mr._oiso

Hi Anakim Info : "vlan database" ist kein terminal command ! Schon mal in die "dir" geschaut ? oder "sh flash" ? Da sollte eine vlan.dat liegen, wenn nicht, dann hast Du bis jetzt nur nen L3 Interface Vlan X gebaut. Choose : Switch#vlan database Switch(vlan)#? VLAN database editing buffer manipulation commands: abort Exit mode without applying the changes apply Apply current changes and bump revision number exit Apply changes, bump revision number, and exit mode no Negate a command or set its defaults reset Abandon current changes and reread current database show Show database information vlan Add, delete, or modify values associated with a single VLAN vtp Perform VTP administrative functions. Switch(vlan)# Nur so baut man ein Vlan auf L2 Ebene ! Greez Mr. Oiso

Hallo Board, hallo Windows Experten, suche dringend nach korrekten Informationen wie man auf einem DHCP unter Win2K die Scopes 076 und 078 für eine Novell Umgebung 5.x beim Systemstart mitgeben kann. Verwende den Novell-Client für 2000/XP Version 4.91 SP2 im Netzwerk mit zwei ADS Controllern und einem Novell-Server 5.x Leider hat der Novell nen IP/IPX Stack, mit welchem ich einmal eine Warenwirtschaft über IPX betreibe, und Printservices über IP. Zu dumm also, um am Client eines der beiden Protokolle abschalten zu können. Jedoch reicht es nicht aus, IP als bevorzugtes Protokoll einzurichten. Dadurch das der Client diese Einstellungen nicht bekommt, wird im IPX also keine unicast, sonder multicast verwendet um den SLP DA zu finden. Ähnlich wie der Masterbrowser unter NT ! Jedoch scheint mir damit die Leistungsfähigkeit des Netzwerk's arg beeinträchtigt. Teilweise benötigt ein Clientsystem bis zu 40-60 sec bevor es sich im Stande sieht, sich am Novell anzumelden. Hat hier irgend jemand Erfahrungen zu den Knowledges unter: http://www.ithowto.com/microsoft/w2kdhcpslp.htm http://support.novell.com/cgi-bin/search/searchtid.cgi?/10054413.htm http://support.microsoft.com/kb/q285019/ Vielen lieben Dank ! MfG Mr. Oiso

Hi Board ! Nutze AK-Mail ! Funktioniert eingendlich super ! Ist zwar nicht besonders komfortabel, aber reicht ! Dafür lässt sich das Ding super archivieren. "DOS like" Copy/Paste fertig. Und läuft auch danach wieder ! :-) Ist mit "KMail" eventuell AK-Mail gemeint ? Kann sonst nicht abstimmen, oder müsste auch Tobit Info Center angeben ! Greez@all Mr. Oiso

Hi ck84 Das klingt alles sehr einfach bei Dir ! Sicher geht das (hochpriorisieren), jedoch bringt Dir das alles herzlich wenig, wenn Du am dialer nicht genügend Bandbreite hast, um die Packete auch rechtzeitig loszuwerden. (beachte Delay und Jitter) Was zum Beispiel ist denn bei Dir der Dialer für eine Hardware ? ISDN 64K, 128K, .....oder PPoE mit 1024k oder 2048k (ADSL/SDSL) ? Diese Info's sind schon alle sehr entscheident. Nur mal als Beispiel: Was verwenden Deine Telefone im RTP ? G711 oder G729 ? Bedenke G711 over IP = 80kBit = Payload 64k und Header 16k G729 over IP = 24kBit = Payload 8k und Header 16k Da ist es schon entscheident ob Du nun 64kBit/s versenden kannst oder sogar 2048kBit/s Vieleicht macht auch cRTP für Dich Sinn, oder Header Compression ! Halte also erstmal danach ausschau ! Immerhin benötigen 3 G729 Gespräche z.B. schon 90kBit, und dann darf da auch nix mehr zwischen kommen. Ein 1500byte Packet z.B. erzeugt über eine 64K Leitung immerhin schon ein Serialization Delay von 187ms und über 128k 93ms. Und Sip oder H323 sollte nicht länger als 120ms unterwegs sein ! Vieleicht macht auch Fragmentation bei Dir Sinn. Tip: Je nach IOS kannst Du Dir auch eine pdlm nachladen, um mit NBAR SIP und Skinny anstatt von H323 zu markieren. Dann brauchst Du nur noch die Polcies umschreiben. Ansonsten helfen Dir nur ACL's zum Filtern. Beispiel: ip access-list extended VoIP-RTCP permit udp any any range 16384 32767 ip access-list extended VoIP-Control permit tcp any any eq 1720 permit tcp any any range 11000 11999 permit udp any any eq 2427 permit tcp any any eq 2428 permit tcp any any range 2000 2002 permit udp any any eq 1719 permit udp any any eq 5060 MfG Mr. Oiso

Hi Cruiser Antwort auf Deine Frage: Ja ! Bei der Beantwortung der Fragen von darking ergibt sich dieses allerdings schon fast von alleine. Mit der Trusted Boundary ist ja lediglich nur gemeint, dass der Switch dem Telefon vertraut. Das heißt aber im Gegenzug, dass das Telefon seinen Voice Traffic vom ToS her anheben muss und alle anderen Daten (vom PC z.B.) zurücksetzen wird damit es funtioniert. Hier kommt es nun auf die Intelligenz des Telefon's an, was die meisten jedoch bereits können sollten. Mit dieser Intelligenz ist hier auch der Shaper/Policer des Telefon's gemeint. Das Telefon sollte also in der Lage sein, seinen eigenen erzeugten Signalling und RTP/RTCP Traffic mit richtigem ToS oder DSCP zu versehen. Solltest Du jedoch die Fragen von darking mit "Nein" beantworten müssen, dann wird Dir nicht's anderes übrig bleiben, als auf dem Switch zu klassifizieren und zu markieren. Was soviel heißt wie: Du must den Traffic anhand der verwendeten Protokolle identifizieren und anschließend mit einem DSCP Wert versehen (weil er dem Telefon eben nicht vertraut). Dazu solltest Du aber in Erfahrung bringen was die Telefone von Avaya eben können um einen entsprechenden Traffic Filter definieren zu können. Was das Vlan angeht, so meine ich geht das auch. Man kann den Filter auch auf einen gesetzten Vlan Tag setzen, sodass ein Switch oder Router alle Frames mit einem Vlan Tag "X" anschließend mit einem DSCP Wert versieht. Frage an alle : Welche IOS brauche ich damit mein Switch mir unter AutoQoS diese Werte liefert. wrr-queue bandwidth 20 1 80 0 wrr-queue cos-map 1 0 1 2 4 wrr-queue cos-map 3 3 6 7 wrr-queue cos-map 4 5 Bei meinem Test auf einem meiner Switches Cat2950 12.1(22)EA4 schien dies nicht der Fall. Hier muste ich nachhelfen ! Oder ist diese Einstellung doch kein "Default" ? Gruss Mr. Oiso

Hi kr244 Hier Deine Lösung ! Switch#sh mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- All 000d.29d5.4e80 STATIC CPU All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0100.0cdd.dddd STATIC CPU 1 0000.e800.4ef7 DYNAMIC Fa0/47 1 0001.e67e.666f DYNAMIC Fa0/24 1 0002.a5ca.4939 DYNAMIC Fa0/20 1 0002.b3e6.8fcc DYNAMIC Fa0/25 1 0004.76db.f6e0 DYNAMIC Gi0/2 1 0004.76f0.5b85 DYNAMIC Fa0/23 1 000a.e4aa.4715 DYNAMIC Fa0/45 1 000b.8533.0080 DYNAMIC Fa0/25 1 000d.28d8.d681 DYNAMIC Fa0/28 1 0012.d93e.9aaa DYNAMIC Fa0/25 1 0030.05b1.27d1 DYNAMIC Fa0/3 1 0090.7f2f.1eba DYNAMIC Fa0/13 4 000d.28d8.d681 DYNAMIC Fa0/28 5 000d.28d8.d681 DYNAMIC Fa0/28 6 000d.28d8.d681 DYNAMIC Fa0/28 7 000d.28d8.d681 DYNAMIC Fa0/28 20 000d.28d8.d681 DYNAMIC Fa0/28 21 000d.28d8.d681 DYNAMIC Fa0/28 22 000d.28d8.d681 DYNAMIC Fa0/28 50 000d.28d8.d681 DYNAMIC Fa0/28 100 000d.28d8.d681 DYNAMIC Fa0/28 Total Mac Addresses for this criterion: 25 Switch#sh ver Cisco Internetwork Operating System Software IOS C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA2, RELEASE SOFTWARE (fc1) Copyright © 1986-2004 by cisco Systems, Inc. Compiled Mon 08-Nov-04 01:08 by antonino Image text-base: 0x80010000, data-base: 0x8066C000 ROM: Bootstrap program is C2950 boot loader ETESW01 uptime is 12 weeks, 6 days, 22 hours, 37 minutes System returned to ROM by power-on System restarted at 19:55:29 GMT Thu Dec 1 2005 System image file is "flash:/c2950-i6k2l2q4-mz.121-22.EA2.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. cisco WS-C2950G-48-EI (RC32300) processor (revision K0) with 20015K bytes of memory. Processor board ID FOC0726W153 Last reset from system-reset Running Enhanced Image 48 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) 32K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address: 00:0D:29:D5:4E:80 Motherboard assembly number: 73-7409-12 Power supply part number: 34-0965-01 Motherboard serial number: FOC07260ABR Power supply serial number: DAB07226LQL Model revision number: K0 Motherboard revision number: A0 Model number: WS-C2950G-48-EI System serial number: FOC0726W153 Configuration register is 0xF Switch# Sogar mit Vlan Zuordnung ! :D MfG Mr. Oiso

hi elkono Das Image vom 3500er ist nen altes ....... Gerade das XU Release war nur für bestimmte Anwendungen. z.B. die Sache mit dem XStack Adaptern. Eventuell etwas buggy bezgl. Vlan. Aber die Sache mit der Antenne, ja die muss man extra bestellen. Je nach Verwendung können an den AP externe oder Hausantennen. z.B. Patchantennen oder den Standard Rundstrahler (etwa 20cm lang zum abwinkeln) Natürlich gehen auch Parabol oder Yagi Antennen, aber eben genau deswegen werden die Antennen halt extra geliefert. MfG Mr. Oiso

hi frosch007 Super ! Läuft es denn nun ? Lass auch andere an Deinem Erfolg teilhaben ! Greez Mr. Oiso

Hi darkjedi Die Produktbezeichnung wird soviel ich weiß weder über eine IOS noch CatOS irgendwo ausgegeben ! Sollte man einfach wissen ! WS-G5484= 1000Base-SX GBIC WS-G5486= 1000Base-LX/LH long haul GBIC WS-G5487= 1000Base-ZX extended reach GBIC MfG Mr. Oiso

Hi Cruiser Zu Frage 1 : Nein ! Du bist nicht gezwungen, Du kannst auch alles im Vlan 1 (Native Vlan on Cat 2950) belassen, jedoch musst Du Dich dann auf Applikationsebene darum kümmern, dass das Telefon einen DSCP oder ToS Wert sendet, wenn es das nicht schon von alleine macht. Interessant an dieser stelle wäre dann nur was das Telefon sendet ! DiffServ nach RFC2474 oder RFC791 Also ToS oder DSCP Wert im IP Header! Danach richtet sich dann anschließend Dein Traffic-Management am Switch. Entweder musst Du eine Classification nach IP Precedence 0-7 vornehmen, oder Du kannst dem DSCP Wert vom Telefon übernehmen. Wenn das allerdings nicht geht musst Du auf Protokoll Ebene rauf. Heißt dann aber Filter bauen (ACL) in denen Du z.B. RTP oder cRTP findest um die DSCP oder CoS Werte anschließend für das Netzwerk zu setzen. Hier wirst Du dann aber TCP und UDP Ports/Ranges für's Filtern nutzen müssen, da der Switch z.B. nicht wie ein Router über NBAR verfügt, und die Protokolle am Traffic Folw erkennt. Also nix mit --- match H323,SIP,Skinny,RTP etc ! Teste aber am besten erst mal mit : mls qos trust dscp Somit liesst er erst mal den IP-Header (Layer3) und nimmt QoS mit DSCP-CoS vor. Den : mls qos trust cos wirst Du ohne Vlan nicht nutzen können, denn den CoS Wert liesst der Switch aus dem 802.1q auf Layer 2 aus ! zu Frage 2 : Hat sich damit schon fast erledigt. Kein Vlan , kein 802.1q, kein CoS, keine Classification auf Layer 2 ! Aber bedenke, der Cat kann auch DSCP (Layer 3) lesen, womit er natürlich in der Lage wäre Deine gewünschte Priorisierung vorzunehmen. Frage: Welches IOS Image hast Du auf dem Cat2950 ? Ein Enhanced Image sollte es schon sein, den das Standard Image kann das dann wiederum nicht. Welches Protokoll fährst Du ? SIP oder H323 ? Dann guck ich heute Abend mal nach ner guten Filter ACL mit der Du eine Classifizierung vornehmen könntest. MfG Mr. Oiso

Hi darkjedi Ist es das, was Du suchst ? Klappt auch, wenn GBic steckt und nicht aktiv ist ! :D Switch#sh int gig 0/1 GigabitEthernet0/1 is down, line protocol is down (notconnect) Hardware is Gigabit Ethernet, address is 000d.29d5.4eb1 (bia 000d.29d5.4eb1) MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto-speed, media type is SX input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 12w0d, output 12w0d, output hang never Last clearing of "show interface" counters 03:26:28 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts (0 multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out Switch# MfG Mr. Oiso

hi Cruiser Natürlich geht das ! Sonst wäre es ja kein Cisco Switch :D ! Jedoch gleich ne Gegenfrage, um die Sache so einfach wie möglich zu halten ! Sind Deine Telefone auch von Avaya ? Wenn nicht, sonder Cisco, dann wäre die Porteinstellung easy. (config-if)#auto qos voip cisco-softphone oder (config-if)#auto qos voip cisco-phone Damit handelt der Switch dann auch gleich das Vlan inkl. tagging aus. Macht er über Protocol "cdp" Habe gehört, kann mich auch irren, dass Avaya auch schon "cdp" spricht. Cisco generiert dann automatisch das Vlan Voice und setzt auch den Trunk zum Telefon, wobei die Switchports des Telefones weiterhin im Native Vlan bleiben (für Data). Sollte das nicht der Fall für Dich sein, so wirst Du wohl erstmal den Vlan Trunk für Voice und Data konfigurieren müssen. Danach sollte dann der Portbefehl (config-if)#auto qos voip trust ausreichen, um Dir erstmal den Port für DSCP oder Cos sensitiv zu schalten. Dieses musst Du tun, damit der Switch mit der "Class of Service" arbeiten kann. Er erstellt dann auch automatisch folgendes: wrr-queue bandwidth 10 20 70 1 wrr-queue cos-map 1 0 1 wrr-queue cos-map 2 2 4 wrr-queue cos-map 3 3 6 7 wrr-queue cos-map 4 5 mls qos map cos-dscp 0 8 16 26 32 46 48 56 interface FastEthernet0/41 mls qos trust cos auto qos voip trust Ausgelesen wird damit also der 802.1q Tag (DSCP) 6Bit entspricht (ToS+3) Indem Du den Port auf Trust setzt vertraut nun der Switch den Werten, welches das Telefon setzt. Wahrscheinlich sendet es bereits per default mit einem DSCP Wert 40 oder 46 ! Dieses entspricht etwa CoS 5 , siehe Switch#sh mls qos maps Dscp-cos map: dscp: 0 8 10 16 18 24 26 32 34 40 46 48 56 ----------------------------------------------- cos: 0 1 1 2 2 3 3 4 4 5 5 6 7 Cos-dscp map: cos: 0 1 2 3 4 5 6 7 -------------------------------- dscp: 0 8 16 26 32 46 48 56 Bei dieser default map sind 40 und 46 eingehend schon cos 5, ausgehend jedoch setzt der Switch dann aber DSCP 46 ! WRR wird nun enabled ! Weighted Round Robin, obwohl das interface die Queuing Strategie fifo behält. fifo für jede Queue einzeln. (bleibt so) wrr-queue bandwidth 10 20 70 1 Regelt nun, wie oft die einzelnen Queues bedient werden. wrr-queue bandwidth Q1 Q2 Q3 Q4 Deshalb mach es im Fall von VoIP mehr Sinn mit eine Priority Queue zu arbeiten. z.B. so : wrr-queue bandwidth 20 1 80 0 wrr-queue cos-map 1 0 1 2 4 wrr-queue cos-map 3 3 6 7 wrr-queue cos-map 4 5 Mit der 0 im bandwith command machst Du die Queue 4 zum "King" Die wird immer entleert, sobald was rein kommt. Die Werte 1-255 sind prozentualer Natur. Die 0 kannst Du übrigens nur einmal und genau für die Queue 4 setzten. Info : Teste ruhig mal mit "auto qos" Die Einstellungen lassen sich anschließend auch leicht "alle" mit "no auto qos" wieder beseitigen. Soviel erst mal vor ab ! Sonst fragen, der ICQoS ist noch ganz frisch ! :D MfG Mr. Oiso

Hi raphael26 Das wird so einfach nicht gehen. Deine Konfigurationen sind zwar im AscII Format auf Deinem PC z.B. Datei "Router-confg" Wenn Du diese mit Word-Pad oder Editor änderst und abspeicherst, dann verlierst Du das original Format. Davor wirst Du auch vorher gewarnt. Wenn Du also eine solche geänderte Datei dann via "copy tftp run" wieder ins flash kopierst, wird der Router wohl nicht mehr starten, da er die Config nicht lesen kann. Hier bleibt Dir nur die Möglichkeit, eine Konfigurationsänderung per Copy/Paste vorzunehmen. Also nimmst Du Dein Text-File vund tippst die Commands hinein, als wärst Du via telnet oder console connected. z.B. conf t int fast 0/0 speed 100 duplex full end copy run start exit Soetwas würde z.B. dazu genutzt werden um dem eth 0/0 full-duplex 100 beizubiegen und gleichzeitig abzuspeichern. Auch bei den ACL solltest Du vorsichtig sein. Eine extended named ACL kannst Du, so glaube ich, "on the fly" editieren. Beispiel: ip access-list extended NONAT deny ip 172.19.16.0 0.0.15.255 192.168.1.0 0.0.0.255 permit ip 172.19.16.0 0.0.15.255 any deny ip 172.26.105.0 0.0.0.255 192.168.1.0 0.0.0.255 Eine normale ACL eben nicht. Hier würde Deine Editierung am Ende der Liste angefügt. z.B. access-list 101 remark generated by XXX access-list 101 remark Test-ACL access-list 101 permit esp any any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 permit tcp any any eq 22 access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 101 permit icmp any host x.y.z.a In dieser Liste könnte somit der letzte Eintrag nie matchen, da vorher alles verboten wurde. Ergo musst Du die komplette ACL löschen und neu pasten ! z.B. conf t no ip access-list 101 access-list 101 remark generated by XXX access-list 101 remark Test-ACL access-list 101 permit esp any any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 permit tcp any any eq 22 access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 permit icmp any host x.y.z.a access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any exit copy run start exit Danach kannst Du die Config neu abspeichern copy run tftp Erst das Ergebnis davon lässt sich später wieder mit "copy tftp start" nutzen. Auch mit "copy tftp run" wäre ich vorsichtig, sollte nämlich vorher etwas konfiguriert sein, würde der Router die Konfiguration miteinander vereinen, was durchaus kein optimales Ergebnis bringt. MfG Mr. Oiso

Hi maho Aber natürlich ! Du könntest, wen du kein Internet laufen haben willst den Traffic komplett "zu" machen mit einer ACL welche nur noch IPSec sprich: permit esp host x.x.x.x any permit udp host x.x.x.x any eq isakmp zulässt. In jedem Fall musst Du die ACL am dialer unabhängig von der Crypto-Map sehen. Die ACL an der Crypto-Map ist nur für den VPN, und die andere nur....für den Rest ! Greez Mr. Oiso

hi elkono Super ! Fehler gefunden wie ich sehe ! Aber wenn man das Native Vlan von default "1" auf ein anderes dreht, dann sollte man...... O.k. ! Scherz beiseite, allerdings hätte ich von dem Switch dann die Fehlermeldung native vlan missmatch erwartet ! Kam diese nicht ? Welche IOS hast Du auf dem 3500er laufen ? MfG Mr. Oiso

Hi frosch007 Na das sieht doch schon mal nach was aus ! Also, entweder hast Du hier keine echte ISDN (externe SO), sondern eine Analoge Leitung, oder Du hängst an eine PBX ( Telefonanlage mit einem internen SO) BRI0: wait for isdn carrier timeout, call id=0x8002 Was der Router hier mit signalisiert, ist : Er wartet auf das Freizeichen, welches nach Ablauf des default time-out nicht kommt, oder gänzlich ausbleibt. ***************************************************************** The reason for using a system based on right-most matching is that a given number can be represented in many different ways. For example, all the following items might be used to represent the same number, depending on the circumstances (international call, long-distance domestic call, call through a PBX, and so forth): 011 1 408 556 7654 1 408 556 7654 408 556 7654 556 7654 6 7654 ***************************************************************** Hängt der Router also wirklich am NTBA eines ISDN Anschlusses ? Oder benötigt die Telefonanlage eventuell eine "0" für's Amt ? Schalte mal die Debugger ein ! debug isdn events debug isdn q921 debug isdn q931 Ansonsten dreh mal die "dialer wait-for-carrier timeout" nach oben und schau mal was passiert ! Am besten alle Debugger einschalten, natürlich auch die, die rob-67 schon erwähnte, und Ergebnis posten ! MfG Mr. Oiso

hi hivo löl ! Na das war ja einfach ! Ich glaube demnächst empfehle ich immer mal pauschal vorab nen IOS-Wechsel ! hihi ! Viel Spass mit dem Teil ! MfG Mr. Oiso

hi hivo Soviel zu dem was Cisco sagt : Configuration Example The following configuration example shows a portion of the configuration file for the wireless LAN scenario described in the preceding sections. ! bridge irb ! interface Dot11Radio0 no ip address ! broadcast-key vlan 1 change 45 ! encryption vlan 1 mode ciphers tkip ! ssid cisco vlan 1 authentication open authentication network-eap eap_methods authentication key-management wpa ! ssid ciscowep vlan 2 authentication open ! ssid ciscowpa vlan 3 authentication open ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 rts threshold 2312 power local cck 50 power local ofdm 30 channel 2462 station-role root ! interface Dot11Radio0.1 description Cisco Open encapsulation dot1Q 1 native no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 spanning-disabled bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding ! interface Dot11Radio0.2 encapsulation dot1Q 2 bridge-group 2 bridge-group 2 subscriber-loop-control bridge-group 2 spanning-disabled bridge-group 2 block-unknown-source no bridge-group 2 source-learning no bridge-group 2 unicast-flooding ! interface Dot11Radio0.3 encapsulation dot1Q 3 bridge-group 3 bridge-group 3 subscriber-loop-control bridge-group 3 spanning-disabled bridge-group 3 block-unknown-source no bridge-group 3 source-learning no bridge-group 3 unicast-flooding ! interface Vlan1 no ip address bridge-group 1 bridge-group 1 spanning-disabled ! interface Vlan2 no ip address bridge-group 2 bridge-group 2 spanning-disabled ! interface Vlan3 no ip address bridge-group 3 bridge-group 3 spanning-disabled ! interface BVI1 ip address 10.0.1.1 255.255.255.0 ! interface BVI2 ip address 10.0.2.1 255.255.255.0 ! interface BVI3 ip address 10.0.3.1 255.255.255.0 ++++++++++++++++++++++++++++++++++++++++++++++ Irgendwie gefällt mir das hier nicht so sonderlich ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 10.1.0.105 255.255.0.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 bridge-group 1 bridge-group 1 spanning-disabled Warum "NAT" inbound Vlan 1 ! Habe selber auch den 871 nur ohne Wlan konfiguriert, dafür aber diverse 1200 oder 1300 Access Points und für jeden dieser Geräte, hab ich sowas nicht als Example Konfiguration (oder als default via Web Interface Konfiguration) gesehn. Also ich würde erst mal das "Nat" rausschmeißen. Ich kann mir auch nicht vorstellen, dass das von Anfang mit drin war in der Config. Sollte das nicht reichen, mach erst mal nen Test im "open authentication mode" Also : no authentication network-eap eap_methods no authentication key-management wpa Siehe Beispiel Vlan 2 und 3. Wenn alles nix hilft, mach das Vlan 1 wieder zum BVI Teilnehmer und konfiguriere die IP von Vlan 1 ans BVI ! Das denke ich sollte eher "default" sein ! Und notfalls ohne dem hier : "broadcast-key vlan 1 change 45" steht nämlich hierfür ! Note Client devices using static Wired Equivalent Privacy (WEP) cannot use the access point when you enable broadcast key rotation—only wireless client devices using 802.1x authentication (such as Light Extensible Authentication Protocol [LEAP], Extensible Authentication Protocol-Transport Layer Security [EAP-TLS], or Protected Extensible Authentication Protocol [PEAP]) can use the access point. MfG Mr. Oiso

Hi exhibit, ergänzend zu michael01, wenn der router neu ist, dann sollte die SDM eventuell sogar auf der CD sein. Den letzten 871 den ich in den Händen hatte, war auch mit SDM zusammen geliefert gekommen. Die SDM gibt es im moment min in der Version 2 oder höher. Dazu solltest Du bei Cisco genug zum Doing online finden ! Download : http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm Install_Guide: http://www.cisco.com/en/US/partner/products/sw/secursw/ps5318/prod_installation_guide09186a00803e4727.html MfG Mr. Oiso

Hi maho Wie Rob schon gesehen hat ! Somit kannst du sicher nicht mal von Ethernet den Tunnel triggern, oder ? Und warum triggerst Du den Tunnel überhaupt über das Loopback ? Wozu möchtest Du das Loopback nutzen ? Internet läuft über diesen Router doch auch nicht, oder ? Und warum möchtest Du den Tunnel-Traffic wieder wie früher über die Internet_In ACL konfigurieren ? Du kannst Dir eine ACL direkt auf die Crypto-map binden mit der neuen 12.4 IOS. Genau das ist doch der Traffic, welchen Du filtern möchtest, oder ? Mache einfach eine neue Access-List und binde sie mit : Sieht dann etwa so auss ! crypto map to_vpn 10 ipsec-isakmp set peer xxx set transform-set to_vpn set ip access-group xxx in (oder) out match address 100 Greetings Mr. Oiso

Hi elkono Hört sich aber übel an ! Wie hast Du den Vlan-Trunk auf der AccessPoint Seite konfiguriert ? Dieses hier sieht so aus als hättest Du nen alten 3500 Series Switch config switch port zum AP: #int fas 0/20 -if)#switchport trunk encapsul dot1q -if)#switc mode trunk Und was die Konfiguration angeht, soweit erstmal o.k. Aber hast Du auch auf dem AccessPoint 802.1q auf den Subinterfaces vom Ethernet laufen ? Gibt es dort auch für jedes Vlan ein "sub" - interface Dot11Radio0.1 ? Das sollte dann etwa so aussehen ! interface Dot11Radio0.10 encapsulation dot1Q 10 native ! AP's are placed in this VLAN no ip proxy-arp no ip route-cache no cdp enable bridge-group 1 bridge-group 1 spanning-disabled ! If the virtual interfaces are configured via the HTTP GUI ! the bridge-group settings will be configured automatically ! interface Dot11Radio0.20 encapsulation dot1Q 20 ! Clients are placed in this VLAN no ip route-cache no cdp enable bridge-group 20 bridge-group 20 subscriber-loop-control bridge-group 20 block-unknown-source no bridge-group 20 source-learning no bridge-group 20 unicast-flooding bridge-group 20 spanning-disabled interface BVI1 ip address 192.168.1.40 255.255.255.0 no ip route-cache Und die IP deines AccessPoint ist hier im BVI1 konfiguriert ! Nicht am Ethernet ! Poste doch mal die AccessPoint Config, dann kann man mehr sagen ! Und schalte mal des Terminal monitoring ein, eventuell hast du ja nur nen Vlan missmatch Problem ! MfG Mr. Oiso

Hi Frosch007 Ja, so einen Befehl gibt es ! Probiere es mal mit : Testmaschine#isdn test call interface bri 1/1 ? WORD Dialing string Testmaschine#isdn test call interface bri 1/1 12376596 ? speed Set isdn data call speed <cr> Testmaschine#isdn test call interface bri 1/1 12376596 ? speed Set isdn data call speed <cr> Testmaschine#isdn test call interface bri 1/1 12376596 speed ? 56 56K bps 64 64K bps Testmaschine#isdn test call interface bri 1/1 12376596 speed 64 <cr> Have a nice weekend ! Gruß Mr. Oiso

Hi m1k3 Gratuliere zur bestandenen Prüfung ! :) Da proste ich gleich mal an,....... auf eine neue Cisco Karriere ! MfG Mr. Oiso

! interface Dialer1 description External $FW_OUTSIDE$ ip address negotiated ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect myfw-out out ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap pap callin ppp chap hostname Test.testuser.com ppp chap password 7 xxxxxxxxxxxxxxxxxxxxxxx ppp pap sent-username Test.testuser.com password 7 xxxxxxxxxxxxxxxxxxxxxxxx ppp ipcp dns request ppp ipcp wins request crypto map OSNL hold-queue 224 in ! ip local pool dynvpn 192.168.37.1 192.168.37.100 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.1.16.0 255.255.255.0 192.168.7.1 ip route 172.16.0.0 255.255.0.0 10.10.10.100 ip route 192.168.6.0 255.255.255.0 192.168.7.1 ip http server ip http authentication local ip http secure-server ! ip nat inside source list 140 interface Dialer1 overload ip nat inside source static tcp 192.168.7.1 3389 interface Dialer1 3389 ! ! ip access-list extended UNKNOWN ip access-list extended addr-pool ip access-list extended dns-servers ip access-list extended keinNAT permit ip host 192.168.7.1 172.16.0.0 0.0.255.255 permit ip host 192.168.7.1 192.168.37.0 0.0.0.255 ip access-list extended key-exchange ip access-list extended tunnel-password ip access-list extended wins-servers access-list 100 remark Cisco Express firewall configuration Trusted access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark Cisco Express firewall configuration External access-list 101 permit tcp any any eq 3389 access-list 101 permit esp any any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 deny ip 192.168.7.0 0.0.0.255 any access-list 101 permit tcp any any eq 2001 access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 112 remark ACL-to-Crypto-Map access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.7.0 0.0.0.255 access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255 access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.7.0 0.0.0.255 access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.6.0 0.0.0.255 access-list 112 deny ip any any access-list 140 remark Kein-NAT access-list 140 deny ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 140 deny ip 192.168.7.0 0.0.0.255 192.168.37.0 0.0.0.255 access-list 140 deny tcp 192.168.7.0 0.0.0.255 eq 3389 any access-list 140 deny tcp 192.168.7.0 0.0.0.255 any eq 3389 access-list 140 permit ip 192.168.7.0 0.0.0.255 any access-list 140 remark VPN-Traffic access-list 160 permit ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 160 permit ip 192.168.6.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 160 permit ip 10.1.16.0 0.0.0.255 172.16.0.0 0.0.255.255 dialer-list 1 protocol ip permit no cdp run route-map nonat permit 10 match ip address 140 ! route-map before-nat permit 10 match ip address keinNAT set ip next-hop 192.168.37.253 ! ! control-plane ! ! line con 0 exec-timeout 120 0 no modem enable stopbits 1 line aux 0 line vty 0 4 exec-timeout 120 0 login local length 0 transport input telnet ssh ! scheduler max-task-time 5000 end Test-Router# MfG Mr. Oiso

Hi Thomas Hier die Konfiguration: Test-Router#sh run Building configuration... Current configuration : 7973 bytes ! version 12.3 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Test-Router ! boot-start-marker boot-end-marker ! no logging buffered no logging console enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ! username XXXXXXXXX privilege 15 password 7 xxxxxxxxxxxxxx no aaa new-model ip subnet-zero no ip source-route ! ! ip domain name Test-LAN.local ip name-server 10.10.10.10 ip name-server 10.10.10.11 no ip bootp server ip inspect udp idle-time 1800 ip inspect name myfw-in cuseeme timeout 3600 ip inspect name myfw-in ftp timeout 3600 ip inspect name myfw-in rcmd timeout 3600 ip inspect name myfw-in realaudio timeout 3600 ip inspect name myfw-in smtp timeout 3600 ip inspect name myfw-in tftp timeout 30 ip inspect name myfw-in udp timeout 15 ip inspect name myfw-in h323 timeout 3600 ip inspect name myfw-in tcp timeout 3600 ip inspect name myfw-out cuseeme ip inspect name myfw-out ftp ip inspect name myfw-out h323 ip inspect name myfw-out icmp ip inspect name myfw-out netshow ip inspect name myfw-out rcmd ip inspect name myfw-out realaudio ip inspect name myfw-out rtsp ip inspect name myfw-out esmtp ip inspect name myfw-out sqlnet ip inspect name myfw-out streamworks ip inspect name myfw-out tftp ip inspect name myfw-out tcp ip inspect name myfw-out udp ip inspect name myfw-out vdolive ip ips po max-events 100 ip ssh port 2001 rotary 1 ip ssh source-interface Dialer1 no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share ! crypto isakmp policy 20 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxxx address 10.10.10.100 no crypto isakmp ccm crypto isakmp client configuration address-pool local dynvpn ! crypto isakmp client configuration group MobileVPN-UK key xxxxxxxxxx dns 192.168.7.1 domain Test-LAN.local pool dynvpn ! ! crypto ipsec transform-set sharks esp-3des esp-sha-hmac crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 1 set transform-set transform-1 reverse-route ! ! crypto map OSNL isakmp authorization list MobileVPN-UK crypto map OSNL client configuration address respond crypto map OSNL 1 ipsec-isakmp dynamic dynmap crypto map OSNL 10 ipsec-isakmp set peer 10.10.10.100 set ip access-group 112 in set transform-set sharks match address 160 ! ! ! interface Loopback0 ip address 192.168.37.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ! interface Ethernet0 description Trusted $FW_INSIDE$ ip address 192.168.7.254 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip inspect myfw-in in ip virtual-reassembly ip route-cache policy ip policy route-map before-nat no ip mroute-cache hold-queue 100 out ! interface ATM0 description $ES_WAN$ no ip address no ip redirects no ip unreachables no ip proxy-arp no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 0/38 encapsulation aal5mux ppp dialer dialer pool-member 1 ! ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed auto