another1

stimmt - allerdings nicht innerhalb der DMZ.

Yep, wird halt nicht die performanteste Lösung sein und auf dem 1Q-Trunk sollten nur die wirklich benötigten VLAN-IDs berechtigt sein.

hi, Zu deiner Frage - grundsätzlich ja - allerdings gibt es unterschiede bei den verschiedenen modellen und ob si oder ei image eingesetzt wird. bei den verschiedenen modellen gibt es auch verschieden viele queues und thresholds pro interface.

Du könntest einmal mit Strato.de reden, - welche Funktionen, die dir betreffend D/DOS Abwehr zur Verfügung stellen können. Auf technischer Ebene gibt es mehrere Möglichkeiten, allerdings wird die Komplexität hier ein Thema.

hi, geht es hier eigentlich um das generelle Problem der automatischen Authentifizierung oder speziell um Basware? Ich kenne Basware zwar nicht - allerdings sollte doch mit RTFM heraus zu finden sein, welche Authentifizierungsmöglichkeiten das entsprechende Stück SW am Zielrechner akzeptiert?! Daraus ergeben sich die weiteren Schritte - die ganzen gut gemeinten Ratschläge bleiben nur gut gemeint, wenn diese für Basware nicht möglich sind. Noch ein anderer Aspekt: Generell muß ich anmerken, dass in einem größerem Unternehmen mit mehreren Admins bestimmte Probleme nur organisatorisch praxisgerecht und unkompliziert gehalten werden können. Mir fällt hier das immer wiederkehrende Argument der Entscheidungsträger ein "Jeder muß im Vertretungsfall das können was die anderen auch können". Aber nochmals zurück zum Thema Zugriff von Admins auf vertrauliche Daten: In den meisten Fällen wird im Arbeitnehmervertrag beim Eintritt immer eine Datenschutzklausel mit unterschrieben. Sollte eine Datenumgebung wirklich so vertraulich sein, so muß "von oben" eine entsprechende Arbeitsanweisung, Bildung einer entsprechenden high-confidential Umgebung und Auswahl der Zuständigen vorgegeben werden. P.S: Nach meiner Erfahrung wurde bei dieser Fragestellung (abhängig von der gelebten Security-Policy in dem Unternehmen) an die Vorgesetztenreihen schon sehr viel von der notwendigen Datenvertraulichkeit wegen zu erwartenden Zeitaufwand und aus ökonomischen Gründen verworfen.

Interessant wäre auch eine Info was in diesem Rechnernetz gemacht werden soll - soll eine Anwendung zwischen den Rechnern laufen, sollen Netzwerkfreigaben von einem Rechner zur Verfügung gestellt und von dem anderen genutzt werden, oder soll von beiden Rechnern nur zum Drucker verbunden werden? Die Spielwiese ist hier sehr sehr groß - ein paar Anhaltspunkte ""Was soll das Rechnernetz ermöglichen?" sind von Anfang an richtungsweisend.

hi dgr243, ich hab mir deine qos überlegungen angesehen - allerdings kenn ich jetzt die specials für den 2960 24TC-L nicht genau. Was mir aufgefallen ist, dass du davon ausgehst, dass die Endgeräte bereits dscp's schicken. Ist das so? Wenn kein DSCP in den incoming packets angegeben ist, dann ist klar warum bei der Ausgabe-Statistik 0 drinnen steht. In vielen Fällen wird aufgrund der COS-DSCP Tabelle im IOS erst umgesetzt - je nach Anwendung/Host-Konfigurationsmöglichkeiten. Zusätzlich war meine bisherigen Erfahrung, dass die standard QoS Einstellungen der Cisco-Switches verschiedener Modelle generell oder Port-based in den verschiedenen Versionen sehr unterschiedlich ist. Hast du auch schon kontrolliert, falls in deiner Anordnung die Endgeräte DSCPs schicken das Switchport auf trust steht? Ansonsten wird standardmäßig auf 0! geändert! HTH

Grundsätzlich schließe ich mich hier die Informationen von "dgr243" und "ITse-passt" korrekterweise an, aber auf der anderen Seite gilt es hier noch auf zusätzliche Security-Aspekte zu achten. In meiner bisherigen Tätigkeit wollte ich nicht das ein Client u./o. Server-Anschluß selbst aufgrund der Konfig entscheidet mit welchem VLAN dieser spricht - schon gar nicht ein Server in einer DMZ. Es ist also zu empfehlen, dass ein Endgeräteanschluß in einem Netz dedizierte Port-Konfigs hat, es hilft außerdem noch zur besseren Strukturierung des Netzes. Natürlich ist dieser Punkt aufgrund der Notwendigkeiten und Anforderungen zu entscheiden, allerdings geht man damit in mehreren Fällen ein Risiko ein. HTH