Zum Inhalt wechseln


Foto

Cisco 881-Sec-K9


  • Bitte melde dich an um zu Antworten
49 Antworten in diesem Thema

#31 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 12. September 2009 - 13:07

;-) Dachte ich schreib das hier zu, dass leute die nach dem selben suchen, die Antworten finden und nicht nochmal neu Fragen müssen ;-)

Mir is klar, dass man an einem Privatmenschen nichts verdienen kann... aber für den Fall der Fälle wäre es halt interessant.

Hinter dem Router werde ich ja mein 3750-TS-S tun. Der is schon configuriert, aber auf PIM-sparse-dense-mode.

Gibt das Probleme, wenn ich meinem Router einen RP zuweise?

#32 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 13. September 2009 - 01:13

hm... mich würde interessieren, wie die implementation - so wie ich es in linux habe - auf dem cisco aussehen würde.

Wir erinnern uns, der vyatta router hat folgende config:

interfaces {
    ethernet eth0 {
        address 192.168.0.1/24
        description Localnet.Intranet.PainNet
        hw-id 00:40:ca:00:c0:00
    }
    ethernet eth1 {
        description Wanconnect.Internet.PainNet
        hw-id 00:02:b3:00:00:2e
        vif 7 {
            description Public.Internet.PainNet
            firewall {
            }
            pppoe 1 {
                default-route auto
                firewall {
                    in {
                        name Chain_IN
                    }
                    local {
                        name Chain_Local
                    }
                }
                name-server none
                password MeinPasswortHalt
                user-id MeineKennungHalt#0001@t-online.de
            }
        }
        vif 8 {
            address dhcp
            description IPTV.Internet.PainNet
            firewall {
                in {
                    name Chain_IN
                }
                out {
                    name Chain_Local
                }
            }
        }
    }
    ethernet eth2 {
        duplex auto
        hw-id 00:03:47:00:00:35
    }
    loopback lo {
    }
}


#33 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 13. September 2009 - 01:14

Das ich dann IPTV schauen kann, habe ich den IGMPProxy installiert und hierfür folgende config:

quickleave
phyint eth1.8 upstream  ratelimit 0  threshold 1
altnet 217.6.164.42/32
altnet 194.25.134.197/32
phyint eth0  downstream  ratelimit 0  threshold 1
altnet 192.168.0.11/24
altnet 192.168.0.12/24
phyint eth1 disabled
phyint eth1.7 disabled
phyint eth2
phyint lo disabled
phyint lo disabled
phyint pppoe1 disabled

Wichtig ist, dass auf der VLAN ID8 der Zugang zum IPTV gelöst ist, dieser erhält seine Routingeinträge via DHCP, so sollte das auf dem Cisco auch passieren. Auf einer Physikalischen Interface werden 2 virtuelle aufgebaut. ID7 macht eine pppoe Verbindung auf, wie sie auch im dsl standart ist. Man braucht IMMER tagged packete auf der WAN Seite, dass das funktioniert. Nun muss man noch das IPTV machen, via Multicast IGMPv3 und dem Proxy auf ID8. Das muss ins interne Netz.
Die zuvor gepostete Config eines lieben Forenkollegen lautet hier wie folgt:

Die verwendete Linux Version ist Vyatta VC 5.0.2

Wenn ja, wie bekomme ich den RP heraus und ist dieser statisch?

Man muss auch noch etwas in der Firewall einstellen, dass das funktioniert, in vyatta sieht das so aus:

Firewall "Chain_IN":

Active on (eth1.8,IN) (eth1,IN)

State Codes: E - Established, I - Invalid, N - New, R - Related

rule  action  source              destination         proto  state
----  ------  ------              -----------         -----  -----
1     ACCEPT  217.0.119.0/24      224.0.0.0/4                any
2     ACCEPT  193.158.35.0/24     224.0.0.0/4                any
3     ACCEPT  239.35.0.0/16       224.0.0.0/4                any
4     ACCEPT  0.0.0.0/0           224.0.0.0/4                any
5     ACCEPT  0.0.0.0/0           0.0.0.0/0                  E,R
6     ACCEPT  0.0.0.0/0           0.0.0.0/0           udp    any
              src ports: 5060
                                  dst ports: 5060
7     ACCEPT  0.0.0.0/0           192.168.0.2         udp    any
              src ports: 10000-12000
8     ACCEPT  0.0.0.0/0           0.0.0.0/0           tcp    any
              src ports: 10000
                                  dst ports: 10000
1025  DROP    0.0.0.0/0           0.0.0.0/0           all    any

--------------------------------------------------------------------------------
Firewall "Chain_Local":

Active on (eth1.8,OUT) (eth1,LOCAL)

State Codes: E - Established, I - Invalid, N - New, R - Related

rule  action  source              destination         proto  state
----  ------  ------              -----------         -----  -----
1     ACCEPT  0.0.0.0/0           224.0.0.0/4                any
2     ACCEPT  0.0.0.0/0           0.0.0.0/0                  E,R
1025  DROP    0.0.0.0/0           0.0.0.0/0           all    any

Zudem wäre es noch interessant, wie ich QoS für Multicast traffic lösen kann.

Der daran hängende Switch ist ein bereits configurierter C3750-TS-S

Könnt ihr mir dabei bitte etwas helfen? Mangels des Routers, da dieser noch 1 1/2 Wochen Lieferzeit hat, kann ich das nicht hier ausprobieren. Wenn es jedoch nach Plan läuft, hätte ich die Konfig Fertig, bevor ich den Router habe und könnte dann das als HowTo auch für andere zur Verfügung haben ( Verweis auf diesen Thread, nicht mit fremden Federn geschmückt ).

Ich bin nereits auf das "Zielnetz" umgestellt worden, was etwaige durch google zu findenden Möglichkeiten/Anleitungen weitestgehend unbrauchbar macht.

Hat mir jemand den notingen "Denkanstoss", so dass wir zusammen zur gesuchten Konfiguration kommen?

Danke schonmal im voraus!

#34 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 13. September 2009 - 14:45

Im Startnetz sieht eine funktionierende config für einen 1802 folgendermaßen aus:

ip cef
ip multicast-routing
no ipv6 cef
!
ip tcp mss 1452
ip tcp path-mtu-discovery
!
interface FastEthernet0/0
description switch uplink
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly max-reassemblies 512
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0.1
description default vlan 1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip pim sparse-mode
ip nat inside
ip virtual-reassembly
ip igmp helper-address 217.0.119.41
ip igmp version 3
!
interface FastEthernet0/1
description modem uplink
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly max-reassemblies 512
load-interval 30
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface FastEthernet0/1.7
description vdsl vlan
bandwidth 100000
encapsulation dot1Q 7
ip virtual-reassembly
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer1
description t-online
mtu 1492
bandwidth 51384
bandwidth receive 10044
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip pim dense-mode
ip nat outside
ip virtual-reassembly max-reassemblies 512
encapsulation ppp
ip tcp adjust-mss 1452
ip igmp helper-address 217.0.119.41
ip igmp version 3
ip igmp query-interval 15
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username fernsehgucker@t-online.de password 0 schwarzseher
crypto map vpnmap
service-policy output shaping
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip pim rp-address 217.0.119.41
ip nat inside source route-map natpool interface Dialer1 overload
!
logging history debugging
access-list 100 remark nat overload
access-list 100 deny ip 192.168.1.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 103 remark Vlan1 anti-spoofing
access-list 103 deny ip 192.168.2.0 0.0.0.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 permit igmp any any
access-list 103 permit ip any any
access-list 104 remark Vlan2 anti-spoofing
access-list 104 deny ip 192.168.1.0 0.0.0.255 any
access-list 104 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 permit igmp any any
access-list 104 permit ip any any
dialer-list 1 protocol ip permit

Im Zielnetz ist es aber wie oben beschrieben die ID 8 für IPTV.

Wie sieht die konfiguration für das Zielnetz aus, unter Berücksichtigung meiner config aus dem vyatta linux router?

#35 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 14. September 2009 - 10:20

Hat jemand ne Idee, bzw. kann die Konfig auf nem Laborgerät prüfen, die man benötigt, um die oben benannte Konfig für das Startnetz in Anlehnung auf die funktionierende Vyatta Linux Konfiguration vom Zielnetz in eine funktionierende Cisco Konfiguration für das Zielnetz zu schreiben?

Ich bin für jede hilfe dankbar.

Grüsse

#36 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 14. September 2009 - 11:42

Willst du nicht lieber erst mal warten bis der Router da ist, so viel wie geht selbst machen und dann bei konkreten Fragen/Problemen dich ans Board wenden? Das wuerds schon einfacher machen ...

#37 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 14. September 2009 - 11:45

Da hast Du recht.

Ich benötige vorab aber dringend hilfe, wie ich das hinbekommen soll, dass ich die beiden vlans mache und an vlan 7 tagged packete raussende und daran, also an das vlan, den dialer binde...

Ich frage mich nur, wieso das Ding unbedingt 14 Tage lieferzeit haben muss ;-)

Die Leistung ist mit 50000 pps angegeben, das müsste doch für 50 mbit internet reichen, oder geht da noch mehr?

Grüsse

#38 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 14. September 2009 - 12:59

das komtm auf die Grösse der Pakete und den "Beschäftigungsgrad" des Routers an

Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#39 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 14. September 2009 - 13:03

Das habe ich ja schon versucht heraus zu bekommen. Also ein Mediareceiver, der SD empfängt, braucht 300 pps. Ein Download einer Linux ISO mit 1,5 MBit braucht 1400 pps. Mit der Umrechnung, ob das dafür reicht, für das was man in nem "normalen" Haushalt so an Internet hat, tu ich mir etwas schwer. Es wird ja von 64 bit Paketen ausgegangen, das mal 8 und mal die 50000. Aber ich denke mir immer, dass bei ner FE Schnittstelle da doch schon Wirespeed drin sein sollte, oder?

#40 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 14. September 2009 - 13:15

Welcher normale Haushalt braucht Wirespeed?

#41 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 14. September 2009 - 13:17

Wirespeed, weil VDSL in absehbarer Zukunft 100 MBit bieten soll und ich nich vor habe, mir gleich nochmal n 400 Euro Router zu kaufen.

Aber von der Paketrate her sollte das eigendlich schon reichen, oder?

#42 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 14. September 2009 - 21:22

Hi,

ich würde dein Vlan 8 Problem als erstes mal damit beginnen - das du ein weiteres SubInterface .8 anlegst und da DHCP drauf machst - da auf dem .7 ja der Dialer ist - sollte das ohne Prob gehen.

Und wenn du ihn hast - mit dem Router runspielen und dann berichten - was nicht geht - dann denke ich werde wir dafür ne Lösung finden.

#43 ShineDaStar

ShineDaStar

    Member

  • 194 Beiträge

 

Geschrieben 14. September 2009 - 21:23

ausgezeichnet, das werde ich tun. Nun muss das gute Teil nur noch zu mir kommen, wars***einlich wird es nur für mich gebaut und deswegen 14 Tage ;-) aber auf Qualität kann man warten ;-)

#44 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 15. September 2009 - 06:13

Ich hab Ende 2008 die ersten 881G mit UMTS bestellt, Lieferzeit 4 Wochen, gedauert hats 4 Monate ;) Und dann waren CDMA Modems drin und nicht 3G :D

#45 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 15. September 2009 - 06:42

Hi,

wo hast du den den geordert - 2 "offizelle" Cisco Distries in Germany haben den zur Zeit auf Lager....