another1

stimmt - allerdings nicht innerhalb der DMZ.

Ausnahmen bilden dann halt Geräte welche in verschiedenen VLANs arbeiten müssen. Beispielsweise Firewalls die mit nur einem Interface per 802.1q angebunden werden

Yep, wird halt nicht die performanteste Lösung sein und auf dem 1Q-Trunk sollten nur die wirklich benötigten VLAN-IDs berechtigt sein.

hi,

Zu deiner Frage - grundsätzlich ja - allerdings gibt es unterschiede bei

den verschiedenen modellen und ob si oder ei image eingesetzt wird.

bei den verschiedenen modellen gibt es auch verschieden viele queues und

thresholds pro interface.

Du könntest einmal mit Strato.de reden, - welche Funktionen, die dir

betreffend D/DOS Abwehr zur Verfügung stellen können.

Auf technischer Ebene gibt es mehrere Möglichkeiten, allerdings wird die

Komplexität hier ein Thema.

hi,

geht es hier eigentlich um das generelle Problem der automatischen Authentifizierung oder speziell um Basware?

Ich kenne Basware zwar nicht - allerdings sollte doch mit RTFM heraus zu finden sein, welche Authentifizierungsmöglichkeiten das entsprechende Stück SW am Zielrechner akzeptiert?!

Daraus ergeben sich die weiteren Schritte - die ganzen gut gemeinten

Ratschläge bleiben nur gut gemeint, wenn diese für Basware nicht möglich sind.

Noch ein anderer Aspekt:

Generell muß ich anmerken, dass in einem größerem Unternehmen

mit mehreren Admins bestimmte Probleme nur organisatorisch praxisgerecht

und unkompliziert gehalten werden können. Mir fällt hier das immer wiederkehrende Argument der Entscheidungsträger ein "Jeder muß im Vertretungsfall das können was die anderen auch können".

Aber nochmals zurück zum Thema Zugriff von Admins auf vertrauliche Daten: In den meisten Fällen wird im Arbeitnehmervertrag beim Eintritt immer eine Datenschutzklausel mit unterschrieben.

Sollte eine Datenumgebung wirklich so vertraulich sein, so muß

"von oben" eine entsprechende Arbeitsanweisung, Bildung einer entsprechenden high-confidential Umgebung und Auswahl der Zuständigen vorgegeben werden.

P.S:

Nach meiner Erfahrung wurde bei dieser Fragestellung (abhängig von der gelebten Security-Policy in dem Unternehmen) an die Vorgesetztenreihen schon sehr viel von der notwendigen Datenvertraulichkeit

wegen zu erwartenden Zeitaufwand und aus ökonomischen Gründen verworfen.

Interessant wäre auch eine Info was in diesem Rechnernetz gemacht

werden soll - soll eine Anwendung zwischen den Rechnern laufen, sollen

Netzwerkfreigaben von einem Rechner zur Verfügung gestellt und von dem

anderen genutzt werden, oder soll von beiden Rechnern nur zum

Drucker verbunden werden?

Die Spielwiese ist hier sehr sehr groß - ein paar Anhaltspunkte ""Was soll das

Rechnernetz ermöglichen?" sind von Anfang an richtungsweisend.

hi dgr243,

ich hab mir deine qos überlegungen angesehen - allerdings kenn ich jetzt

die specials für den 2960 24TC-L nicht genau.

Was mir aufgefallen ist, dass du davon ausgehst, dass die

Endgeräte bereits dscp's schicken. Ist das so?

Wenn kein DSCP in den incoming packets angegeben ist, dann ist klar

warum bei der Ausgabe-Statistik 0 drinnen steht.

In vielen Fällen wird aufgrund der COS-DSCP Tabelle im IOS erst

umgesetzt - je nach Anwendung/Host-Konfigurationsmöglichkeiten.

Zusätzlich war meine bisherigen Erfahrung, dass die standard QoS Einstellungen der Cisco-Switches verschiedener Modelle generell oder Port-based in den verschiedenen Versionen sehr unterschiedlich ist. Hast du auch schon kontrolliert, falls in deiner Anordnung die Endgeräte DSCPs schicken das Switchport auf trust steht? Ansonsten wird standardmäßig auf 0! geändert!

HTH

Grundsätzlich schließe ich mich hier die Informationen von "dgr243" und "ITse-passt" korrekterweise an, aber auf der anderen Seite gilt es hier noch auf zusätzliche Security-Aspekte zu achten.

In meiner bisherigen Tätigkeit wollte ich nicht das ein Client u./o. Server-Anschluß selbst aufgrund der Konfig entscheidet mit welchem VLAN

dieser spricht - schon gar nicht ein Server in einer DMZ.

Es ist also zu empfehlen, dass ein Endgeräteanschluß in einem Netz dedizierte

Port-Konfigs hat, es hilft außerdem noch zur besseren Strukturierung des Netzes.

Natürlich ist dieser Punkt aufgrund der Notwendigkeiten und Anforderungen zu entscheiden, allerdings geht man damit in mehreren Fällen ein Risiko ein.

HTH