Cisco Discovery Packet Tracer Modul 2, Kapitel 9, Teil 2

Kapitel 9:
925 WAN Encapsulation Mismatches:
Die Encapsulation muss auf beiden Enden der seriellen Verbindung gleich sein, sonst funktioniert die Kommunikation nicht und man kann in "show interface" die Meldung finden: "Serial0/0/0 is up, line protocol is down (disabled)"
Auf echtem Cisco-Equipment sollte man die Ausgabe nach bestimmten Wörtern oder Zeilennummern filtern können.


931 Troubleshooting a Small IP Network:
"IP address block of 172.16.30.0 /23" -> Subnetzmaske 255.255.254.0, 510 Hosts (es überschreitet also die Grenzen unseres gewohnten "C-Class" Netzes)
"Subnet A has 174 hosts while Subnet B has 60"
-> Für Subnetz A braucht man ein /24er Netz (Platz für 254 Hosts), für B reicht ein /26er Netz (62 Hosts)
-> Die Angaben in der Tabelle sind nicht ganz korrekt; für Subnetz B ist ein /25er Netz verschwenderisch, also:
Subnetzmaske: 255.255.255.192, Last IP host address: 172.16.31.62, aber sonst passt's.

Aber: Diese Lösung wird nicht als richtig gewertet.
Übernimmt man jedoch die Werte von Subnet B aus der Tabelle (172.16.31.126 / 255.255.255.128), bekommt man die Punkte. Offenbar wurde vom Ersteller der Aufgabe ein /25er Netz vorgesehen, obwohl in den Kursmaterialen steht, dass man so sparsam wie möglich mit den Adressbereichen umgehen soll. Ich kann keine Regel finden, die es verbietet, eine Subnetzmaskengröße zu überspringen. Wenn jemand eine Erklärung dafür hat, bitte kommentieren.

- Weiterhin korrigiert werden muss die Konfiguration von fa0/0: Die IP-Adresse beinhaltete eine .31., es muss aber wie in der Tabelle .30. heißen.
- "no shutdown" bei beiden Interfaces absetzen


934 Troubleshooting DHCP and NAT:
Was ist vorgegeben? -> show run:

a) NAT wird auf Router R2 durchgeführt:
Show run bringt folgende Information zutage:
ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248
-> das sieht ok aus

weiterhin:
interface FastEthernet0/0
 ip address 172.16.20.1 255.255.255.0
 ip nat inside

interface Serial0/0/0
 ip address 172.16.0.2 255.255.255.252
 ip nat outside

interface Serial0/0/1
 ip address 209.165.201.1 255.255.255.252
 ip nat inside
-> bei den seriellen Interfaces wurde inside und outside vertauscht: Outside ist die Seite, von der die öffentliche IP kommt (vom ISP)

weiterhin:
access-list 1 permit 172.16.10.0 0.0.0.255
-> es fehlt der Eintrag für das 11er Netz:
R2(config)#access-list 1 permit 172.16.11.0 0.0.0.255

außerdem soll PAT aktiviert werden mit dem spezifizierten NAT_POOL:
R2(config)#ip nat inside source list 1 pool NAT_POOL overload
-> "overload" heißt nichts anderes als PAT, denn PAT kommt mit einer öffentlichen Adresse aus (statt mit einem Pool öffentlicher Adressen) - eine öffentliche Adresse wird also mit mehreren internen Adressen "überladen"; die Eindeutigkeit des Empfängers wird durch die interne Ersetzung von Ports gewährleistet
-> "list 1" haben wir als access-list mit zwei Einträgen definiert und umfasst die beiden internen Netzwerke an Router 1

außerdem:
"The www.customer.com server at 172.16.20.254 should be accessible by the Internet Host at IP address 209.165.201.30"
-> hier kann man die Server-Adresse statisch mappen: ip nat inside source static in.te.r.n ex.te.r.n
R2(config)#ip nat inside source static 172.16.20.254 209.165.201.30

-> man hat also das /29er Netzwerk als NAT-Pool für die dynamische Übersetzung von internen Adressen und zusätzlich noch eine feste Adresse für den Server, sodass er von draußen immer unter der gleichen Adresse erreichbar ist.


b) DHCP auf Router R1
Show run zeigt:
ip dhcp excluded-address 172.16.10.1 172.16.10.3

-> hinzugefügt werden muss der zweite ausgeschlossene Adressbereich:
R1(config)#ip dhcp ex 172.16.11.1 172.16.11.3

Show run zeigt weiterhin:
ip dhcp pool R1_LAN10
 network 172.16.0.0 255.255.0.0
 default-router 172.16.10.1
 dns-server 172.16.2.254
ip dhcp pool R1_LAN11
 network 172.16.11.0 255.255.255.0
 default-router 172.16.1.1
 dns-server 172.16.20.254

-> Fehler haben sich eingeschlichen in DHCP-Pool R1_LAN10:
R1(config)#ip dhcp pool R1_LAN10 // existierenden Pool bearbeiten
R1(dhcp-config)#dns 172.16.20.254 // nicht .2. sondern .20.
R1(dhcp-config)#network 172.16.10.0 255.255.255.0 // nicht das Netzwerkwerk zu R2, eine serielle Verbindung braucht kein DHCP

-> Fehler haben sich eingeschlichen in DHCP-Pool R1_LAN11:
R1(config)#ip dhcp pool R1_LAN11
R1(dhcp-config)#default-router 172.16.11.1 // muss die IP-Adresse des Interfaces sein, mit dem das Netzwerk verbunden ist, das per DHCP Adressen bekommen soll


941 Applying Routing Table Principles:
In dieser Aufgabe kommen die Troubleshooting-Hinweise aus dem Nichts; besser man nutzt das tracert-Tool um Hinweise zu erhalten, wo's klemmt:














Man sieht hier schon, dass es nach der 192.168.4.1 nicht weitergeht -> die Route fehlt
R1(config)#ip route 192.168.4.0 255.255.255.0 192.168.2.2
(192.168.2.2 ist der nächste Hop in Richtung PC3 von R1 aus gesehen)














 Jetzt sieht man, dass sich die Ausgabe verändert hat: Es erreicht den nächsten Router, wird aber nicht vom übernächsten Router (R3) beantwortet

Von R2 aus kommt man jedoch zu PC3:
R2#traceroute 192.168.4.10
Type escape sequence to abort.
Tracing the route to 192.168.4.10

  1   192.168.3.2     7 msec    3 msec    3 msec   
  2   192.168.4.10    9 msec    5 msec    9 msec   

Es muss also etwas mit dem Rückkanal zu R1 nicht in Ordnung sein, sodass die Pakete zwar gesendet aber nicht zurück geroutet werden können.
Also schauen wir uns mal wie von Cisco vorgeschlagen die Routingtabelle von R3 an:

R3#sh ip ro
R    192.168.2.0/24 [120/1] via 192.168.3.1, 00:00:11, Serial0/0/1
C    192.168.3.0/24 is directly connected, Serial0/0/1
C    192.168.4.0/24 is directly connected, FastEthernet0/0
C    192.168.5.0/24 is directly connected, Serial0/0/0
R    192.168.6.0/24 [120/1] via 192.168.5.2, 00:00:25, Serial0/0/0
R    192.168.7.0/24 [120/1] via 192.168.5.2, 00:00:25, Serial0/0/0
                    [120/1] via 192.168.3.1, 00:00:11, Serial0/0/1

Und welch Überraschung, die Route zu R1 fehlt, also fügen wir sie ein:

R3(config)#ip route 192.168.1.0 255.255.255.0 Serial 0/0/1
(hier wurde mal das Interface verwendet statt Next Hop; macht in der Praxis keine Unterschied, bei der Bewertung der PacketTracer-Aufgaben schon)

Cisco Discovery Packet Tracer Modul 2, Kapitel 9, Teil 1

Kapitel 9:
924 Configuring and Troubleshooting a Switched Network

- Nach dem Anbringen des Console-Kabel sollte die Prozentanzeige auf 8% stehen, aber sie steht nur auf 7%, aber das ist ok, am Ende passt's wieder.

- switchport mode access wird für alle Interfaces eingestellt, die mit Geräten verbunden sind, die keine Switches sind; bei Verbindungen zu Switches wird trunk eingestellt

- Das Kommando für den Default Gateway ist unter dem Befehl "ip" zu finden:
S1(config)#ip default-gateway 172.17.99.1

- Die Uhrzeit stellt man vom privileged exec mode aus ein, nicht vom global configuration mode (also vorher exit tippen)
S1#clock set ?
  hh:mm:ss  Current Time
S1#clock set 02:41:00 SEPTEMBER 18 2011
S1#sh clock
*2:41:10.300 UTC So Sep 18 2011
(wird nicht bewertet)

- S1(config)#service password-encryption
wird verlangt

- Konsolen- und Telnetpasswörter setzen:
R1(config)#line con 0
R1(config-line)#pass cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#pass cisco
R1(config-line)#login

- Banner setzen
S1(config)#banner motd $Authorized Access Only$
-> wichtig sind die Dollar-Zeichen


- Duplex / Speed bestimmen:
S1#sh int fa0/1
FastEthernet0/1 is up, line protocol is up (connected)
  Hardware is Lance, address is 00d0.bc02.2e01 (bia 00d0.bc02.2e01)
 BW 100000 Kbit, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s ...

S1#sh int fa0/18
FastEthernet0/18 is down, line protocol is down (disabled)
  Hardware is Lance, address is 00d0.bc02.2e12 (bia 00d0.bc02.2e12)
 BW 100000 Kbit, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Half-duplex, 100Mb/s ...

- Duplex korrigieren bei fa0/18 und fa0/24:
S1(config-if)#int fa0/24
S1(config-if)#duplex full


- Port Security:
S1(config-if)#int fa0/18
S1(config-if)#swi mode access
S1(config-if)#swi port-security
S1(config-if)#swi port-security max 1
S1(config-if)#swi port-security mac-address sticky
-> nur das letzte Kommando wird bewertet

- alle nicht verwendeten Ports deaktivieren für Schreibfaule - "range" verwenden:
S1(config)#int range fa0/2 - 17, fa0/19 - 23, g1/1 - 2
S1(config-if-range)#shu

- Konfiguration von NVRAM sichern:
R1(config)#do copy run start

Cisco Discovery Packet Tracer Modul 2, Kapitel 6 bis 8

Kapitel 6:
611 Configuring Static and Default Routes:
Routen müssen definiert sein, sodass eine Kommunikation zwischen Netzwerken möglich ist, zwischen denen mehr als ein Router liegt.
Default Routes werden immer dann vom gewählt, wenn kein passender Eintrag in der Routing-Tabelle gefunden wurde,
Static Routes im Unterschied zu Dynamic Routes geben fest vor, welches Interface des Routers oder welcher nächste Hop zu einem bestimmten Netzwerk führt


615 Configuring RIP:
- Subnetzmaske für /8er Netzwerke ist 255.0.0.0, für /16er 255.255.0.0 und für /24er 255.255.255.0
- die Clockrate wird nur an einem Endpunkt einer seriellen Verbindung gesetzt, und zwar an der DCE-Seite (Master), nicht an der DTE-Seite (Slave); in PacketTracer wird das durch eine kleine Uhr an dem Interface gekennzeichnet, wenn man mit der Maus über das Kabel fährt.

SVC01(config-if)#int s0/0/0
SVC01(config-if)#ip add 192.168.1.1 255.255.255.0
SVC01(config-if)#no shu
SVC01(config-if)#clock rate 64000

- RIP ist das einfachste dynamische Routingprotokoll bei Cisco; man muss einfach im RIP-Modus die Netzwerk-Adressen eingeben (keine IP-Adressen von Geräten. In einem /24er Netzwerk enden die Netzwerk-Identifikationsadressen auf .0; siehe auch Übung 413)

SVC01(config)#router rip
SVC01(config-router)#network 192.168.2.0
SVC01(config-router)#network 192.168.1.0
SVC01(config-router)#network 10.0.0.0

- Server0:
Erste nutzbare IP im 10.0.0.0 /8-Netzwerk is 10.0.0.1
Default Gateway ist die IP des Router-Interfaces fa0/0, also 10.0.0.254

- Mein "Geheimtipp" für das Konfigurieren dynamischer Routingprotokolle: "show ip route" eintippen, die mit "c" markierten direkte verbundenen Netzwerk-Adressen kopieren und bei RIP nach dem network-Befehl eingeben; so braucht man sich keine Gedanken darüber zu machen, wie die korrekte Netzwerk-Identifikationsadresse lautet, denn in der Ausgabe von "show ip route" steht es genau so drin, wie es von RIP gebraucht wird. Der Befehl funktioniert aber erst, wenn die Interfaces mit IP-Adressen konfiguriert worden sind.

RTR01(config)#do sh ip ro
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

C    172.16.0.0/16 is directly connected, FastEthernet0/1
C    192.168.0.0/24 is directly connected, FastEthernet0/0
C    192.168.1.0/24 is directly connected, Serial0/0/0

RTR01(config)#router rip
RTR01(config-router)#network 172.16.0.0
RTR01(config-router)#network 192.168.0.0
RTR01(config-router)#network 192.168.1.0

- PC1
Zweite nutzbare IP-Adresse in 172.16.0.0 /16 ist 172.16.0.2, und so weiter.


Kapitel 8:
822 Planning Network-based Firewalls:
Anleitung folgen, fertig.

824 Configuring WEP on a Wireless Router:
Man kann sich Arbeit sparen, indem man sofort den Key in der Wireless Workstation eingibt; die geänderte SSID wird automatisch vom Wireless Router übernommen (siehe auch Übung 935 von Modul 1)

Cisco Discovery Packet Tracer Modul 2, Kapitel 2 bis 5

Kapitel 2:
231 Troubleshooting and Resolving Network Issues:
Default Gateway auf PC1A muss 192.168.3.30 nicht 192.168.3.31 sein

Kapitel 3:
333 Exploring Different LAN Switch Options:
- Router0 hat ein Fast Ethernet-Interface, deshalb braucht man die gleichen am Switch (nicht Gigabit Ethernet)

- Als Faustregel für die Kabelauswahl bei PacketTracer gilt:
Crossover-Kabel für: Gleichartige Geräte (PCs, Server) miteinander, Wireless Router zu Switch, Access Point zu Router
Straight-Through-Kabel für: PC zu Switch, Router zu Switch, PC zu Router, Wireless Router zu Router
(reale Switches ist normalerweise intelligent genug, mit beiden Kabelarten zu funktionieren)


334 Exploring Internetworking Devices:
- In Router1 einbauen: 4 Switching Ports linker Slot, seriell rechter Slot

- Router zu Router wird über die serielle Schnittstelle verbunden (hier spielt es noch keine Rolle, ob das Kabel mit oder ohne Uhr ausgewählt wird)
- Access Point zu Router über Crossover
- PCs zu Router über Straight-Through (PC0 auf Fa0/1/0 und PC1 auf Fa0/1/1)
- am Schluss im Config-Tab von Router1 alle Port-Checkboxen auf "on" stellen (sollte man in einem Firmennetzwerk wohl nicht machen ;))


Kapitel 4:
413 Implementing an IP Addressing Scheme:
Adressraum ist 192.168.1.0/24 (d.h. von 192.168.1.0 bis 192.168.1.255), LAN-A braucht Platz für 50 Hosts, LAN-B braucht Platz für 40 Hosts
-> es wird beides Mal ein /26er Netz gebraucht, weil:
Der ganze Adressraum /24 hat 8 Hostbits und Platz für 254 Hosts [mathematisch: ((2 hoch Anzahl_Hostbits) minus 2), weil die erste Adresse das Netzwerk identifiziert und die letzte Adresse für Broadcast reserviert ist].
/25 würde das Netz in zwei gleich große Hälften zu je 126 (2^7-2) Hosts spalten; das ist Platzverschwendung, falls man später noch weitere Subnetze dranhängen will,
/26 würde 62 (2^6-2) Hosts zulassen,
/27 würde 30 (2^5-2) Hosts zulassen, das ist zu wenig für diese Aufgabenstellung

-> Subnetz0 geht von 192.168.1.0 bis 192.168.1.63 mit der ersten gültigen Hostadresse 192.168.1.1 und der letzten gültigen Hostadresse 192.168.1.62
-> Subnetz1 geht von 192.168.1.64 bis 192.168.1.127 mit der ersten gültigen Hostadresse 192.168.1.65 und der letzten gültigen Hostadresse 192.168.1.126

-> die Subnetzmaske ist 255.255.255.192, weil nur 6 Bits für die Host-Adressierung übrig bleiben, also:
ssssssss.ssssssss.ssssssss.sshhhhhh oder binär 11111111.11111111.11111111.11000000, und 11000000 dezimal umgerechnet ist 192

Exkursion "binär im Kopf in dezimal umrechnen" für 11000000:
2^7 + 2^6 + 0^5 + 0^4 + 0^3 + 0^2 + 0^1 + 0^0 = 128+64+0+0+0+0+0+0 = 192

- Default Gateway auf den PCs ist die jeweilige Subnetzadresse, die im Router bei Fast Ethernet eingetragen wurde (LAN-A 192.168.1.1, LAN-B 192.168.1.65)
- Nicht vergessen die Ports im Router auf "on" zu stellen


415 Communicating Between Subnets:
MyServer (.45) und myRouter (.33) sind im gleichen Subnetz, aber myPC (.65) ist in einem anderen, denn:
/27 heißt 30 Hosts zu 8 Subnetzen; Subnetzmaske ist 240.
Subnetz0: .0 bis .31, Host-Adressen sind .1 bis .30
Subnetz1: .32 bis .63, Host-Adressen sind .33 bis .62
Subnetz2: .64 bis 95, Host-Adressen sind .65 bis .94
und so weiter
-> die Adresse von myPC muss 192.168.1.34 sein


534 Performing an Initial Router Configuration:
Hier kann man eigentlich nicht viel falsch machen. Tipp: Befehle können abgekürzt oder mit der Tab-Taste automatisch ergänzt werden; zB. anstelle von "show running-config" kann man "sh run" tippen. Wenn man nicht den Modus für show-Befehle wechseln will, kann man den Befehl "do" davor setzen, also zB:
CustomerRouter(config)#do sh run
Das Kommando "no ip domain-lookup" sollte man sich für später merken...


535 Configuring Ethernet and Serial Interfaces:
So kurz geht's:
CustomerRouter>en
CustomerRouter#conf t
CustomerRouter(config)#int s0/1/0
CustomerRouter(config-if)#des Connected to ISP
CustomerRouter(config-if)#ip add 209.165.200.225 255.255.255.224
CustomerRouter(config-if)#no shu

Statt "end" zu tippen, kann man die Tastenkombination Strg+c verwenden


536 Configuring a Default Route:
Eine Default Route wird nach folgendem Rezept eingestellt:
CustomerRouter(config)#ip route 0.0.0.0 0.0.0.0 [IP-Adresse des Nachbar-Routers (von dem Interface, mit dem unser Router verbunden ist)]


537 Configuring a Cisco Router as a DHCP Server:
Anleitung folgen, fertig in 3 Sekunden.
-> Adressen von der Verteilung ausschließen:
ip dhcp excluded-address 192.168.1.1 192.168.1.49
-> Namen vergeben
ip dhcp pool pool1
-> Adressen zur Verteilung freigeben (/24er Netzwerk, die oben ausgeschlossenen werden später nicht verteilt)
network 192.168.1.0 255.255.255.0
-> DNS-Server zur Übersetzung der IP-Adressen angeben
dns-server 192.168.1.10
-> Default-Gateway setzen
default-router 192.168.1.1


538 Configuring Static NAT on a Cisco Router:
NAT inside ist immer das lokale Netzwerk, NAT outside das Interface zum Internet
CustomerRouter(config)#int fa0/0
CustomerRouter(config-if)#ip nat in
CustomerRouter(config-if)#int s0/0/0
CustomerRouter(config-if)#ip nat out
CustomerRouter(config)#ip nat in source static 192.168.1.10 209.165.200.227
-> Verbindet den CustomerServer mit einer im Internet verwendbaren öffentlichen IP-Adresse (keine bereits verwendete Interface-Adresse)

Wenn man sich vertippt hat, zB so:
CustomerRouter(config)#ip nat in source static 192.168.1.10 209.165.200.226
Bleibt die Route eingetragen bis man den "no"-Befehl verwendet mit dem exakten Kommando, das den Fehler eingetragen hat:
CustomerRouter(config)#no ip nat in source static 192.168.1.10 209.165.200.226


553 Performing an Initial Switch Configuration:
- das "login"-Kommando nicht vergessen bei den Line-Konfigurationen
- Ein Switch braucht eigentlich keine IP-Adressen um zu funktionieren, aber man konfiguriert vlan 1 mit einer Management-Adresse um den Switch per Ethernet-Verbindung (im Moment gehen wir über Console) unter dieser Adresse zum Konfigurieren erreichen zu können. VLAN 1 ist kein physikalisches Interface wie fa0/1.


554 Connecting a Switch:
- alles Straight-Through-Kabel

Cisco Discovery Packet Tracer Modul 1

Kapitel 3:
357 Learn to Use Packet Tracer:
Werden keine grünen Lämpchen angezeigt, geht trotzdem. IP-Adressen und Subnetzmasken nach Vorgabe eintragen, fertig.

362 Prototyping a Network:
IP-Adresse von PC0 ist 192.168.10.10, von PC1 ist 192.168.10.11, dann können sie sich über den Switch anpingen.

Kapitel 5:
533 Configuring DHCP on a Multi-function Device:
Linksys-WRT300N ist ein Wireless Router
Ist egal, ob DHCP auf den PCs bei FastEthernet eingestellt wird oder bei globale Settings.
Die Aufgabe zickt ein wenig herum, wenn einer der PCs die IP 192.168.5.25 zugeteilt bekommt; dann einfach noch mal in der PC-Konfiguration "static" auswählen und wieder zu "DHCP" umstellen. Das sollte eine höhere IP-Adresse zuteilen und die Aufgabenstellung springt zu 100%.
Anmerkung: Es kann ein durchaus ein bis zwei Minuten lang dauern, bis die hinzugefügten PCs eine DHCP-Adresse erhalten; erst dann springt die Prozentanzeige auf 100. Auch nicht davon irritieren lassen, dass nach dem Speichern die Prozentanzeige wieder bei 40% steht - das springt schrittweise automatisch wieder auf 100%.

543 Examining NAT on a Multi-function Device:
Router-Seite: public IP address
Local Network-Seite: private addresses
Anmerkung: Es kann ein durchaus ein bis zwei Minuten lang dauern, bis die 4 hinzugefügten PCs eine DHCP-Adresse erhalten; erst dann springt die Prozentanzeige auf 100. Auch nicht davon irritieren lassen, dass nach dem Speichern die Prozentanzeige wieder bei 50% steht - das springt schrittweise automatisch wieder auf 100%.

Kapitel 9:
923 Using the Ipconfig Command:
Gateway PC2 falsch (192.168.10.1) -> 192.168.1.1

924 Using the Ping Command:
DNS-Server von PC2 falsch (191.15.2.5) -> 192.15.2.5
Sinn der Übung: Wenn ein Ping zum Webserver erfolgreich ist, der Seitenaufruf aber nicht, dann prüfe den DNS-Server-Eintrag im PC [eine Minute warten bis die Webseite angezeigt wird]

935 Troubleshooting a Wireless Connection:
Man sieht schon, dass PC1 nicht per WLAN (wie PC2) oder Kabel (Wie PC3 und PC4) verbunden ist (kurz warten bis sich die Verbindungen aufgebaut haben).
Infos von dem verbundenen PC holen: PC2, klicke in dem Wireless-Programm auf dem Desktop auf den Button "more information"
-> SSID "Academy" (wird bekannt gegeben), Security: WEP,
IP Address......................: 192.168.1.102
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
DNS Servers.....................: 192.15.2.5

Lösung: WEP-Key in PC1 eingeben: ABC123DE45
(wireless GUI: Connect -> connect -> [key])

Cisco Packet Tracer Tipps & Tricks & Interessantes

Tippfaul?
1. Kommandos müssen nicht ausgeschrieben werden
Der Befehl "switchport port-security mac-address sticky" kann zu "sw po mac s" verkürzt werden, oder was sich besser merken lässt: "swi port mac sticky"... man muss nur wissen, ab welchem Buchstaben die Kommandos eindeutig werden.
Ebenfalls können Befehle mit der Tab-Taste automatisch vervollständigt werden

2. Man muss nicht "exit" tippen um in den privileged EXEC mode zurück zu kommen; es reicht die Tastenkombination Strg + c

3. Man muss gar nicht in den privileged EXEC mode wechseln um show-Kommandos absetzen zu können, denn es gibt den Befehl "do":
R1(config-if)#do show ip int br
oder auch andere Kommandos, die in diesem Modus nicht verfügbar sind wie ping:
 R1(config-if)#do ping 192.168.1.2

4. Wer es leid ist, ständig die Passwörter beim Konfigurieren eintippen zu müssen (oder sie vergessen hat...) kann einfach im Config-Tab des zu konfigurierenden Geräts zum Beispiel auf ein Interface klicken, wodurch die Passwortabfrage übersprungen wird um man direkt im If-Config-Modus ist:

Ping-Probleme?
1. Wenn man zu früh die Verbindungen (connectivity) testet, kommt man zu falschen Ergebnissen, weil das Netzwerk erst konvergieren muss. Dies geht schneller, wenn man ein paar Mal zwischen Realtime- und Simulationsmodus hin und her wechselt.

2. Wenn man die Funktion "Add Simple PDU" verwendet, kann es vorkommen, dass der erste Ping fehlschlägt (Anzeige: "failed"), deshalb einfach einen zweiten Ping absetzen, denn die ARP-Tabelle muss sich erst aufbauen.

 Interessant: Packet-Tracer kann Passwort-Recovery
Wenn der simulierte Router startet, kann mit der Untbr-Taste in den ROMmon-Modus gewechselt werden. Dort kann das Start-Register von 0x2102 auf 0x2142 umgestellt werden.

Self decompressing the image :
################################
monitor: command "boot" aborted due to user interrupt   rommon 1 > confreg 0x2142
rommon 2 > reset
System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.

Der Router startet neu und so lange das Register auf 0x2142 steht, werden alle Konfigurationen und Passwörter ignoriert, aber man kann sie sich in der Startup-config anzeigen lassen.

Cisco CCNA Security - Kapitel 9: Configure a Network for Secure Operation

Die letzte Packet Tracer-Aufgabe ist eine Komplex-Übung. Sagen wir's so: sie ist in endlicher Zeit machbar...
Tischplattenbeißpotential:



1. Passwörter und Passwort-Sicherheit konfigurieren
R1(config)#security passwords min-length 10
-> alle Passwörter müssen mindestens 10 Zeichen lang sein
R1(config)#enable secret ciscoenpa55
R1(config)#service password-encryption
-> Passwörter werden nicht im Klartext in der running-config angezeigt

2. Console-Zugang mit Passwort versehen und Inaktivitäts-Timeout setzen
R1(config)#line con 0
R1(config-line)#pass ciscoconpa55
R1(config-line)#login
R1(config-line)#exec-timeout 5
R1(config-line)#logging synchronous
-> verhindert, dass Meldungen beim Eintippen der Befehle stören

3. VTY-Zugang und Banner setzen
R1(config)#line vty 0 4
R1(config-line)#pass ciscovtypa55
R1(config-line)#login
R1(config-line)#exec-t 5
R1(config)#banner motd $No Unauthorized Access!$
-> wird beim Einloggen angezeigt

4. Local Authentication / AAA aktivieren
R1(config)#username Admin01 secret Admin01pa55
-> Nutzer in der lokalen Datenbank anlegen
R1(config)#aaa new-model
R3(config)#aaa authentication login default local none
-> Der Parameter "none" muss hier explizit geschrieben werden ("no backup method")

R1(config)#line vty 0 4
R1(config-line)#login authentication default
-> Die Authentifizierungsliste muss auch am vty-Zugang angebracht werden

5. NTP auf R1 konfigurieren mit Authentifizierung (NTP authentication)
-> das heißt, es wird ein Schlüssel konfiguriert um eine vertrauenswürdige zentrale Quelle für die Uhrzeit zu erhalten. Geräte, die ohne Schlüssel konfiguriert wurden, bekommen aber trotzdem die Zeit vom NTP-Server.
R1(config)#ntp authenticate
R1(config)#ntp server 192.168.1.5 key 1
-> die key-nummer nicht vergessen, denn voreingestellt steht sonst "0" in der running-config
R1(config)#ntp authentication-key 1 md5 ciscontppa55
-> dieser Schlüssel (ciscontppa55) muss im NTP-Server (PC-A) hinterlegt werden: Im Config-Tab NTP wählen, mit "on" aktivieren, mit "enable" Authentifizierung aktivieren, und die Key-Nummer (1) den Schlüssel (ciscontppa55) rechts daneben eingeben.
R1(config)#ntp trusted-key 1
R1(config)#ntp update-calendar
-> Hardware-Clock aktualisieren lassen

6. Syslog auf R1 konfigurieren und aktivieren
R1(config)#service timestamps log datetime msec
-> Zeitstempel für Log-Nachrichten aktivieren
R1(config)#logging 192.168.1.6
-> Syslog-Server
R1(config)#ip ips notify log
R1(config)#loggin on

7. SSH auf R3 konfigurieren
R3(config)#ip domain-name ccnasecurity.com
-> SSH braucht einen Domain-Namen
R3(config)#crypto key zeroize rsa
-> eventuell vorhandene Schlüssel werden gelöscht
R3(config)#crypto key generate rsa
-> ein neues RSA-Schlüsselpaar wird generiert
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90
R3(config)#ip ssh version 2

8. CBAC auf R1 konfigurieren
a) Eine IP ACL erstellen namens OUT-IN (to block all traffic originating from the outside network)
R1(config)#ip access-list extended OUT-IN
R1(config-ext-nacl)#deny ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group OUT-IN in

b) Eine inspection rule erstellen (to inspect ICMP, Telnet and HTTP traffic)
R1(config)#ip inspect name IN-OUT-IN icmp alert on
R1(config)#ip inspect name IN-OUT-IN telnet alert on
R1(config)#ip inspect name IN-OUT-IN http alert on

c) Die IN-OUT-IN inspection rule ans Interface s0/0/0 outbound anbringen
R1(config)#int s0/0/0
R1(config-if)#ip inspect IN-OUT-IN out

9. Firewall (ZPF) auf R3 konfigurieren
a) Zonen erstellen
R3(config)#zone security IN-ZONE
R3(config-sec-zone)#exit
R3(config)#zone security OUT-ZONE

b) ACL 101 erstellen; erlaubt alle IP-Protokolle von 192.168.3.0/24 an jedes Ziel
R3(config)#acc 101 permit ip 192.168.3.0 0.0.0.255 any

c) Class map erstellen, die sich auf ACL 101 bezieht
R3(config)#class-map type inspect IN-NET-CLASS-MAP
R3(config-cmap)#match access-group 101

d) Policy map namens IN-2-OUT-PMAP erstellen und der class map IN-NET-CLASS-MAP zuordnen. Action: inspect
R3(config)#policy-map type inspect IN-2-OUT-PMAP
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
R3(config-pmap-c)#inspect

e) Zonenpaar namens IN-2-OUT-ZPAIR erstellen und Datenflussrichtung zuweisen
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZON

f) Policy map und action "inspect" zuweisen
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

g) Die Interfaces den Sicherheitszonen zuweisen
R3(config)#int fa0/1
R3(config-if)#zone-member security IN-ZONE
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE

10. Die Switches (S1+S2+S3) absichern
a) Passwörter und Zugänge absichern
S1(config)#enable secret ciscoenpa55
S1(config)#service password-encryption
S1(config)#line con 0
S1(config-line)#password ciscoconpa55
S1(config-line)#login
-> Set the basic login parameter
S1(config-line)#exec-timeout 5
S1(config-line)#logging synchronous
S1(config)#line vty 0 4
S1(config-line)#pass ciscovtypa55
S1(config-line)#login
S1(config-line)#exec-t 5

b) Die Trunk-Ports auf S1 und S2 absichern, Storm Control aktivieren
S1(config)#int fa0/1
S1(config-if)#swi mode trunk
-> Der Modus "trunk" sollte immer nur zwischen zwei Switches aktiviert sein
S1#sh int trunk
-> Einstellungen verifizieren
S1(config-if)#swi native vlan 99
-> ungenutztes VLAN 99 verwenden um Angreifer zu ärgern
S1(config-if)#swi nonegotiate
S1(config-if)#storm-control broadcast level 50

c) Die Access-Ports absichern (Portfast, BPDU Guard, Port-Security); hier für S1 und S3
S1(config)#int range fa0/5 - 6 // zum Router hin ist auch ein Access-Port
S1(config-if-range)#swi mode access
S1(config-if-range)#span portfast
S1(config-if-range)#spanning-tree bpduguard enable
S1(config-if-range)#switchport port-security
S1(config-if-range)#switchport port-security mac-address sticky
-> für S2 ist es fast das Gleiche, muss aber für den Port fa0/18 konfiguriert werden

d) alle Ports außer die konfigurierten deaktivieren; Achtung bei S2, dort sind es wieder andere Portnummern
S1(config)#int range fa0/2 - fa0/4
-> Interfaces am besten gleich im Bereich ansprechen
S1(config-if-range)#shutdown
S1(config)#int range fa0/7 - fa0/24
S1(config-if-range)#shu
S1(config)#int range g1/1 - 2
S1(config-if-range)#shu

Cisco CCNA Security - Kapitel 8: Configure and Verify a Site-to-Site IPsec VPN using CLI

Tischplattenbeißpotential:


1. ACL 110 auf R1 (und später auch R3) "interessanten" Traffic definieren vom LAN an R1 (192.168.1.0/24) zum LAN an R3 (192.168.3.0/24)
R1(config)#acc 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
-> hier ist kein explizites deny any any verlangt und wird sogar als falsch gewertet
-> Erinnerung: ACLs, die für VPNs genutzt werden, blockieren KEINEN Traffic, sondern geben an, welche Datenflüsse verschlüsselt werden sollen, und welche nicht. Das explizite Deny zeigt beim Verifizieren nur an, welche Daten unverschlüsselt übertragen wurden.

Und spiegelverkehrt (wichtig!) auf R3:
R3(config)#acc 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255


2. Auf R1 die in der Aufgabenstellung definierten ISAKMP Phase 1-Eigenschaften konfigurieren
-> einige der Eigenschaften aus der Tabelle sind default-Werte und müssen deshalb nicht explizit konfiguriert werden
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption aes
-> default: des
R1(config-isakmp)#authentication pre-share
-> default: rsa
R1(config-isakmp)#group 2
-> default: 1

Öffentlichen Schlüssel definieren, weil bei "authentication" "pre-share" gewählt wurde
R1(config)#crypto isakmp key vpnpa55 address 10.2.2.2
-> Die IP-Adresse 10.2.2.2 gehört zu R3; auf diesem Router muss das gleiche definiert werden, aber die IP-Adresse ist in dem Fall 10.1.1.2

3. ISAKMP Phase 2-Eigenschaften (transform-set)
Name: VPN-SET, Methoden: esp-3des und esp-sha-hmac
R1(config)#crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac

Sequenznummer: 10, identifizieren als ipsec-isakmp map
R1(config)#crypto map VPN-MAP 10 ipsec-isakmp

Weitere Eigenschaften:
R1(config-crypto-map)#set peer 10.2.2.2
-> Tunnel wird zu R3 aufgebaut
R1(config-crypto-map)#set transform-set VPN-SET
R1(config-crypto-map)#match address 110
-> 110 ist unsere ACL

4. Die erstellte crypto map VPN-MAP an S0/0/0 anbringen
R1(config)#interface Serial0/0/0
R1(config-if)#crypto map VPN-MAP
-> die folgende Meldung erscheint:
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

5. Verifizieren:
a) Die running-config anschauen
R1# sh run
...
crypto map VPN-MAP 10 ipsec-isakmp
 ! Incomplete
...
-> wenn so etwas in der running-config steht, wurde bestimmt ein Parameter vergessen - oder die ACL,...

b) Spezielle Verifizierungstools nutzen:
-> bevor "interessanter" Traffic erzeugt wurde:
R3#sh cryp ipsec sa
No SAs found

R3#sh cryp isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
IPv6 Crypto ISAKMP SA


-> nach dem erfolgreichen Ping:

R3#sh cryp isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
10.1.1.2        10.2.2.2        QM_IDLE           1072    0 ACTIVE
IPv6 Crypto ISAKMP SA

R3#sh cryp ipsec sa
interface: Serial0/0/1
    Crypto map tag: VPN-MAP, local addr 10.2.2.2


   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
   remote  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.1.1.2 port 500
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 2, #pkts encrypt: 2, #pkts digest: 0
   #pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 0
   #pkts compressed: 0, #pkts decompressed: 0
   #pkts not compressed: 0, #pkts compr. failed: 0
   #pkts not decompressed: 0, #pkts decompress failed: 0
   #send errors 1, #recv errors 0


     local crypto endpt.: 10.2.2.2, remote crypto endpt.:10.1.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1
     current outbound spi: 0x31AE2FDD(833499101)


     inbound esp sas:
      spi: 0x206C66DF(543975135)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: FPGA:1, crypto map: VPN-MAP
        sa timing: remaining key lifetime (k/sec): (4525504/86381)
        IV size: 16 bytes
        replay detection support: N
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:


     outbound esp sas:
      spi: 0x31AE2FDD(833499101)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: FPGA:1, crypto map: VPN-MAP
        sa timing: remaining key lifetime (k/sec): (4525504/86381)
        IV size: 16 bytes
        replay detection support: N
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:

R3#sh acc 110
Extended IP access list 110
    permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 (1 match(es))


R3#sh crypto map
Crypto Map VPN-MAP 10 ipsec-isakmp
        Peer = 10.1.1.2
        Extended IP access list 110
            access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
        Current peer: 10.1.1.2
        Security association lifetime: 4608000 kilobytes/86400 seconds
        PFS (Y/N): Y
        Transform sets={
                VPN-SET,
        }
        Interfaces using crypto map VPN-MAP:
                Serial0/0/1


R3#sh crypto isakmp policy
Global IKE policy
Protection suite of priority 10
        encryption algorithm:   AES - Advanced Encryption Standard (128 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

R3#sh crypto ipsec transform-set
Transform set VPN-SET: {    { esp-3des esp-sha-hmac  }
   will negotiate = { Tunnel,  },

Cisco CCNA Security - Kapitel 6-2: Layer 2 VLAN Security

Tischplattenbeißpotential: 0

1. Ein Kabel zwischen SW-1 und SW2 an den Fa0/23er Ports anbringen
-> braucht ein Crossover-Kabel, weil es zwei gleichartige Geräte sind.
-> wird nicht bewertet

2. Auf dem neuen Link "trunking" und alle Sicherheitsmechanismen aktivieren (den Port dem nativen VLAN 15 hinzufügen, auto-negotiation deaktivieren)
-> es sind damit nicht Root guard und Storm Control gemeint; die Arbeit kann man sich sparen.
SW-1(config)#int fa0/23
SW-1(config-if)#swi mode trunk
SW-1(config-if)#swi native vlan 15
SW-1(config-if)#swi nonegotiate
-> wen ein Port trunk ist, bleibt er so auch trunk bis ein Admin ihn umkonfiguriert, selbst wenn man ein Gerät im Access-Modus mit auto-negotiation anschließt
SW-1(config-if)#no shutdown

3. Ein gesondertes VLAN für Management erstellen (auf allen Switches - ginge effizienter über VTP, aber das ist hier nicht verlangt)
a) Nummer 20, Name VLAN0020:
SW-A(config)#vlan 20
SW-A(config-vlan)#name VLAN0020

b) Irgendeine IP-Adresse im Bereich 192.168.20.0/24 vergeben um eine IP-Adresse zu haben, mit der man den Switch von anderen Geräten aus erreichen und konfigurieren kann:
SW-A(config)#int vlan 20
SW-A(config-if)#ip add 192.168.20.1 255.255.255.0
-> jedem Switch natürlich eine andere Adresse geben
SW-A(config-if)#no shu

4. Den PC-C1 mit eine IP-Adresse zuweisen und mit dem Switch SW-A auf Port Fa0/1 verbinden.
-> Straight-Through-Kabel
-> Adresse aus dem Bereich 192.168.20.0/24: Im Config-Tab des PCs "FastEthernet" wählen, Adresse kann zB. 192.168.20.6 sein

5. Den PC in das Vlan 20 einbinden um ihm Zugriff zu geben (nur SW-A!)
SW-A(config-if)#int fa0/1
SW-A(config-if)#swi mode acc
SW-A(config-if)#swi acc vlan 20
SW-A(config-if)#no shu

6. Den Zugriff des Management-PCs auf den Router konfigurieren
a) Subinterface
-> erstelle ein neues Subinterface (Fa0/0.3) und vergib eine IP im Bereich 192.168.20.0/24
-> Subinterface heißt, dass es nur ein physikalisches Interface gibt, aber mehrere logische - entsprechend der existierenden VLANs auf den Switches
R1(config)#int fa0/0.3
R1(config-subif)#encapsulation dot1Q 20
-> erst die Encapsulation festlegen, vorher lässt sich keine IP-Adresse zuweisen
-> dot1q-Encapsulation mit dem Parameter 20, der IEEE 802.1Q VLAN ID
R1(config-subif)#ip add 192.168.20.20 255.255.255.0

b) PC konfigurieren
-> Die eben konfigurierte IP-Adresse muss noch als default gateway im PC eingestellt werden (Config-Tab -> Settings -> Gateway)

7. Verifizieren: Durch anpingen der Switches und des Routers von PC-C1 aus
Hinweis: Der erste Ping wird immer fehlschlagen, weil die ARP-Tabelle erst aufgebaut werden muss, also nicht wundern, wenn man "Add Simple PDU" verwendet und es fehlschlägt.

8. Eine ACL hinzufügen, die Zugriffe von anderen Netzwerken auf unser Management-Netzwerk 192.168.20.0/24 unterbindet, aber alle anderen Netzwerke einander den Zugriff erlaubt
-> wird nicht mehr bewertet, aber ich denke, dass meine Lösung richtig ist:

R1(config)#int fa0/0.3
R1(config-subif)#ip acc 1 in   
-> am Sub-Interface angebracht = nah am Ziel = standard ACL

R1(config)#acc 1 permit 192.168.20.0 0.0.0.255
R1(config)#acc 1 deny 192.168.10.0 0.0.0.255
R1(config)#acc 1 deny 192.168.5.0 0.0.0.255
R1(config)#acc 1 deny any

-> Verifizieren:
R1(config)#sh ip acc 1
Standard IP access list 1
    permit 192.168.20.0 0.0.0.255 (4 match(es))
    deny 192.168.10.0 0.0.0.255 (1 match(es))
    deny 192.168.5.0 0.0.0.255
    deny any
-> der Router kann anpingt werden, aber nicht die Switches, das darf nur der Wartungs-PC im 20er-VLAN
Und: die PCs können sich gegenseitig noch anpingen

Cisco CCNA Security - Kapitel 6-1: Layer 2 Security

Tischplattenbeißpotential: 0

1. Herausfinden, welcher Switch Root-Bridge ist:
Central#sh span
-> Die Ausgabe ist (gekürzt):
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0009.7C61.9058
             Cost        4
             Port        25(GigabitEthernet0/1)                   
-> die letzte Zeile bedeutet, dass die Root-Brigde mit Port G0/1 verbunden ist
-> schaut man nach, welcher Switch am anderen Ende des Kabels hängt, findet man SW-1:

SW-1#sh span
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0009.7C61.9058
             This bridge is the root                   
-> hier sagt es uns der Switch SW-1 schon selbst, dass er die Root-Bridge ist

2. Switch "Central" zur "primary root bridge" machen, SW-1 zur "secondary root bridge"
Central(config)#spanning-tree vlan 1 root primary
SW-1(config)#spanning-tree vlan 1 root secondary

3. PortFast und BPDU guard an allen Access-Ports aktivieren (SW-A und SW-B, nicht etwa die Switches, auf denen wir gerade gearbeitet haben)
-> Access-Ports sind Ports, die nicht mit anderen Switches verbunden sind
SW-B(config)#int range fa0/1 - 22
-> mit dem Interface-Range-Befehl kann man mehrere Interfaces auf einmal konfigurieren
-> man kann Bereiche und Aufzählungen verwenden, zum Beispiel: int range fa0/1, fa0/3 - 6

SW-B(config-if-range)#switchport mode access
-> zur Sicherheit explizit die Ports in den Access-Modus schalten; wird hier aber nicht bewertet

SW-B(config-if-range)#spanning-tree portfast
-> Folgende Ausgabe ist in Ordnung:
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface  when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION
%Portfast will be configured in 22 interfaces due to the range command
 but will only have effect when the interfaces are in a non-trunking mode.

SW-B(config-if-range)#spanning-tree bpduguard enable
-> ebenfalls in diesem Interface-Bereich an allen 22 Interfaces gleichzeitig

4. Root guard und Storm Control an allen Trunk-Ports aktivieren (diesmal an SW-1 und SW-2)
SW-1(config)#int range fa0/23-24
SW-1(config-if-range)#spanning-tree guard root
SW-1(config-if-range)#storm-control broadcast level 50
-> 50 ist die rising threshold; mehr geht hier auch nicht im Moment

-> und auch nicht diese Ports für Storm Control vergessen:
SW-1(config)#int range fa0/1, gi1/1
SW-1(config-if-range)#storm-control broadcast level 50


5. Port-Security aktivieren und ungenutzte Ports deaktivieren (SW-A und SW-B)
a) Port-Security: 2 MAC-Adressen sollen dynamisch gelernt werden (=sticky), bei Verletzung der Regeln soll der Port heruntergefahren werden (ist eigentlich default)
SW-A(config-if-range)#int r fa0/1-4
SW-A(config-if-range)#swi port max 2
SW-A(config-if-range)#swi port violation shutdown
SW-A(config-if-range)#swi port mac sticky
-> bei so etwas werde ich immer etwas schreibfaul, aber das macht nichts, denn diese Abkürzungen werden vom Cisco-IOS genau so wie die ausgeschriebenen Befehle interpretiert

b) ungenutze Ports deaktivieren:
SW-A(config)#int r fa0/5-22
SW-A(config-if-range)#shutdown

Cisco CCNA Security - Kapitel 5: Configure IOS Intrusion Prevention System (IPS) using CLI

Tischplattenbeißpotential: 0

1. Erstelle ein IPS-Konfigurationsverzeichnis
R1#mkdir flash:ipsdir
-> im privileged EXEC mode; mit Enter noch mal bestätigen

2. Konfiguriere dieses Verzeichnis als IPS signature storage location
R1(config)#ip ips config location ipsdir
oder auch:
R1(config)#ip ips config location flash:ipsdir
-> wird aber nicht bewertet

3. IPS aktivieren / einen Namen für eine Regel vergeben
R1(config)#ip ips name iosips
-> ohne eine ACL anzugeben

4. Logging
R1(config)#logging host 192.168.1.50
-> Syslog-Server
R1(config)#ip ips notify log
-> logging event notification

-> in der Zwischenaufgabe muss nur ein zusätzlicher Befehl abgesetzt werden:
R1(config)#service timestamps log datetime msec
-> logging on und clock set... werden nicht bewertet

5. Signaturen
a) Signaturen der ALL-Kategorie deaktivieren (retire)
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retire true
-> dann zwei mal exit verwenden und mit Enter die Änderungen bestätigen

b) Signaturen der "IOS_IPS Basic"-Kategorie aktivieren (un-retire)
R1(config)#ip ips signature-category
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false

6. An Fa0/0 outbound anbringen
R1(config-if)#ip ips iosips out
-> iosips ist der am Anfang vergebene Name der IPS-Regel
-> Log-Messages folgen:
*Mrz 21, 12:24:23.2424:  %IPS-6-ENGINE_BUILDS_STARTED:  12:24:23 UTC Mrz 21 2011
*Mrz 21, 12:24:23.2424:  %IPS-6-ENGINE_BUILDING: atomic-ip - 3 signatures - 1 of 13 engines
*Mrz 21, 12:24:23.2424:  %IPS-6-ENGINE_READY: atomic-ip - build time 8 ms - packets for this engine will be scanned
*Mrz 21, 12:24:23.2424:  %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 8 ms

7. Eine Signatur verändern
a) Signatur 2004, subsig ID 0 soll aktiviert (un-retire) und freigegeben (enable) werden
R1(config)#ip ips signature-definition
-> statt einer Kategorie wird eine einzelne Signatur bearbeitet
R1(config-sigdef)#signature 2004 0
-> 0 ist die Subsignatur-ID

R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)#retired false
R1(config-sigdef-sig-status)#enabled true
-> es müssen beide Kommandos genutzt werden

b) Die Aktionen alert und drop sollen aktiviert werden
R1(config-sigdef-sig)#engine
R1(config-sigdef-sig-engine)#event-action produce-alert
-> alert
R1(config-sigdef-sig-engine)#event-action deny-packet-inline
-> drop
(mehr als diese beiden Optionen ist im Moment auch nicht verfügbar)

Cisco CCNA Security - Kapitel 4-3: Configuring a Zone-Based Policy Firewall (ZPF)

Firewalls sind zwar nicht das leichteste Thema, aber diese PT-Aufgabenstellung ist ordentlich erstellt worden.
Tischplattenbeißpotential: 0

1. Zwei Sicherheitszonen erstellen:
R3(config)#zone security IN-ZONE
R3(config)#zone security OUT-ZONE

2. ACL 101 erstellen, die internen Traffic definiert:
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 any
-> wir gehen von R3 aus, also ist das interne Netzwerk das 192.168.3.0er Netzwerk

3. Eine dazugehörige class map (Name: IN-NET-CLASS-MAP) erstellen und ACL 101 zuweisen:
R3(config)#class-map type inspect IN-NET-CLASS-MAP
-> Typ "inspect"
R3(config-cmap)#match access-group 101

4. Eine dazugehörige policy map (Name: IN-2-OUT-PMAP) erstellen um zu bestimmen, was mit dem oben beschriebenen Traffic passiert:
R3(config)#policy-map type inspect IN-2-OUT-PMAP

R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
-> class map zuweisen
R3(config-pmap-c)#inspect
-> action "inspect" zuweisen
-> es kommt die folgende Ausgabe:
%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected

5. Apply Firewall Policies - Zonenpaar
a) Create a pair of zones (in to out) / Zonenpaar erstellen:
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
-> Weist die Flussrichtung des inspizierten Traffics zu (von IN-ZONE zu OUT-ZONE)
b) Policy map zuweisen
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

6. Den Interfaces Sicherheitszonen zuweisen
a) Fa0/1 zur IN-ZONE
R3(config)#int fa0/1
R3(config-if)#zone-member security IN-ZONE
b) S0/0/1 zur OUT-ZONE:
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE

7. Verifizieren
a) From internal PC-C, Telnet to the router R2 S0/0/1 interface.
R3#
%SYS-5-CONFIG_I: Configured from console by console
 show policy-map type inspect zone-pair sessions
 Zone-pair: IN-ZONE-OUT-ZONE

  Service-policy inspect : IN-2-OUT-PMAP

    Class-map: IN-NET-CLASS-MAP (match-all)
      Match: access-group 101
      Inspect
        Established Sessions
         Session 176848496 (192.168.3.3:1026)=>(10.2.2.2:23) :tcp SIS_OPEN
          Created 00:00:32, Last heard  00:00:11
          Bytes sent (initiator:responder) [0:0]
    Class-map: class-default (match-any)
      Match: any
      Drop (default action)
        0 packets, 0 bytes


b) HTTP session:
R3# show policy-map type inspect zone-pair sessions
 Zone-pair: IN-ZONE-OUT-ZONE

  Service-policy inspect : IN-2-OUT-PMAP

    Class-map: IN-NET-CLASS-MAP (match-all)
      Match: access-group 101
      Inspect
        Established Sessions
         Session 109032888 (192.168.3.3:1027)=>(192.168.1.3:80) :tcp SIS_OPEN
          Created 00:00:01, Last heard  00:00:00
          Bytes sent (initiator:responder) [0:0]
    Class-map: class-default (match-any)
      Match: any
      Drop (default action)
        0 packets, 0 bytes

Cisco CCNA Security - Kapitel 4-2: Configuring Context-Based Access Control (CBAC)

Das einzige, was einen an dieser Aufgabe wahnsinnig machen kann, ist, dass nirgendwo angegeben ist, wie die Listen benannt werden sollen, deswegen schreibe ich es gleich am Anfang: Die erwarteten Namen sind "OUT-IN" für die Access-Liste und "IN-OUT-IN" für die CBAC-Liste (das kann man sehen, wenn man auf "check results" klickt ^_^)
Tischplattenbeißpotential:


1. Eine "named IP ACL" auf R3 soll allen Datenfluss (Traffic) von außen blocken:
R3(config)#ip access-list extended OUT-IN
-> wie oben schon erwähnt, ist der Name nicht beliebig
R3(config-ext-nacl)#deny ip any any

-> als "außen" wird das Netzwerk an der seriellen Schnittstelle gewertet:
R3(config)#int s0/0/1
R3(config-if)#ip acc OUT-IN in

2. Eine "CBAC Inspection Rule" soll ICMP, Telnet und HTTP inspizieren:
R3(config)#ip inspect name IN-OUT-IN icmp alert on
R3(config)#ip inspect name IN-OUT-IN telnet alert on
R3(config)#ip inspect name IN-OUT-IN http alert on

3. Time-stamped logging und CBAC audit trail messages sollen aktiviert werden
R3(config)#service timestamps log datetime msec
R3(config)#service timestamps debug datetime msec
-> In dieser Aufgabe müssen auch Zeitstempel für "debug" aktiviert werden

R3(config)#ip inspect audit-trail
R3(config)#logging host 192.168.1.3
-> Auf Server PC-A läuft der Syslog-Dienst. Nach diesem Befehl kommt folgende Meldung:
%SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.3 port 514 started - CLI initiated
R3(config)#logging on

4. Die bei 2. definierte CBAC-Regel soll für "egress traffic" an Interface S0/0/1 angebracht werden
-> egress ist das Gegenteil von ingress, und ingress bedeutet (wie man schon raten kann) "inbound", also ist egress "outbound"
R3(config)#int s0/0/1
R3(config-if)#ip inspect IN-OUT-IN out

5. Verifizieren
-> das wird zwar nicht gewertet, aber bei solchen fortgeschrittenen Konfigurationen ist es durchaus mal interessant, sich die Infos darüber anzeigen zu lassen - und Pakete zu generieren:

R3#sh ip inspect all
Session audit trail is enabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is unlimited. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes
dns-timeout is 5 sec
Inspection Rule Configuration
 Inspection name FWRULE
    icmp alert is on audit-trail is on timeout 10
    telnet alert is on audit-trail is on timeout 3600
 Inspection name IN-OUT-IN
    icmp alert is on audit-trail is on timeout 10
    telnet alert is on audit-trail is on timeout 3600
    http alert is on audit-trail is on timeout 3600

Interface Configuration
 Interface Serial0/0/1
  Inbound inspection rule is not set
  Outgoing inspection rule is IN-OUT-IN
    icmp alert is on audit-trail is on timeout 10
    telnet alert is on audit-trail is on timeout 3600
    http alert is on audit-trail is on timeout 3600
  Inbound access list is OUT-IN
  Outgoing access list is not set

R3# sh ip inspect sessions
*Mrz 01, 00:05:40.055:  %FW-6-SESS_AUDIT_TRAIL_START: Start telnet session: initiator (192.168.3.3:1025) -- responder (10.2.2.2:23)
*Mrz 01, 00:05:42.055:  %FW-6-SESS_AUDIT_TRAIL_STOP: Stop telnet session: initiator (192.168.3.3:1025) -- responder (10.2.2.2:23)
*Mrz 01, 00:05:50.055:  %FW-6-SESS_AUDIT_TRAIL_START: Start telnet session: initiator (192.168.3.3:1026) -- responder (192.168.1.3:23)
*Mrz 01, 00:05:55.055:  %FW-6-SESS_AUDIT_TRAIL_STOP: Stop telnet session: initiator (192.168.3.3:1026) -- responder (192.168.1.3:23)
*Mrz 01, 00:06:06.066:  %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.3.3:1027) -- responder (192.168.1.3:80)
*Mrz 01, 00:06:11.066:  %FW-6-SESS_AUDIT_TRAIL_STOP: Stop http session: initiator (192.168.3.3:1027) -- responder (192.168.1.3:80)

R3#sh ip inspect statistics
Packet inspection statistics [process switch:fast switch]
  tcp packets: [0:4]
Interfaces configured for inspection 1
Session creations since subsystem startup or last reset 4
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [1:0:0]
Last session created 00:06:24
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 1
Last half-open session total 0
TCP reassembly statistics
  received 0 packets out-of-order; dropped 0
  peak memory usage 0 KB; current usage: 0 KB
  peak queue length 0

Cisco CCNA Security - Kapitel 4-1: Configure IP ACLs to Mitigate Attacks

Tischplattenbeißpotential:


1. ACL 10 auf allen Routern soll nur PC3 den Konfigurierungs-Zugang (remote access) erlauben
-> bei ACLs gibt es immer mehrere Varianten; folgende sind hier richtig:
R1(config)#acc 10 permit 192.168.3.3 0.0.0.0
R1(config)#acc 10 permit host 192.168.3.3
2. Die ACL an den VTY-Zugang legen für hineingehende Anfragen (ingress traffic)
R1(config)#line vty 0 4
-> Man hat im Cisco-Lehrgang mal so festgelegt, dass man nur die Zugänge 0 bis 4 konfiguriert
R1(config-line)#access-class 10 in

2. ACL 100 auf R3 soll Traffic von folgenden Quell-Adressen sperren: 127.0.0.0/8, any RFC 1918 private addresses, and any IP multicast address

a) 127.0.0.0er Bereich:
R3(config)#acc 100 deny ip 127.0.0.0 0.255.255.255 any
-> 127.0.0.0/8; /8 bedeutet eine Subnetzmaske von 255.0.0.0, woraus die Wildcardmaske 0.255.255.255 resultiert

b) RFC 1918 private Adressen:
Class A: 10.0.0.0 - 10.255.255.255
Class B: 172.16.0.0 - 172.31.255.255
Class C: 192.168.0.0 - 192.168.255.255
R3(config)#acc 100 deny ip 10.0.0.0 0.255.255.255 any
R3(config)#acc 100 deny ip 172.16.0.0 0.15.255.255 any
R3(config)#acc 100 deny ip 192.168.0.0 0.0.255.255 any

c) Multicast-Adressbereich 224.0.0.0/4
R3(config)#acc 100 deny ip 224.0.0.0 15.255.255.255 any
-> Die Wildcard-Maske setzt sich so zusammen: /4 bedeutet eine Subnetzmaske von 240.0.0.0, daraus folgt die wildcardmaske 15.255.255.255 (weil 255 minus 240 15 ist)

d) Jeder andere Traffic wird zugelassen, sonst greift die implizite Sperrung (implicit deny) von allem, was in der ACL nicht beschrieben wurde
R3(config)#acc 100 permit ip any any

Aber: Es reicht in dieser Aufgabe nicht, alle Adressbereiche korrekt zu definieren, auch die Reihenfolge muss genau mit der vordefinierten Reihenfolge überein stimmen - wobei es NICHT die Reihenfolge ist, die in der Aufgabenstellung angegeben wurde. Eine typische Tischbeiß-Aufgabe eben. Die als richtig gewertete Reihenfolge ist: Erst die 1918er-Adressen, dann der 127er Bereich, dann der Multicast-Bereich.

Der Einfachheit halber zum Reinkopieren für euch:
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 224.0.0.0 15.255.255.255 any
access-list 100 permit ip any any


e) Angebracht wird die Liste an Serial 0/0/1, incoming traffic
R3(config)#int s0/0/1
R3(config-if)#ip access-group 100 in


3. ACL 110 auf R3 soll nur Traffic des internen Netzwerks zulassen; angebracht an fa0/1 inbound
R3(config)#acc 110 permit ip 192.168.3.0 0.0.0.255 any
R3(config)#int fa0/1
R3(config-if)#ip access-group 110 in

4. ACL 120 auf R1 soll DNS, SMTP und FTP von außen auf Server "PC-A" zulassen, aber nicht auf HTTPS; außerdem darf PC-C mit SSH auf R1 zugreifen.
a) DNS, SMTP und FTP zulassen
-> Man könnte Portnummern verwenden, aber meistens wird der Dienstname als richtig gewertet, und die Dienstnamen-Variante ist sogar einfacher, weil FTP zwei Ports verwendet.
R1(config)#acc 120 permit udp any host 192.168.1.3 eq domain
R1(config)#acc 120 permit tcp any host 192.168.1.3 eq smtp
R1(config)#acc 120 permit tcp any host 192.168.1.3 eq ftp

b) HTTP sperren (default port 443)
R1(config)#acc 120 deny tcp any host 192.168.1.3 eq 443

c) SSH von PC-C (192.168.3.3) auf Router (10.1.1.1, ist die Adresse des PC-C zugewandten Interfaces)
R1(config)#acc 120 permit tcp host 192.168.3.3 host 10.1.1.1 eq 22

d) ACL 120 so modifizieren, dass "ICMP echo replies" und "destination unreachable messages" erlaubt sind und alle anderen ICMP-Pakete geblockt werden:
R1(config)#acc 120 permit icmp any any echo-reply
R1(config)#acc 120 permit icmp any any unreachable
R1(config)#acc 120 deny icmp any any

e) Den restlichen Traffic erlauben
R1(config)#acc 120 permit ip any any
-> erst mit diesem Eintrag wird die ganze Liste 120 als richtig gewertet

f) Anbringen der ACL an S0/0/0 (incoming)
R1(config)#int s0/0/0
R1(config-if)#ip acc 120 in

Cisco CCNA Security - Kapitel 3: Configure AAA Authentication on Cisco Routers

 Tischplattenbeißpotential:



 1. Lokale Authentifizierung
a) Einen Nutzer in der lokalen Datenbank des Routers anlegen. Name "Admin1" und <<secret>> Passwort "admin1pa55"
Hier fangen die Merkwürdigkeiten schon an: als richtig gewertet wird nur:
R1(config)#user Admin1 secret 5 admin1pa55 - nicht etwa secret 0 admin1pa55 oder nur secret admin1pa55
Die Parameter bedeuten:
  0     Specifies an UNENCRYPTED secret will follow
  5     Specifies a HIDDEN secret will follow  
  LINE  The UNENCRYPTED (cleartext) user secret
Allerdings funktioniert das spätere Einloggen mit dem Passwort admin1pa55 - verschlüsselt als $1$mERr$yqLDyfDDWkZGJ9y568Vjq0 oder im Klartext - nicht mehr, wenn der Parameter 5 gewählt wurde (Packet Tracer 5.3.1.0044).
Ein Trick, wie man sich dennoch einloggen kann, ist:  Einfach im Config-Tab neben dem Kommandozeilen-Tab eine Konfigurationsoption wählen, zum Beispiel auf ein Interface klicken und dann wieder auf die Kommandozeile wechseln. Die Passwortabfrage wurde übersprungen und man ist im Konfigurationsmodus.

b) AAA aktivieren (default method list)
R1(config)#aaa new-model
R1(config)#aaa authentication login default local

c) Die Authentifizierungsmethode am Console-Zugang anbringen:
R1(config)#line con 0
R1(config-line)#login authentication default

d) Das gleiche für vty, aber hier wird die Liste TELNET-LOGIN genannt
R1(config)#aaa authentication login TELNET-LOGIN local
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET-LOGIN

2. Server-Based AAA Authentication Using TACACS+
a) Für den Fall, dass der TACACS+-Server nicht erreichbar ist, wird auch hier eine lokale Datenbank angelegt und später eine Backup-Methode konfiguriert.
R2(config)#user Admin secret 5 adminpa55

b) Den TACACS+-Server konfigurieren
R2(config)#tacacs-server host 192.168.2.2
R2(config)#tacacs-server key tacacspa55
-> Das Passwort stammt aus dem Config-Tab des TACACS+-Servers

c) AAA aktivieren
R2(config)#aaa new-model
R2(config)#aaa authentication login default group tacacs+ local
-> erste Authentifizierungsmethode ist über tacacs+, die zweite (backup) Methode ist die lokale Datenbank
R2(config)#line con 0
R2(config-line)#login authentication default
-> auch hier muss die Liste angebracht werden um dem Router zu sagen, wo die Authentifizierungsregeln definiert sind


3. Serverseitige Authentifizierung mit RADIUS
-> funktioniert praktisch genau so wie mit TACACS+, aber das Kommando für Radius ist
R3(config)#radius-server ...

Cisco CCNA Security - Kapitel 2: Securing Network Devices

Aufgabe: Configure Cisco Routers for Syslog, NTP, and SSH Operations
Tischplattenbeißpotential: 

1. NTP (Network Time Protocol) konfigurieren
-> Warum ist NTP wichtig? Um bei einem Angriff genaue Zeitstempel zu haben
-> Bei manuellen Einstellungen der Uhrzeit kommt es oft zu Abweichungen
(Anmerkung: wie kann man die Zeit eigentlich manuell einstellen?
So: Router# clock set 10:28:00 APR 04 2011)

a) Einen Router als NTP-Client konfigurieren
-> dafür einfach die NTP-Server-Adresse angeben
R1(config)# ntp server 192.168.1.5
-> in dieser Übung ist kein key verlangt

b) Configure routers to update hardware clock / die Hardware-Uhr aktualisieren
-> das stand nirgendwo explizit im Kursmaterial, aber die Cisco-Kommando-Referenz enthüllt folgendes:
R1(config)# ntp update-calendar

c) Zeitstempel (timestamp) verwenden für Log-Benachrichtigungen
R1(config)# service timestamps log datetime msec
-> es gibt auch die Option für Debug Messages (Parameter debug statt log), aber das wird hier nicht verlangt

2. Syslog konfigurieren
-> Ein Syslog-Server ist ein Computer, der die Syslog-Nachrichten von Syslog-Clients empfängt
-> Hier konfigurieren wir einen Router als Syslog-Client, indem wir ihm die IP-Adresse des Syslog-Servers mitteilen (mehr ist hier nicht verlangt):
R1(config)#logging host 192.168.1.6

3. SSH konfigurieren
a) SSH braucht einen Domain-Namen; vorgegeben ist: ccnasecurity.com
R3(config)#ip domain-name ccnasecurity.com

b) SSH braucht einen Benutzer mit Passwort und zugeteilten Rechten. Vorgegeben ist: SSHadmin, >>secret<< Passwort ciscosshpa55, höchstmögliches Privilege Level
R3(config)#username SSHadmin privilege 15 secret ciscosshpa55

c) Nur SSH soll an den VTY-Zugängen akzeptiert werden (also kein Telnet):
R3(config)#line vty 0 4
R3(config-line)#login local
-> login local gibt an, dass die lokale Datenbank genutzt werden soll, also dass wir uns mit dem Benutzer einloggen können, den wir gerade angelegt haben
R3(config-line)#transport input ssh

d) RSA-Schlüsselpaar generieren, eventuell vorhandenen Schlüssel löschen:
R3(config)#crypto key zeroize rsa
-> diese Meldung ist erwartet: % No Signature RSA Keys found in configuration.
R3(config)#crypto key generate rsa
-> anders als im Lehrmaterial kann man hier nicht "general-keys modulus 1024" eingeben
-> wenn man auf Enter drückt, kann man anschließend die Schlüssellänge eingeben

e) SSH timeouts and authentication parameters
-> Der Befehl zur SSH-Konifguration ist nicht "ssh...", sondern "ip ssh..."
-> Einstellungsoptionen anzeigen lassen:
R3(config)#ip ssh ?
(Und den Rest könnt ihr selbst ;))

Für wen ist dieser Blog?

Dieser Blog ist primär für Studenten gedacht, die beim Lösen der Packet-Tracer-Aufgaben den Drang verspüren in die Tischplatte zu beißen, weil die kleine Prozent-Anzeige rechts unten einfach nicht auf 100% springen will - obwohl doch eigentlich alles richtig ist. Aber Cisco Packet Tracer lässt nur eine Lösung gelten. Das ist besonders bei Access Lists eine haarige Angelegenheit, aber auch bei anderen Konfigurationsaufgaben kommt es oft auf den letzten kleinen Parameter an.

Ich habe fast alle Aufgaben ausgetüftelt und möchte nun meine Erkenntnisse mit euch teilen um dem einen oder anderen stundenlangen Frust zu ersparen.

Um bildlich darzustellen, wie kniffelig die jeweiligen Aufgaben sind, habe ich ein Icon erstellt, das einen Tisch darstellt, in den man nicht beißen und stattdessen meine Hinweise lesen soll. 0 bedeutet "keine Schwierigkeiten", 3 - maximale Frustration.