T-Home IPTV Cisco 876

[RangeMethod]

Ich habe VDSL50 und ich bin mittlerweile auch im ZielNetz!

Ich habe eine ASA zwischen dem Router und meinen Clients, deswegen lasse ich alles durch!

Sebastian

[ShineDaStar]

das habe ich auch ;-) aber vor der ASA ist noch meine UC520 und mein PerimeterSwitch... das Problem ist halt, dass man von innen heraus sich die Daten schnappen kann oder die Kennung ausnutzen kann... Das stellte ich mir als Problem vor.

VDSL 50 habe ich auch, was sagt denn dein sh proc cpu hist?

Ist der Router nicht ein wenig ausgelastet mit dem Anschluss? Ich hatte anfangs auch vor, mir solch einen zu Kaufen...

[RangeMethod]

Hier der Auszug:

Also mir kommt es nicht so vor als ob er sehr ausgelastet wäre.

Code:

Range-Router#show proc cpu history

Range-Router   06:31:08 PM Tuesday Feb 2 2010 Range


                          11111
           11111          0000044444          11111
100
 90
 80
 70
 60
 50
 40
 30
 20
 10                       *****
   0....5....1....1....2....2....3....3....4....4....5....5....6
             0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)


    1111 111    1 11  11111  11 11 111 11111  11111 111 111 11 1
    022273039789282277142237732513823383332185222229532604392092
100
 90
 80
 70
 60
 50
 40
 30
 20                                                 *
 10 ************************************************************
   0....5....1....1....2....2....3....3....4....4....5....5....6
             0    5    0    5    0    5    0    5    0    5    0
               CPU% per minute (last 60 minutes)
              * = maximum CPU%   # = average CPU%

           1
    11111120122211111111193
    57969570902344455445444
100        *
 90        *             *
 80        *             *
 70        *             *
 60        *             *
 50        *             *
 40        *             *
 30       **             **
 20 ************   **  * **
 10 *******#*************##
   0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
             0    5    0    5    0    5    0    5    0    5    0    5    0
                   CPU% per hour (last 72 hours)
                  * = maximum CPU%   # = average CPU%

Aber mal was anderes: Wie viel Bandbreite kannst du denn effektiv für Downloads nutzen?

[ShineDaStar]

nein in der Tat, das schaut super aus. Kannst Du irgendwo von nem FTP mal ein Linux Iso ziehen, dass die Leitung voll ausgelastet ist und mir sagen, ob Fernsehen reibungslos ist, wie die durchschnittliche downloadrate, sowie das sh cpu proc hist ist?

Weil ich wollte anfangs diesen Router und man sagte mir, der könne meine Leitung nicht voll bedienen...

OK, Du hast auch nichts ausser routing an, richtig? Also nur die ACL die alles erlaubt?

Zu letzterem: Hältst Du das für einen guten Plan, alles zu erlauben, wenn dahinter noch ein perimeter switch und daran clients hängen? Webradio und sowas is da... alles relevante ist hinter meiner asa...

[RangeMethod]

Also wenn ich einen Download mache bekomme ich knapp 1,5MB/s wenn ich mehrere Downloads mache, dann komme ich auf knapp 3,2MB/s
Nebenbei läuft MTVNHD mit kleineren Aussetzern...
Und das show Proc cpu hist schaut auch bescheiden aus, dann ist er ganz schnell ausgelastet, und zwar zu 99%.

Code:

Range-Router#show processes cpu history

Range-Router   08:31:43 AM Wednesday Feb 3 2010 Range


    999999999999999999999999999999999999999999999999999999999999
    888666669999988888999999999999999999999999999999666663333300
100 *****************************************************
 90 ************************************************************
 80 ************************************************************
 70 ************************************************************
 60 ************************************************************
 50 ************************************************************
 40 ************************************************************
 30 ************************************************************
 20 ************************************************************
 10 ************************************************************
   0....5....1....1....2....2....3....3....4....4....5....5....6
             0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)

         11
    999990099998433323233333332333333333323233223333333333111 11
    939990099992923283823224329322134422091923662423100291667662
100 # *#####*#*
 90 ##*########
 80 ##*########*
 70 ###########*
 60 ###########*
 50 ############*
 40 ############*                                       *
 30 #############*****************************************
 20 #####################################################**** *
 10 #########################################################*##
   0....5....1....1....2....2....3....3....4....4....5....5....6
             0    5    0    5    0    5    0    5    0    5    0
               CPU% per minute (last 60 minutes)
              * = maximum CPU%   # = average CPU%

    1                    1
    0111222229911111111120122211111111193
    0999998989994857969570902344455445444
100 *        **          *
 90 *        **          *             *
 80 *        **          *             *
 70 *        **          *             *
 60 *        **          *             *
 50 *        **          *             *
 40 *        **          *             *
 30 *   *******         **             **
 20 #*********** *************   **  * **
 10 ###########**********#*************##
   0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
             0    5    0    5    0    5    0    5    0    5    0    5    0
                   CPU% per hour (last 72 hours)
                  * = maximum CPU%   # = average CPU%

Wie sieht das denn bei dir mit dem 881 aus?

Und wegen deinem Perimeter-Switch: Also wenn du OnlineGames mit immer wechselnden Ports spielst, dann wird es nicht anders gehen als alles zu erlauben,
aber generell würde ich schon dazu raten eine Access-Liste einzubauen. Besser doppelt...

[ShineDaStar]

Also zum Thema Spielen:

Ich Vertrete - und ich bin in unserem Haus ( nicht beruflich, der Großfamilie ) für alles was mit Kommuniktion zu tun hat zuständig - die Auffassung, dass ich eher auf ein Spiel verzichte, als meine Firewall und Sicherheitsvorkehrungen ausser Kraft zu setzen. Wenn einem Hersteller etwas daran liegt, dass Menschen sich sein Produkt kaufen, muss er in der Lage sein, soetwas über Feste Ports, bzw. bestimmte Ports zum Laufen zu bekommen, ansonsten brauche ich seine Software nicht.

Ich Vertrete Ferner die Idee einer definierten Sicherheitsabfolge, welche ich restriktiv durchsetze.

Das mag sich jetzt gesponnen anhören, aber egal ob ich Geld für etwas bekomme oder nicht, egal ob beruflich oder privat, wenn ich mit etwas betraut werde, versuche ich mein bestes, dass in aller Form umzusetzen.

Zu meinem Router:

also beim 881 ist es so, dass er kaum etwas zu tun hat, als Standard Aufgaben zu erledigen, da er nur mein Backup ist ( ich weiss das es damit funktioniert ). Da liegt die CPU Aiuslastung stetig so um die 10 %.

Bei meinem 892, welchen ich hauptsächlich verwende, liegt es trotz mehr konfig bei ca. 10% nominaler Grundlast.

Wenn ich nun sagen wir mal 1 Aufnahme mache, 2 mal SD Fernsehen und dann downloade, dann bekomme ich um die 58 Mbit ( durchschnittliche Berechnung aufgrund Downloadrate /durchsatz und sonstiger Nutzung im Netzwerk ). Dann hat der Router eine Auslastung von ca. 50 % und 80% Peekwert.

Ich kann den Max downstream nur berechnen, da der client ca. 6 Mbit/s anzeigt in Windows, der Router das aber als fast 60 interpretiert, laut snmp ist es so um die 60 MBit.

Dabei Ruckelt nichts...

Seit heute morgen hatte ich das Problem, dass sich die IP Addresse meine Vlan 8 Iface geändert hat und das fernsehen nicht ging.

Jetzt habe ich gedacht, vllt. hat er sein lease verloren, beim int brief stand aber ne adresse, die in nem anderen class Netz ist.
Nach durchschau habe ich nun - warum auch immer - einen anderen RP.

Also ich die Konfig angepasst, und nun geht es...

Jetzt will ich nur herausfinden, woran das liegt, dass ich nur bei reload des routers eine IP Zugewiesen bekomme, er das aber nicht macht, wenn er die lease verliert...

Hast Du vllt. eine Idee?

[goldio]

hallo

Ich richte gerade das IPTV bei meinen Eltern im Hotel ein, aber irgendwie will es nicht so recht funktionieren... ^^
Vielleicht könnte sich einer von Euch mal meine Config des 1812er anschauen, um das Problem aus der Welt zu schaffen.

Im Grunde ist alles eingerichtet und funktioniert auch, bis zu dem Punkt, wenn beim Fernsehen auf Multicast geschalten wird, wird´s dunkel...
Ich sehe auch bei einem "sh ip multi int", dass hier keine Pakete fließen, aber meine stundenlange Recherchen und Bemühungen waren bisher umsonst.
Erst einmal ein paar Infos... (ich gebe hier nur die nötigsten Daten an)

Code:

sh ip multi int
  Vlan1 is up, line protocol is up
  Internet address is 192.168.110.1/29
  Multicast routing: enabled
  Multicast switching: fast
  Multicast packets in/out: 0/0
  Multicast TTL threshold: 0
  Multicast Tagswitching: disabled
Dialer1 is up, line protocol is up
  Internet address is 79.234.86.27/32
  Multicast routing: enabled
  Multicast switching: process
  Multicast packets in/out: 0/0
  Multicast TTL threshold: 0
  Multicast Tagswitching: disabled

Code:

sh ip igmp int vlan 1
Vlan1 is up, line protocol is up
  Internet address is 192.168.110.1/29
  IGMP is enabled on interface
  Current IGMP host version is 3
  Current IGMP router version is 3
  Explicit Tracking is enabled
  IGMP query interval is 15 seconds
  IGMP querier timeout is 30 seconds
  IGMP max query response time is 10 seconds
  Last member query count is 2
  Last member query response interval is 1000 ms
  Inbound IGMP access group is not set
  IGMP activity: 18 joins, 15 leaves
  Multicast routing is enabled on interface
  Multicast TTL threshold is 0
  Multicast designated router (DR) is 192.168.110.1 (this system)
  IGMP querying router is 192.168.110.1 (this system)
  IGMP helper address is 87.186.224.39
  Multicast groups joined by this system (number of users):
      224.0.1.40(1)

Code:

sh ip pim int
Address          Interface                Ver/   Nbr    Query  DR     DR
                                          Mode   Count  Intvl  Prior
192.168.110.1    Vlan1                    v2/S   0      30     1      192.168.110.1
79.234.86.27     Dialer1                   v2/S   1      30     1      0.0.0.0

Code:

Config:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Fischer´s Fritz
!
boot-start-marker
boot system flash:c181x-advipservicesk9-mz.124-23.T1.bin
boot-end-marker
!
logging message-counter syslog
logging buffered 8192
no logging console
enable secret isch´geheim
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
!
!
dot11 syslog
no ip source-route
!
!
no ip dhcp use vrf connected
!
ip dhcp pool IPTV
   network 192.168.110.0 255.255.255.248
   dns-server 192.168.110.1 217.237.151.161 217.237.150.188
   default-router 192.168.110.1
   lease infinite
!
!
no ip cef
ip domain name test.local
ip multicast-routing
no ipv6 cef
ntp server 195.145.119.188
!
multilink bundle-name authenticated
!
vpdn enable
!
isdn switch-type basic-net3
!
!
username Fritz password Fritzle
!
archive
 log config
  hidekeys

[goldio]

Code:

interface FastEthernet0
 description WAN DSL
 no ip address
 no ip redirects
 ip virtual-reassembly
 no ip route-cache
 ip tcp adjust-mss 1452
 no ip mroute-cache
 speed auto
 full-duplex
 pppoe enable group global
 pppoe-client dial-pool-number 1 dial-on-demand
 no keepalive
 no cdp enable
!
interface FastEthernet1
 description LokalLAN
 ip address 192.168.x.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 *Firewall und IPS*
 ip virtual-reassembly
 duplex auto
 speed auto
 no keepalive
 no cdp enable
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn switch-type basic-net3
 isdn point-to-point-setup
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
 switchport access vlan 9
!
interface Vlan1
 description IPTV
 ip address 192.168.110.1 255.255.255.248
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip nat inside
 ip virtual-reassembly
 ip igmp helper-address 87.186.224.39
 ip igmp version 3
 ip igmp explicit-tracking
 ip igmp query-interval 15
 ip igmp proxy-service
!
interface Vlan7
 no ip address
 no ip redirects
 shutdown
!
interface Vlan9
 description GaesteNetz
 ip address 192.168.x.33 255.255.255.240
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
!
interface Dialer1
 description Dialer-T-Online
 bandwidth 16000
 ip address negotiated
 ip access-group 100 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip pim sparse-mode
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 ip igmp version 3
 ip igmp explicit-tracking
 ip igmp proxy-service
 no ip mroute-cache
 dialer pool 1
 dialer idle-timeout 0
 dialer string 1
 dialer persistent
 dialer-group 1
 keepalive 32767
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username Fritz@t-online.de password Fritzle
 ppp ipcp dns request
 crypto map clientmap
!
no ip forward-protocol nd
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
no ip http server
no ip http secure-server
!
!
ip dns server
ip pim rp-address 87.186.224.39
ip nat translation timeout 300
ip nat translation tcp-timeout 500
ip nat translation udp-timeout 180
ip nat translation icmp-timeout 30
ip nat translation max-entries 2500
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 192.168.x.32 0.0.0.15
access-list 1 permit 192.168.x.0 0.0.0.255
access-list 1 permit 192.168.110.0 0.0.0.7
access-list 10 permit 192.168.x.10
access-list 10 permit 192.168.x.79
access-list 100 permit igmp host 87.186.224.39 any
access-list 100 permit icmp host 87.186.224.39 any
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any packet-too-big
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable
access-list 100 permit tcp any any established
access-list 100 permit udp any eq domain any
access-list 100 permit udp host 195.145.119.188 eq ntp any
access-list 100 permit udp any gt 10000 any
access-list 100 permit ip any 224.0.0.0 15.255.255.255
access-list 100 deny   ip any any log
dialer-list 1 protocol ip permit
no cdp run

!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 access-class 10 in
 password isch`geheim
 transport input ssh
 transport output all
 escape-character 3
!
no scheduler max-task-time
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Wäre klasse, wenn wir das Ding schaukeln könnten
Thx in advance...

[RangeMethod]

Hallo Goldio,

Hast du VDSL oder normales DSL?

Wenn du VDSL hast wundert es mich etwas das du ueberhaupt was siehst, geschweige denn ins Internet kommst.

Denn bei VDSL benoetigst du VLAN 7 UND VLAN 8.

Daher gehe ich mal davon aus das du normales DSL hast.

Mit normalem DSL und T/Home kenne ich mich leider nicht aus.

[goldio]

Hallo

Ja Du hast recht, es ist eine 16000+ Leitung, also kein VDSL.