n@ppo

nein das meinte ich anders, das problem ist das bei einem cluster mit multicast-mac-adressen in verbindung mit hsrp die paktet dupliziert werden (könnten) das hat cisco noch nie wirklich in den griff bekommen. bei folgendem aufbau: R1-- --clusterengine1 |--| R2-- --clusterengine2 wenn ein pakete durch die/den router "läuft" z.b. R1. dann wird er das paket an die unicast-ip/multicast-mac des cluster adressieren (z.b 0300.0815.4711) das pakete kommt außerdem bei R2 an. dieser sollte eigentlich das paket ignorieren. dies machen diverse ios-versionen aber nicht, sondern das paket durchläuft abermals die routinginstanz wird im ttl dekrementiert und auf die reise in richtung cluster geschickt. das paket kommt also wieder am cluster an ....und bei R1. er schickt nun abermals eine kopie an das cluster und dekremintiert das ttl ....das paket kommt beim cluster an und natürlich wieder mal bei R2. das spiel geht solange bis das ttl heruntergezählt ist. das hat der effekt das du z.b. bei einem firewall-cluster sehr viele dupletten bekommst. und die firewall hier und da probleme macht :D. das ganze kannst du umgehen indem du eine acl (incoming) auf den router definierst wo als ziel das firewall-cluster ausgeschlossen wird. da du bei dir mit nur einem gerät/nic arbeitest muß dies keine folgen haben. wenn du allerdings mit einer unicast ip arbeitest und einer multicast-mac daher kommst von deiner nic. dann benötigst du mindestens einen statischen arp eintrag auf der msfc , sonst wirst du über dein vlan999 nicht hinaus kommen. das mapping einer unicast ip zu einer multicast mac ist wenn ich mich recht entsinne laut rfc 1812 nicht zwingend erlaubt. und eben dieses " ein router kann eine unicast ip zu einer multicast-mac mappen" macht cisco seit der version 11.3 nicht mehr. ich schätze mal das es eine security maßnahme ist (oder eine vertriebstechnische)

hi, mit welcher mac-adresse kommt deine nic im teaming-mode bzw. im trunking. ist das eine multicast oder unicast ? da du von anderen end-devices aus dem vlan 999 vom cat 3550 über den trunk kommst kannst du ein generelles trunking-problem ausschließen (zumindest lese ich das so heraus). ich tippe mal auf eine problem mit der mac-adresse des teaming-adapters im teaming-mode. ähnliche probleme gibt es beim einsatz von diversen clustern (z.b. stonebeat, nokia, etc). das problem dort ist das eine multicast-mac zu einer unicast ip gemapped ist. normalerweise sollte dies kein problem sein (im layer 2 eh nicht) es ist aber von cisco recommended das für solche zwecke statische arp bzw. statische mac einträge gemacht werden sollen/müssen. weiterhin sollten für diesen fall auch acl´s auf den hsrp-routern laufen und igmp-snooping auf den betreffenden switches ausgeschaltet werden. ach so noch etwas: portfast auf einem trunk kann böse ins auge gehen.

hi, dein ethernet ist noch shutdown und nat overload ist nicht vollständig konfiguriert. mit # int e0 no shut ! ip nat inside source list 1 interface Dialer1 overload # sollte das wieder laufen.

hi, das gibt es hier, http://www.boson.com/promo/utilities.htm

hi, zu: %Error opening tftp://192.168.7.1/cisconet.cfg die meldung kommt wahrscheinlich daher das dein router sich von dort die konfig gezogen hat beim booten. lief zum zeitpunkt des bootvorgangs auf der 192.168.7.1 zufällig ein tftp-server ? oder hast du es dem router innerhalb des config-registers eingestellt. bei der konfiguration fehlt hier und da noch etwas um sich via dsl zum isp zu verbinden. # ip routing ! vpdn-group 1 request-dialin protocol pppoe ip mtu adjust ! ip nat inside source list 1 interface Dialer1 overload ! interface Dialer1 ip tcp adjust-mss 1452 dialer remote-name isp ppp authentication pap callin ! ip route 0.0.0.0 0.0.0.0 Dialer1 permanent ! dialer-list 1 protocol ip permit ! access-list 1 permit 192.168.7.0 0.0.0.255 # und optional noch # ip cef ! interface ethernet0 ip route-cache ! #

hi, das wurde glaube ich schon mehrfach behandelt. am besten regelst du das mit einer access-list (acl) die an die dialer-list gebunden ist. # no ip forward-protocol udp netbios-dgm no ip forward-protocol udp netbios-ss no ip forward-protocol udp netbios-ns ! interface Dialer1 description ISP ip address negotiated ip access-group 102 in ......... ! access-list 102 permit udp an eq 53 any access-list 102 permit tcp an an established access-list 102 permit tcp an eq ftp-data an access-list 102 permit icmp any any echo-reply access-list 102 remark ---- packetfilter fuer verbindungen aus dem inet ----- access-list 101 remark ---- darf den dialer antriggern ----- access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 443 access-list 101 permit tcp any any eq ftp access-list 101 permit icmp any any echo ! dialer-list 1 protocol protocol ip list 101 #

hi, das kannst du z.b. mit xauth erledigen. eine beispielkonfig findest du meiner hp. http://rulax.dnsalias.com/public/cisco/konfig/ipsec.html oder dort http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns27/networking_solutions_white_paper09186a00801890e4.shtml

Hallo zusammen, anbei ein Dokument indem beschrieben ist wie sich das mit der IOS-Naming Convention verhält. ios-namen.pdf

Hallo zusammen, anbei ein Dokument in dem ich mal zusammengefasst habe wie das mit dem Packetforwarding in einem Cisco-Router funktioniert. Leider ist die Datei etwas zu groß geraten.Deshalb hier nur der Link dazu. http://rulax.dnsalias.com/public/cisco/doks/Switching%20Mechanissmen.pdf

hi, da der router kein eingebautes isdn interface hat und du wahrscheinlich auch keinen ISDN-TA Mini besitzt (z.b. von phillips) für den einsatz einer dial-up verbindung über den seriellen port des routers sieht es dunkel aus befürchte ich. der token-ring adapter den du hast ist wahrscheinlich ein balloon für eine impedanz bzw. medienanpassung. auch diesen kannst du dafür nicht verwenden. den token-ring anschluss brauchst du wenn du ethernet zuhause hast (davon gehe ich jetzt mal aus) eigentlich gar nicht. ein tipp: entsorge bzw. verkaufe den router und sieh dich nach einem router mit inegriertem isdn-modul um. z.b 1603, 1003, 803. die 1603er und 1003er sind sehr günstig über die einschlägigen zweite-hand-online-börsen zu bekommen. der nachträgliche kauf eines isdn ta-mini und eines x.21 kabels wird dich wahrscheinlich teurer kommen als ein anderer router.

hi, keine sorge. nach dem löschen der startup-config bleiben dir die config-register erhalten. das einzigste was du beachten solltest ist ob innerhalb der konfiguration ein optionales ios angegeben ist das gebootet wird. nach dem löschen der startup-config bootet der router das erste file (nicht ios) im flash. sollte dies ein dump oder eine backup konfiguration sein fährt der router in den rommon. aber selbst das ist kein beinbruch, solange ein funktionierendes ios auf einem flash-device vorhanden ist kannst du den router wiederbeleben.

hi, z.b. so. interface FastEthernet0/1 switchport mode access switchport access vlan x ! interface FastEthernet0/2 switchport mode access switchport access vlan y überprüfen kannst du ganze mit "show vlan" oder "show interfaces fastethernet0/1 switchport". hier findest du noch mehr infos dazu. http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84be.html#33607

Hallo zusammen, vielen Dank für die Blumen. Na dann werde ich mal zusehen das ich mir den Status durch Beiträge auch weiterhin verdiene.

hi, im "user exec mode" befindest du dich wenn du im terminalproggi die anzeige deines routernamens gefolgt von einem > siehst z.b. "Router>" im "enable mode " oder auch "privileged exec mode" befindest du dich wenn du im terminalproggi den routernamen siehst gefolgt von einer # z.b. "Router#". danach kannst du "conf t" eingeben. die anzeige änder sich in "Router(config)". jetzt befindest du dich im "global config mode" und kannst die zeilen für die snmp-variablen eingeben. z.b. snmp-server community schnipp RO snmp-server community schnapp RW den "global config mode" beendest du mit durch die eingabe von "end" oder durch drücken von strg+c bzw strg+z. danach kannst du dir die running-config inkl. deiner änderungen ansehen mit "write terminal" oder "show running-config" abspeichern in den nvram erfolgt durch "write memory" oder "copy running-config startup-config"

hi, bei deiner art der konfiguration frage ich mich ehrlich gesagt wozu der router noch gut sein soll. (dsl-modem funktionalität mal aussen vor gelassen) ausnahmen wären: eine dmz -- lässt sich mit dem server abbilden ein vpn -- lässt sich mit dem server abbilden eine backup lösung -- lässt sich eventuell mit dem server abbilden dein server1 ist mit sicherheit auch in der lage mit einer oder zwei weiteren nic eine dsl-verbindung und eine dmz abzufrühstücken. .....anyway. du schreibst Das “Netzwerk” am Switch des Routers hat die Adresse x.x.x.188. ein x.x.x.188 subnet ist nicht möglich. es wäre hilfreich wenn du die offiziellen ip´s postest (z.b. als pn) die verwendeten lan-netze inkl. aller nötigen hostadressen die für eine nat benötigt werden (falls benötigt) und den dhcp-range. wo wird zurzeit die nat gemacht , auf deinem router der (noch) im einsatz ist oder auf dem server1 ? ansonsten kann ich scooby nur zustimmen. wenn du die konfiguration nicht testest wirst du die geschichte auf kurz oder lang nicht hinbekommen. der crws ist nicht gerade das was man als nützliches tool bezeichnen kann. wenn du den router zum laufen bekommen möchtest wirst du um die console nicht herumkommen. mit den von pretender aufgeführten kommandos kannst du den router nicht kaputt konfigurieren. wenn du eine konfiguration testest solltest nur beachten sie erst mal NICHT mit "wr mem" in den nvram (nichtflüchtigen speicher)wegzuschreiben. wenn irgend etwas nicht mehr funktioniert einfach den router ausschalten und wieder einschalten. er kommt danach mit zuletzt gespeicherten konfig wieder "hoch" eine console-verbindung stellst du mit einem terminalproggi her (z.b. terraterm oder hyperterimal) die verbindungsdaten sind baudrate -- 9600 data bits -- 8 parity -- none stop bits -- 1 flowcontrol -- hardware danach siehst du in etwa folgendes "Router>" jetzt gibst du "enable" ein gefolgt von einem optionalen passwort das du eventuell über den crws vergeben hast. danach bist du im enable-mode oder auch privilege-exec mode des routers. in diesem mode kannst du alles abfragen (statistiken, usw) aber noch nichts verändern. in den configure-mode gelangst du mit "conf t". danach siehst du folgendes "Router(config)" jetzte kannst du via copy-and-paste die konfiguration einspielen. den configure-mode verlässt du mit "end" oder durch drücken von "strg+c" bzw "strg+z" der router übernimmt alle konfigurationsdaten die du über die zwischenablage eingefügt hast sofort. die änderungen werden aber erst durch ein "wr mem" im enable-mode in den nvram geschrieben. sollte es nach dem einfügen der konfiguration probleme geben..... wie gesagt ausschalten und wieder einschalten.

hi, mit " ip dns server" wird das dns-proxy feature ermöglicht. es ist bei dem 806, 826, 827, 828 ab 12.3(7)T,12.3(4)XG,12.3(4)T4,12.3(2)XE,12.3(2)XC2,12.3(2)XA und 12.3(2)T4 mit dem feature-set ip verfügbar. der 836 ist nicht explizit aufgeführt aber dort sollte es auch laufen.

hi, die meldungen auf die aktive sessions bekommst du nach der eingabe von "term mon" im enable-mode. alternativ kannst du die meldungen auch auf einen syslog-server schicken lassen. im configure-mode "logging ip-adresse vom syslog host". einen syslog-server bekommst du z.b. hier. http://support.3com.com/software/utilities_for_windows_32_bit.htm oder hier http://www.kiwisyslog.com/products.htm wenn du im configure-mode "logging buffered 10000" konfigurierst kannst du alle logging-einträge mit "sho logg" abfragen.

@ Sailer es ist möglich festzustellen wer, wann, was mit welchem contract heruntergeladen hat. dies wird im übrigen ab und an auch getan. dafür gibt es z.b. bei einem partner einen dedizierten ansprechpartner der für solche klamotten zuständig ist. dann hast du wenn es rauskommt genau die gleichen probleme wie der hersteller HuaWei :shock: http://www.heise.de/newsticker/meldung/35443

hi, 10.3er bootroms tun es auch. 11.0 oder 11.1 wären besser. ich glaube die heißen 11.0(10c)

hi, ein kleiner tipp. trenn dich von dingern solange du noch etwas dafür bekommst. jeder routersimulator hat mehr drauf als die kisten. nur weil die geräte ein ios haben und cisco draufsteht heißt das nicht zwangsläufig das sie etwas taugen. der preis für ein ios upgrade übersteigt den derzeitgen marktwert. wenn du nicht unbedingt etwas in richtung sna machen möchtest lass lieber die finger davon. des weiteren hängt es davon ab welche rxboot/boot-roms version du auf den maschinen hast. bei einem ios 9.1 tippe ich mal auch auf ein rxboot/boot-roms in der richtung. btw: gibt es dafür überhaupt noch ein ios >9.x hab eben mal im cco nachgeschaut aber nix gefunden. 1993 ist halt schon ne ecke her....... nachtrag: bin fündig geworden. eine 11.1 soll es geben. aber wie gesagt das ganze ist u.a. vom rxboot/boot-rom abhängig

hi, Auf Wunsch des Benutzer's editiert. günterf

hi, das knuffige am "sho tech" ist nur das dir z.b. alle ipsec-keys und die ppp daten von einem dsl-account erhalten bleiben. deshalb lieber noch mal überprüfen.

hi, Auf Wunsch des Benutzer's editiert. günterf

hi, ip subnet-zero es besteht die möglichkeit ein 0er subnetz zu bilden (beispiel 192.168.0.0/24 bzw. 192.168.1.0/30 ip classless der router forwarded alle pakete die er nicht direkt über den prefix bestimmen kann zu nächst besten supernet. genaueres dazu findest du auf meiner hp in der public-area. no ip directed-broadcast das interface wandelt keinen direct-broadcast in eine link-layer broadcast um. siehe auch smurf dos-attack beispiel: r1---r2---r3 e0/r1= 192.168.1.0/24 s0/r1= 192.168.2.0/30 s0/r2= 192.168.2.0/30 s1/r2= 192.168.3.0/30 e0/r3= 192.168.100.0/25 s0/r3= 192.168.3.0/30 r1 hat eine statische default-route via r2. eine client sendet einen ping zu der adresse 192.168.100.127. ausgehend von einem classfull-routing und der tatsache das r1 nicht weiß das es sich um einen subnet-broadcast handelt wird das paket bis zu r3 geforwarded. der befehl no ip direct-broadcast auf r3 verhindert nun das dieser broadcast in das segment gelangt. no ip mroute-cache der multicast route-cache ist abgeschaltet passive-interface Ethernet 0/0 das interface sendet keine routing-updates hört aber auf updates und verarbeitet sie. no auto-summary es wird keine summary on network boundaries gebildet (eigrp). classfull routing einträge werden gebildet. no service timestamps debug uptime negieren des kommandos "service timestamps debug uptime" no service timestamps log uptime negieren des kommandos "service timestamps log uptime" service timestamps debug datetime localtime show-timezone debug meldungen werden mit einem zeitstemple versehen (uptime, datetime, localtime) service timestamps log datetime localtime show-timezone log meldungen werden mit einem zeitstemple versehen (uptime, datetime, localtime) transport input none definition über die protokolle die sich auf die line verbinden dürfen (all, none, telnet, ssh, usw) line aux 0 der auxillary port exec-timeout 10 0 interval den der command interpreter wartet auf eine eingabe (in diesem fall 10 minuten)

hi, wenn eure firewall ein dynamisches routingprotokoll unterstützt z.b. rip oder ospf sollte dies kein problem sein. ansonnsten kannst du das auch mit statischen routen auf der firewall und den switches erledigen und dieser via redistribution innerhalb deines eigrp sytemes verbreiten. um wie viel netzte handelt auf der firewall es sich denn ? aus sicht der security policy würde ich es wenn möglich eher mit statischen routen auf der firewall und den switches erledigen. wenn es zu komplex wird von der einträgen, dann würde ich wenigstens eine authentifizierung mit einbauen. somit ist sichergestellt das deine firewall auch nur updates von clients akzeptiert dein einen gültigen key besitzen. beispiel mit rip: interface fastethernet0/1 ip address 192.168.1.1 255.255.255.0 ! interface fastethernet0/2 ip address 192.168.2.1 255.255.255.0 eigrp 2 network 192.168.1.0 no auto-summary redistribute rip metric 100000 1 255 1 1500 ! router rip redistribute eigrp 2 metric 5 network 192.168.2.0 version 2 no auto-summary ! beispiel mit ospf: interface fastethernet0/1 ip address 192.168.1.1 255.255.255.0 ! interface fastethernet0/2 ip address 192.168.2.1 255.255.255.0 eigrp 2 network 192.168.1.0 no auto-summary redistribute ospf 2 metric 100000 1 255 1 1500 ! router ospf 2 network 192.168.2.0 0.0.0.255 area 0 redistribute eigrp 2 metric-type 1 metric 120 subnets