Ich möchte kurz erwähnen, dass das Portfolio für den CCNAX auf 494 Seiten zusammengefasst ist. Dann kann man sich ungefähr vorstellen, mit was für einer Welle von Theorie man ertränkt wird. Nun bei Tag drei angekommen, befinden wir uns ungefähr bei der Hälfte des Portfolios. Starten auch gleich mit den Themen Troubleshooting in IPv4 und PV6 Network Connectivity.

Man muss sich das Vorstellen wie ein Ablaufdiagramm, welches situationsunabhängig immer und immer wieder Verwendung findet. Man fängt mit dem ersten Anhaltspunkt an und hangelt sich dann bis zur letzten Option durch, fertig. Zum Beispiel wäre der erste Punkt die End-zu-End Erreichbarkeit und der letzte Punkt ob eine ACL den Zugriff blockiert. Zu jedem Punkt gibt es dann ein Beispiel, eine Discovery und das alles zusammengefasst in einem Lab. Ganz egal ob IPv4 oder IPv6, das Prozedere ändert sich nicht.

Das nächste Thema befasst sich nur mit Network Device Security. Ersteinmal werden Security Issues besprochen, nicht nur aus technischer Sicht, sondern auch den physischen Zugriff oder auch die elektrische Versorgung. Als Erstes werden die Netzwerkgeräte abgehärtet. Der Privileged EXEC Mode, auch „ena“ genannt, wird mit einem Passwort vor unzulässigem Zugriff abgesichert. Auch der Console Port wird mit einem Passwort und Timeout konfiguriert. Um den fernzugriff zu ermöglichen sollten auch die VTY’s des Endgerätes angepasst werden. Dafür sollte zum Beispiel nur SSH erlaubt und berechtigte Nutzer angelegt werden. Natürlich kann auch der Fernzugriff mit einer ACL auf ein Maximum eingeschränkt werden, in dem die ACL auf die vorgesehene VTY gelegt wird.

Danach geht es um die Sicherheit an den Switchports. Wie soll diese gestaltet sein und wie sichert man da überhaupt was? Natürlich erstmal alle nicht benötigten Ports in ein nicht vorhandenes VLAN stecken, nicht VLAN1 und deaktivieren. Des Weiteren noch eine Port-Security konfigurieren, falls beispielsweise nur Endgeräte mit einer bestimmten MAC-Adresse oder nur ein Maximum an unterschiedlichen MAC-Adressen erlaubt sind. Eine weitere Maßnahme wäre alle nicht benötigten Services auf der Seite des Routers zu deaktivieren beispielsweise wäre dies HTTP. Außerdem sollte man unbedingt NTP konfigurieren.

Außerdem sollte man sich überlegen, ob man das User-Management oder allgemein das Authentifizierungsmanagement für den Zugriff auf die Netzwerkkomponenten nicht mit TACAS+ und RADIUS auf einem extra Server ansiedeln möchte. Ein großer Vorteil für dieses System spricht vor allem das Einsparen von Konfigurationsschritten auf den Netzwerkkomponenten. Es müssen nicht auf jedem Gerät die berechtigten User per Hand angelegt und gepflegt werden.

Als Letztes wurde an dem Tag über das dynamische Routingprotokoll EIGRP gesprochen. Sehr ausführlich gesprochen. Natürlich wieder mit Discovery und Lab. Einmal EIGRP für IPv4 und dann auch extra nochmal mit IPv6. Die Frage ob EIGRP wirklich sinnvoll oder skalierbar für größere Netzwerke ist, muss sich jeder selbst fragen. Ich persönlich finde EIGRP anhand des Designs als Routingprotokoll nicht wirklich ansprechend. Da gefällt mir OSPF viel besser und finde es einfach besser skalierbar, allein schon von der Konfiguration her. Das Thema noch mit einer weiteren Troubleshooting Einheit verfeinert und zum Abschluss gebracht.

Ende des Tages #3.

 

over & out,

jonsch