musst du dann noch die acl etwas aufsplitten, durchs subnetting ist das so und du hast in der acl source/destination verdreht.. also ich würde das so machen: access-list 100 deny ip host 172.30.10.71 172.16.3.60 255.255.255.252 access-list 100 deny ip host 172.30.10.71 host 172.16.3.64 access-list 100 deny ip 172.30.10.72 255.255.255.252 172.16.3.60 255.255.255.252 access-list 100 deny ip 172.30.10.72 255.255.255.252 host 172.16.3.64 usw usf (access-list 100 permit ip any any) dann bindest du dise acl wo das 172.30.10/x netz landet INBOUND. Je nachdem welches Plattform/welches IOS sind vielleicht auch object-groups vorhanden, das wäre praktischer als das über zib ACEs zu machen.Was auch noch zu beachten wäre, handelt es sich um einen reinen Router ? n Switch ? Ist da ein Firewallfeature aktiv ? nich timmer alles aus der Nase ziehen lassen -.-

und auf welchem System ?

ist auf jeden Fall ein hohes Featureset, es gibt aber immer wieder mal merkwürdige Entscheidungne warum Feature X zB in eienr Broadband drin ist, in enterprise doer advsec nicht. Da hilft nur ausprobieren oder http://www.cisco.com/go/fn...wobei letzteres meist länger dauert und man dann erst nicht 100% weiß ob es klappt.

hm, in dem xml wird nur festgehalten was man in den dynamic access policies einträgt (daher ist man quasi gezwungen dafür den ASDM zu nutzen), das sollte auf den asdm Zugriff an sich keine Auswirkung haben. FRagen: SSH Zugriff funktioniert ? ASDM Zugriff bringt immer obige Meldung ? Verwendest du den Launcher oder versuchst du es via Browser + JAVA Applet ? OS/ASDM Version ? Hast du evtl noch SSL VPN konfiguriert und den Port vom ASDM nicht verlegt ? relvante Configteile ?

sind denn auch noch bei den aktuellen Certification Guides von Cisco noch Boson Fragen dabei ? Bei meinem letzten Guide zu IPS ist es schon von Pearson,allerdings keine neuen Fragen sondern nur alle vom "Do i know this already" aus dem Buch -.- weitere muss man kaufen. Erfahrungsgemäss gilt: der Inhalt der Certificationguides weit mehr in die Tiefe als es dann bei der Prüfung gefragt wird die Fragen am Anfang des Kapitels sind viel zu einfach um ernst genommen werden zu können Es kommen bei fast allen Prüfungen allerlei Simulationen, aber hauptsächlich multiple choice es wird immer angegeben wie viele Antworten anzukreuzen sind, single answer ist eben anzupunkten es gibt meist auch irgendwelches Begriffe hin und her schieben leider gibt es immer wieder Certification Guides die auf manche Themengebiete die dann bei der prüfung drankommen garnicht-kaum eingegangen wird es empfihelt sich immer den Guide von vorn->hinten ordentlich durchzunehmen, wenn möglich zu üben (paar Befehle, in deinem Fall aber hauptsächlich subnetting) und sich dabei Notizen zu machen. Beachtet man das alles ist so ziemlich jede Prufung locker zu schaffen.

was genau verkehrt ist :) zuerst die physikalischen interfaces in eine channel-group schmeissen (+phy settings gleich halten) und dann alles weitere nur noch am Po Interface machen

das ist unmöglich und der komplett falsche Ansatz hinsichtlich der security. Das mit mit dem gesamt Volumen würde es sicher geben, denke auf WRT Basis könnte was laufen oder auch via proxy, aber das stammt eher aus zeiten von volumenbasierten Tarifen. Wenn du Angst hast das dir jemand die Daten stiehlt, dann musst du wo anders ansetzen.

das ist dann allerdings doof, dann könnte man alle clear Befehle absetzen, da ist aber vieles dabei das nichts mit VPN zu tun hat. Dann lässt sich das nur mehr über AAA Server lösen

ja, das ist aber kein "Problem" am Cisco Router, sondern eines der UMTS Box ;)

naja, hast am UMTS Router denn ne Route für 192.168.1.0/24 definiert ? Sonst klappts eben nicht ausser via NAT

du brauchst keine Route, das netz ist ja direct connected von wo pingst du jetzt den UMTS Router an ? Sollen dann alle Cleints aus vl2 den Cisco als default gateway haben um in vl1 und auch ins Internet via UMTS Box zu kommen ?

kein ACS vorhanden ? denn bei den ASAs wird die authorization schon mit dem username geschickt, nicht mehr mit enable_15 ansonsten müsste sich da mit: privilege cmd level 2 command cleary crypto isa sa privilege cmd level 2 command cleary crypto ips sa username blafasel password xxxxxxxxxxxxxxx privilege 2 dann kann der user allerdings alles was priv 2 ist auch, keine ahnugn was das dann alles wäre. views wie auf routern gibts keine

gratis wäre zB: wktools3 aber eigentlich sollte das jede brauchbare NMS können, die nehmen halt einfach alles her was sie kriegen können: snmp, cdp, spanning-tree...und je mehr Infos sie haben, desto mehr Layer zeichnen sie dann in die Pläne. Man kommt aber meist trotzdem nicht um manuelle Visios rum.

+ios ids :d