mr._oiso

Hi Anakim

 

Info :

 

"vlan database" ist kein terminal command !

 

Schon mal in die "dir" geschaut ?

oder "sh flash" ?

Da sollte eine vlan.dat liegen, wenn nicht, dann hast Du bis jetzt nur nen

L3 Interface Vlan X gebaut.

 

Choose :

 

Switch#vlan database

Switch(vlan)#?

VLAN database editing buffer manipulation commands:

abort Exit mode without applying the changes

apply Apply current changes and bump revision number

exit Apply changes, bump revision number, and exit mode

no Negate a command or set its defaults

reset Abandon current changes and reread current database

show Show database information

vlan Add, delete, or modify values associated with a single VLAN

vtp Perform VTP administrative functions.

 

Switch(vlan)#

 

Nur so baut man ein Vlan auf L2 Ebene !

 

Greez

 

Mr. Oiso

Hallo Board, hallo Windows Experten,

 

suche dringend nach korrekten Informationen wie man auf einem DHCP

unter Win2K die Scopes 076 und 078 für eine Novell Umgebung 5.x beim

Systemstart mitgeben kann.

 

Verwende den Novell-Client für 2000/XP Version 4.91 SP2 im Netzwerk

mit zwei ADS Controllern und einem Novell-Server 5.x

Leider hat der Novell nen IP/IPX Stack, mit welchem ich einmal eine

Warenwirtschaft über IPX betreibe, und Printservices über IP.

Zu dumm also, um am Client eines der beiden Protokolle abschalten zu können.

Jedoch reicht es nicht aus, IP als bevorzugtes Protokoll einzurichten.

 

Dadurch das der Client diese Einstellungen nicht bekommt, wird im IPX also

keine unicast, sonder multicast verwendet um den SLP DA zu finden.

Ähnlich wie der Masterbrowser unter NT !

Jedoch scheint mir damit die Leistungsfähigkeit des Netzwerk's arg beeinträchtigt.

 

Teilweise benötigt ein Clientsystem bis zu 40-60 sec bevor es sich im Stande sieht,

sich am Novell anzumelden.

 

Hat hier irgend jemand Erfahrungen zu den Knowledges unter:

 

http://www.ithowto.com/microsoft/w2kdhcpslp.htm

 

http://support.novell.com/cgi-bin/search/searchtid.cgi?/10054413.htm

 

http://support.microsoft.com/kb/q285019/

 

Vielen lieben Dank !

 

MfG

 

Mr. Oiso

Hi Board !

 

Nutze AK-Mail ! Funktioniert eingendlich super !

Ist zwar nicht besonders komfortabel, aber reicht !

Dafür lässt sich das Ding super archivieren. "DOS like"

Copy/Paste fertig.

Und läuft auch danach wieder ! :-)

 

Ist mit "KMail" eventuell AK-Mail gemeint ?

 

Kann sonst nicht abstimmen, oder müsste auch Tobit Info Center angeben !

 

 

Greez@all

 

Mr. Oiso

Hi ck84

 

Das klingt alles sehr einfach bei Dir !

Sicher geht das (hochpriorisieren), jedoch bringt Dir das alles herzlich wenig,

wenn Du am dialer nicht genügend Bandbreite hast, um die Packete auch

rechtzeitig loszuwerden. (beachte Delay und Jitter)

 

Was zum Beispiel ist denn bei Dir der Dialer für eine Hardware ?

ISDN 64K, 128K, .....oder PPoE mit 1024k oder 2048k (ADSL/SDSL) ?

 

Diese Info's sind schon alle sehr entscheident.

Nur mal als Beispiel:

Was verwenden Deine Telefone im RTP ? G711 oder G729 ?

Bedenke

G711 over IP = 80kBit = Payload 64k und Header 16k

G729 over IP = 24kBit = Payload 8k und Header 16k

 

Da ist es schon entscheident ob Du nun 64kBit/s versenden kannst oder sogar 2048kBit/s

 

Vieleicht macht auch cRTP für Dich Sinn, oder Header Compression !

 

Halte also erstmal danach ausschau !

Immerhin benötigen 3 G729 Gespräche z.B. schon 90kBit, und dann darf da auch nix mehr

zwischen kommen.

 

Ein 1500byte Packet z.B. erzeugt über eine 64K Leitung immerhin schon ein

Serialization Delay von 187ms und über 128k 93ms.

Und Sip oder H323 sollte nicht länger als 120ms unterwegs sein !

Vieleicht macht auch Fragmentation bei Dir Sinn.

 

Tip:

Je nach IOS kannst Du Dir auch eine pdlm nachladen, um mit NBAR SIP und Skinny

anstatt von H323 zu markieren.

Dann brauchst Du nur noch die Polcies umschreiben.

 

Ansonsten helfen Dir nur ACL's zum Filtern.

 

Beispiel:

 

ip access-list extended VoIP-RTCP

permit udp any any range 16384 32767

 

ip access-list extended VoIP-Control

permit tcp any any eq 1720

permit tcp any any range 11000 11999

permit udp any any eq 2427

permit tcp any any eq 2428

permit tcp any any range 2000 2002

permit udp any any eq 1719

permit udp any any eq 5060

 

 

MfG

 

Mr. Oiso

Hi Cruiser

 

Antwort auf Deine Frage: Ja !

 

Bei der Beantwortung der Fragen von darking ergibt sich dieses allerdings schon fast von alleine. Mit der Trusted Boundary ist ja lediglich nur gemeint, dass der Switch dem

Telefon vertraut. Das heißt aber im Gegenzug, dass das Telefon seinen Voice Traffic

vom ToS her anheben muss und alle anderen Daten (vom PC z.B.) zurücksetzen wird

damit es funtioniert. Hier kommt es nun auf die Intelligenz des Telefon's an, was die meisten jedoch bereits können sollten.

Mit dieser Intelligenz ist hier auch der Shaper/Policer des Telefon's gemeint.

Das Telefon sollte also in der Lage sein, seinen eigenen erzeugten

Signalling und RTP/RTCP Traffic mit richtigem ToS oder DSCP zu versehen.

 

Solltest Du jedoch die Fragen von darking mit "Nein" beantworten müssen, dann wird Dir

nicht's anderes übrig bleiben, als auf dem Switch zu klassifizieren und zu markieren.

 

Was soviel heißt wie:

Du must den Traffic anhand der verwendeten Protokolle identifizieren und anschließend mit

einem DSCP Wert versehen (weil er dem Telefon eben nicht vertraut).

Dazu solltest Du aber in Erfahrung bringen was die Telefone von Avaya eben können um einen entsprechenden Traffic Filter definieren zu können.

 

Was das Vlan angeht, so meine ich geht das auch. Man kann den Filter auch auf einen

gesetzten Vlan Tag setzen, sodass ein Switch oder Router alle Frames mit einem Vlan Tag "X" anschließend mit einem DSCP Wert versieht.

 

Frage an alle :

Welche IOS brauche ich damit mein Switch mir unter AutoQoS diese Werte liefert.

wrr-queue bandwidth 20 1 80 0

wrr-queue cos-map 1 0 1 2 4

wrr-queue cos-map 3 3 6 7

wrr-queue cos-map 4 5

 

Bei meinem Test auf einem meiner Switches Cat2950 12.1(22)EA4 schien dies nicht der Fall. Hier muste ich nachhelfen !

Oder ist diese Einstellung doch kein "Default" ?

 

Gruss

 

Mr. Oiso

Hi kr244

 

Hier Deine Lösung !

 

Switch#sh mac-address-table

Mac Address Table

-------------------------------------------

 

Vlan Mac Address Type Ports

---- ----------- -------- -----

All 000d.29d5.4e80 STATIC CPU

All 0100.0ccc.cccc STATIC CPU

All 0100.0ccc.cccd STATIC CPU

All 0100.0cdd.dddd STATIC CPU

1 0000.e800.4ef7 DYNAMIC Fa0/47

1 0001.e67e.666f DYNAMIC Fa0/24

1 0002.a5ca.4939 DYNAMIC Fa0/20

1 0002.b3e6.8fcc DYNAMIC Fa0/25

1 0004.76db.f6e0 DYNAMIC Gi0/2

1 0004.76f0.5b85 DYNAMIC Fa0/23

1 000a.e4aa.4715 DYNAMIC Fa0/45

1 000b.8533.0080 DYNAMIC Fa0/25

1 000d.28d8.d681 DYNAMIC Fa0/28

1 0012.d93e.9aaa DYNAMIC Fa0/25

1 0030.05b1.27d1 DYNAMIC Fa0/3

1 0090.7f2f.1eba DYNAMIC Fa0/13

4 000d.28d8.d681 DYNAMIC Fa0/28

5 000d.28d8.d681 DYNAMIC Fa0/28

6 000d.28d8.d681 DYNAMIC Fa0/28

7 000d.28d8.d681 DYNAMIC Fa0/28

20 000d.28d8.d681 DYNAMIC Fa0/28

21 000d.28d8.d681 DYNAMIC Fa0/28

22 000d.28d8.d681 DYNAMIC Fa0/28

50 000d.28d8.d681 DYNAMIC Fa0/28

100 000d.28d8.d681 DYNAMIC Fa0/28

Total Mac Addresses for this criterion: 25

Switch#sh ver

Cisco Internetwork Operating System Software

IOS C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA2, RELEASE SOFTWARE (fc1)

Copyright © 1986-2004 by cisco Systems, Inc.

Compiled Mon 08-Nov-04 01:08 by antonino

Image text-base: 0x80010000, data-base: 0x8066C000

 

ROM: Bootstrap program is C2950 boot loader

 

ETESW01 uptime is 12 weeks, 6 days, 22 hours, 37 minutes

System returned to ROM by power-on

System restarted at 19:55:29 GMT Thu Dec 1 2005

System image file is "flash:/c2950-i6k2l2q4-mz.121-22.EA2.bin"

 

 

This product contains cryptographic features and is subject to United

States and local country laws governing import, export, transfer and

use. Delivery of Cisco cryptographic products does not imply

third-party authority to import, export, distribute or use encryption.

Importers, exporters, distributors and users are responsible for

compliance with U.S. and local country laws. By using this product you

agree to comply with applicable laws and regulations. If you are unable

to comply with U.S. and local laws, return this product immediately.

 

A summary of U.S. laws governing Cisco cryptographic products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

 

If you require further assistance please contact us by sending email to

export@cisco.com.

 

cisco WS-C2950G-48-EI (RC32300) processor (revision K0) with 20015K bytes of memory.

Processor board ID FOC0726W153

Last reset from system-reset

Running Enhanced Image

48 FastEthernet/IEEE 802.3 interface(s)

2 Gigabit Ethernet/IEEE 802.3 interface(s)

 

32K bytes of flash-simulated non-volatile configuration memory.

Base ethernet MAC Address: 00:0D:29:D5:4E:80

Motherboard assembly number: 73-7409-12

Power supply part number: 34-0965-01

Motherboard serial number: FOC07260ABR

Power supply serial number: DAB07226LQL

Model revision number: K0

Motherboard revision number: A0

Model number: WS-C2950G-48-EI

System serial number: FOC0726W153

Configuration register is 0xF

 

Switch#

 

 

 

 

Sogar mit Vlan Zuordnung ! :D

 

MfG

 

Mr. Oiso

hi elkono

 

Das Image vom 3500er ist nen altes .......

Gerade das XU Release war nur für bestimmte Anwendungen.

z.B. die Sache mit dem XStack Adaptern.

Eventuell etwas buggy bezgl. Vlan.

 

Aber die Sache mit der Antenne, ja die muss man extra bestellen.

Je nach Verwendung können an den AP externe oder Hausantennen.

z.B. Patchantennen oder den Standard Rundstrahler (etwa 20cm lang zum

abwinkeln)

Natürlich gehen auch Parabol oder Yagi Antennen, aber eben genau deswegen

werden die Antennen halt extra geliefert.

 

MfG

 

Mr. Oiso

hi frosch007

 

Super !

 

Läuft es denn nun ?

Lass auch andere an Deinem Erfolg teilhaben !

 

Greez

 

Mr. Oiso

Hi darkjedi

 

Die Produktbezeichnung wird soviel ich weiß weder über eine IOS noch

CatOS irgendwo ausgegeben !

 

Sollte man einfach wissen !

 

WS-G5484=

1000Base-SX GBIC

 

WS-G5486=

1000Base-LX/LH long haul GBIC

 

WS-G5487=

1000Base-ZX extended reach GBIC

 

MfG

 

Mr. Oiso

Hi Cruiser

 

Zu Frage 1 : Nein !

 

Du bist nicht gezwungen, Du kannst auch alles im Vlan 1 (Native Vlan on Cat 2950)

belassen, jedoch musst Du Dich dann auf Applikationsebene darum kümmern,

dass das Telefon einen DSCP oder ToS Wert sendet, wenn es das nicht schon von

alleine macht.

Interessant an dieser stelle wäre dann nur was das Telefon sendet !

DiffServ nach RFC2474 oder RFC791

 

Also ToS oder DSCP Wert im IP Header!

 

Danach richtet sich dann anschließend Dein Traffic-Management am Switch.

Entweder musst Du eine Classification nach IP Precedence 0-7 vornehmen, oder Du

kannst dem DSCP Wert vom Telefon übernehmen.

Wenn das allerdings nicht geht musst Du auf Protokoll Ebene rauf.

Heißt dann aber Filter bauen (ACL) in denen Du z.B. RTP oder cRTP findest um die

DSCP oder CoS Werte anschließend für das Netzwerk zu setzen.

Hier wirst Du dann aber TCP und UDP Ports/Ranges für's Filtern nutzen müssen,

da der Switch z.B. nicht wie ein Router über NBAR verfügt, und die Protokolle am

Traffic Folw erkennt.

Also nix mit --- match H323,SIP,Skinny,RTP etc !

 

Teste aber am besten erst mal mit :

 

mls qos trust dscp

 

Somit liesst er erst mal den IP-Header (Layer3) und nimmt QoS mit DSCP-CoS vor.

Den :

 

mls qos trust cos

 

wirst Du ohne Vlan nicht nutzen können, denn den CoS Wert liesst der Switch aus dem

802.1q auf Layer 2 aus !

 

zu Frage 2 : Hat sich damit schon fast erledigt.

 

Kein Vlan , kein 802.1q, kein CoS, keine Classification auf Layer 2 !

Aber bedenke, der Cat kann auch DSCP (Layer 3) lesen, womit er natürlich in der Lage

wäre Deine gewünschte Priorisierung vorzunehmen.

 

Frage: Welches IOS Image hast Du auf dem Cat2950 ?

 

Ein Enhanced Image sollte es schon sein, den das Standard Image kann das dann wiederum nicht.

Welches Protokoll fährst Du ? SIP oder H323 ?

Dann guck ich heute Abend mal nach ner guten Filter ACL mit der Du eine Classifizierung

vornehmen könntest.

 

 

MfG

 

Mr. Oiso

Hi darkjedi

 

Ist es das, was Du suchst ?

Klappt auch, wenn GBic steckt und nicht aktiv ist ! :D

 

Switch#sh int gig 0/1

GigabitEthernet0/1 is down, line protocol is down (notconnect)

Hardware is Gigabit Ethernet, address is 000d.29d5.4eb1 (bia 000d.29d5.4eb1)

MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

Auto-duplex, Auto-speed, media type is SX

input flow-control is off, output flow-control is off

ARP type: ARPA, ARP Timeout 04:00:00

Last input 12w0d, output 12w0d, output hang never

Last clearing of "show interface" counters 03:26:28

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

Queueing strategy: fifo

Output queue: 0/40 (size/max)

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

0 packets input, 0 bytes, 0 no buffer

Received 0 broadcasts (0 multicast)

0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

0 watchdog, 0 multicast, 0 pause input

0 input packets with dribble condition detected

0 packets output, 0 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collision, 0 deferred

0 lost carrier, 0 no carrier, 0 PAUSE output

0 output buffer failures, 0 output buffers swapped out

Switch#

 

MfG

 

Mr. Oiso

hi Cruiser

 

Natürlich geht das ! Sonst wäre es ja kein Cisco Switch :D !

Jedoch gleich ne Gegenfrage, um die Sache so einfach wie möglich zu halten !

Sind Deine Telefone auch von Avaya ?

Wenn nicht, sonder Cisco, dann wäre die Porteinstellung easy.

(config-if)#auto qos voip cisco-softphone oder

(config-if)#auto qos voip cisco-phone

 

Damit handelt der Switch dann auch gleich das Vlan inkl. tagging aus.

Macht er über Protocol "cdp"

Habe gehört, kann mich auch irren, dass Avaya auch schon "cdp" spricht.

Cisco generiert dann automatisch das Vlan Voice und setzt auch den Trunk

zum Telefon, wobei die Switchports des Telefones weiterhin im Native Vlan

bleiben (für Data).

 

Sollte das nicht der Fall für Dich sein, so wirst Du wohl erstmal den Vlan Trunk

für Voice und Data konfigurieren müssen.

Danach sollte dann der Portbefehl

(config-if)#auto qos voip trust

ausreichen, um Dir erstmal den Port für DSCP oder Cos sensitiv zu schalten.

Dieses musst Du tun, damit der Switch mit der "Class of Service" arbeiten kann.

 

Er erstellt dann auch automatisch folgendes:

 

wrr-queue bandwidth 10 20 70 1

wrr-queue cos-map 1 0 1

wrr-queue cos-map 2 2 4

wrr-queue cos-map 3 3 6 7

wrr-queue cos-map 4 5

mls qos map cos-dscp 0 8 16 26 32 46 48 56

 

interface FastEthernet0/41

mls qos trust cos

auto qos voip trust

 

Ausgelesen wird damit also der 802.1q Tag (DSCP) 6Bit entspricht (ToS+3)

Indem Du den Port auf Trust setzt vertraut nun der Switch den Werten, welches das

Telefon setzt. Wahrscheinlich sendet es bereits per default mit einem DSCP Wert

40 oder 46 !

Dieses entspricht etwa CoS 5 , siehe

Switch#sh mls qos maps

 

Dscp-cos map:

dscp: 0 8 10 16 18 24 26 32 34 40 46 48 56

-----------------------------------------------

cos: 0 1 1 2 2 3 3 4 4 5 5 6 7

 

Cos-dscp map:

cos: 0 1 2 3 4 5 6 7

--------------------------------

dscp: 0 8 16 26 32 46 48 56

 

Bei dieser default map sind 40 und 46 eingehend schon cos 5, ausgehend jedoch

setzt der Switch dann aber DSCP 46 !

WRR wird nun enabled !

Weighted Round Robin, obwohl das interface die Queuing Strategie fifo behält.

fifo für jede Queue einzeln. (bleibt so)

 

wrr-queue bandwidth 10 20 70 1

 

Regelt nun, wie oft die einzelnen Queues bedient werden.

wrr-queue bandwidth Q1 Q2 Q3 Q4

 

Deshalb mach es im Fall von VoIP mehr Sinn mit eine Priority Queue zu arbeiten.

z.B. so :

wrr-queue bandwidth 20 1 80 0

wrr-queue cos-map 1 0 1 2 4

wrr-queue cos-map 3 3 6 7

wrr-queue cos-map 4 5

 

Mit der 0 im bandwith command machst Du die Queue 4 zum "King"

Die wird immer entleert, sobald was rein kommt.

Die Werte 1-255 sind prozentualer Natur.

Die 0 kannst Du übrigens nur einmal und genau für die Queue 4 setzten.

 

Info : Teste ruhig mal mit "auto qos"

Die Einstellungen lassen sich anschließend auch leicht "alle" mit "no auto qos"

wieder beseitigen.

 

Soviel erst mal vor ab !

Sonst fragen, der ICQoS ist noch ganz frisch ! :D

 

MfG

 

Mr. Oiso

Hi raphael26

 

Das wird so einfach nicht gehen.

Deine Konfigurationen sind zwar im AscII Format auf Deinem PC

z.B. Datei "Router-confg"

Wenn Du diese mit Word-Pad oder Editor änderst und abspeicherst, dann

verlierst Du das original Format. Davor wirst Du auch vorher gewarnt.

 

Wenn Du also eine solche geänderte Datei dann via "copy tftp run" wieder

ins flash kopierst, wird der Router wohl nicht mehr starten, da er die Config

nicht lesen kann.

 

Hier bleibt Dir nur die Möglichkeit, eine Konfigurationsänderung per Copy/Paste

vorzunehmen.

Also nimmst Du Dein Text-File vund tippst die Commands hinein, als wärst Du

via telnet oder console connected.

 

z.B.

 

conf t

int fast 0/0

speed 100

duplex full

end

copy run start

 

exit

 

Soetwas würde z.B. dazu genutzt werden um dem eth 0/0 full-duplex 100

beizubiegen und gleichzeitig abzuspeichern.

 

Auch bei den ACL solltest Du vorsichtig sein.

Eine extended named ACL kannst Du, so glaube ich, "on the fly" editieren.

Beispiel:

ip access-list extended NONAT

deny ip 172.19.16.0 0.0.15.255 192.168.1.0 0.0.0.255

permit ip 172.19.16.0 0.0.15.255 any

deny ip 172.26.105.0 0.0.0.255 192.168.1.0 0.0.0.255

 

Eine normale ACL eben nicht. Hier würde Deine Editierung am Ende der Liste

angefügt.

z.B.

access-list 101 remark generated by XXX

access-list 101 remark Test-ACL

access-list 101 permit esp any any

access-list 101 permit udp any any eq isakmp

access-list 101 permit udp any any eq non500-isakmp

access-list 101 permit tcp any any eq 22

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any time-exceeded

access-list 101 permit icmp any any unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

access-list 101 permit icmp any host x.y.z.a

 

In dieser Liste könnte somit der letzte Eintrag nie matchen, da vorher alles verboten wurde.

 

Ergo musst Du die komplette ACL löschen und neu pasten !

z.B.

 

conf t

no ip access-list 101

access-list 101 remark generated by XXX

access-list 101 remark Test-ACL

access-list 101 permit esp any any

access-list 101 permit udp any any eq isakmp

access-list 101 permit udp any any eq non500-isakmp

access-list 101 permit tcp any any eq 22

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any time-exceeded

access-list 101 permit icmp any any unreachable

access-list 101 permit icmp any host x.y.z.a

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

exit

copy run start

 

exit

 

Danach kannst Du die Config neu abspeichern

copy run tftp

 

Erst das Ergebnis davon lässt sich später wieder mit

"copy tftp start" nutzen.

Auch mit "copy tftp run" wäre ich vorsichtig, sollte nämlich vorher etwas

konfiguriert sein, würde der Router die Konfiguration miteinander vereinen,

was durchaus kein optimales Ergebnis bringt.

 

MfG

 

Mr. Oiso

Hi maho

 

Aber natürlich !

Du könntest, wen du kein Internet laufen haben willst den Traffic komplett "zu" machen

mit einer ACL welche nur noch IPSec sprich:

 

permit esp host x.x.x.x any

permit udp host x.x.x.x any eq isakmp

 

zulässt.

In jedem Fall musst Du die ACL am dialer unabhängig von der Crypto-Map sehen.

Die ACL an der Crypto-Map ist nur für den VPN, und die andere nur....für den Rest !

 

Greez

 

Mr. Oiso

hi elkono

 

Super !

Fehler gefunden wie ich sehe !

Aber wenn man das Native Vlan von default "1" auf ein anderes dreht,

dann sollte man......

O.k. ! Scherz beiseite, allerdings hätte ich von dem Switch dann die Fehlermeldung

native vlan missmatch erwartet !

Kam diese nicht ?

Welche IOS hast Du auf dem 3500er laufen ?

 

MfG

 

Mr. Oiso

Hi frosch007

 

Na das sieht doch schon mal nach was aus !

 

Also, entweder hast Du hier keine echte ISDN (externe SO), sondern eine

Analoge Leitung, oder Du hängst an eine PBX ( Telefonanlage mit einem internen SO)

 

BRI0: wait for isdn carrier timeout, call id=0x8002

 

Was der Router hier mit signalisiert, ist :

Er wartet auf das Freizeichen, welches nach Ablauf des default time-out nicht kommt,

oder gänzlich ausbleibt.

*****************************************************************

 

The reason for using a system based on right-most matching is that a given number can be represented in many different ways. For example, all the following items might be used to represent the same number, depending on the circumstances (international call, long-distance domestic call, call through a PBX, and so forth):

 

011 1 408 556 7654

1 408 556 7654

408 556 7654

556 7654

6 7654

*****************************************************************

 

Hängt der Router also wirklich am NTBA eines ISDN Anschlusses ?

Oder benötigt die Telefonanlage eventuell eine "0" für's Amt ?

 

Schalte mal die Debugger ein !

 

debug isdn events

debug isdn q921

debug isdn q931

 

Ansonsten dreh mal die

"dialer wait-for-carrier timeout" nach oben und schau mal was passiert !

 

Am besten alle Debugger einschalten, natürlich auch die, die rob-67 schon erwähnte,

und Ergebnis posten !

 

MfG

 

Mr. Oiso

hi hivo

 

löl !

 

Na das war ja einfach !

Ich glaube demnächst empfehle ich immer mal pauschal vorab nen IOS-Wechsel !

 

hihi !

 

Viel Spass mit dem Teil !

 

MfG

 

Mr. Oiso

hi hivo

 

Soviel zu dem was Cisco sagt :

 

Configuration Example

The following configuration example shows a portion of the configuration file for the wireless LAN scenario described in the preceding sections.

!

bridge irb

!

interface Dot11Radio0

no ip address

!

broadcast-key vlan 1 change 45

!

encryption vlan 1 mode ciphers tkip

!

ssid cisco

vlan 1

authentication open

authentication network-eap eap_methods

authentication key-management wpa

!

ssid ciscowep

vlan 2

authentication open

!

ssid ciscowpa

vlan 3

authentication open

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0

rts threshold 2312

power local cck 50

power local ofdm 30

channel 2462

station-role root

!

interface Dot11Radio0.1

description Cisco Open

encapsulation dot1Q 1 native

no cdp enable

bridge-group 1

bridge-group 1 subscriber-loop-control

bridge-group 1 spanning-disabled

bridge-group 1 block-unknown-source

no bridge-group 1 source-learning

no bridge-group 1 unicast-flooding

!

interface Dot11Radio0.2

encapsulation dot1Q 2

bridge-group 2

bridge-group 2 subscriber-loop-control

bridge-group 2 spanning-disabled

bridge-group 2 block-unknown-source

no bridge-group 2 source-learning

no bridge-group 2 unicast-flooding

!

interface Dot11Radio0.3

encapsulation dot1Q 3

bridge-group 3

bridge-group 3 subscriber-loop-control

bridge-group 3 spanning-disabled

bridge-group 3 block-unknown-source

no bridge-group 3 source-learning

no bridge-group 3 unicast-flooding

!

interface Vlan1

no ip address

bridge-group 1

bridge-group 1 spanning-disabled

 

!

interface Vlan2

no ip address

bridge-group 2

bridge-group 2 spanning-disabled

!

interface Vlan3

no ip address

bridge-group 3

bridge-group 3 spanning-disabled

!

interface BVI1

ip address 10.0.1.1 255.255.255.0

!

interface BVI2

ip address 10.0.2.1 255.255.255.0

!

interface BVI3

ip address 10.0.3.1 255.255.255.0

 

++++++++++++++++++++++++++++++++++++++++++++++

 

Irgendwie gefällt mir das hier nicht so sonderlich !

 

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$

ip address 10.1.0.105 255.255.0.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

bridge-group 1

bridge-group 1 spanning-disabled

 

Warum "NAT" inbound Vlan 1 !

Habe selber auch den 871 nur ohne Wlan konfiguriert, dafür aber diverse

1200 oder 1300 Access Points und für jeden dieser Geräte, hab ich sowas nicht

als Example Konfiguration (oder als default via Web Interface Konfiguration) gesehn.

 

Also ich würde erst mal das "Nat" rausschmeißen.

Ich kann mir auch nicht vorstellen, dass das von Anfang mit drin war in der Config.

Sollte das nicht reichen, mach erst mal nen Test im "open authentication mode"

Also :

no authentication network-eap eap_methods

no authentication key-management wpa

 

Siehe Beispiel Vlan 2 und 3.

 

Wenn alles nix hilft, mach das Vlan 1 wieder zum BVI Teilnehmer und konfiguriere

die IP von Vlan 1 ans BVI !

Das denke ich sollte eher "default" sein !

 

Und notfalls ohne dem hier :

 

"broadcast-key vlan 1 change 45"

 

steht nämlich hierfür !

 

Note Client devices using static Wired Equivalent Privacy (WEP) cannot use the access point when you enable broadcast key rotation—only wireless client devices using 802.1x authentication (such as Light Extensible Authentication Protocol [LEAP], Extensible Authentication Protocol-Transport Layer Security [EAP-TLS], or Protected Extensible Authentication Protocol [PEAP]) can use the access point.

 

MfG

 

Mr. Oiso

Hi exhibit,

 

ergänzend zu michael01, wenn der router neu ist,

dann sollte die SDM eventuell sogar auf der CD sein.

Den letzten 871 den ich in den Händen hatte, war auch mit SDM

zusammen geliefert gekommen.

Die SDM gibt es im moment min in der Version 2 oder höher.

Dazu solltest Du bei Cisco genug zum Doing online finden !

Download : http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm

Install_Guide: http://www.cisco.com/en/US/partner/products/sw/secursw/ps5318/prod_installation_guide09186a00803e4727.html

 

MfG

 

Mr. Oiso

Hi maho

 

Wie Rob schon gesehen hat !

Somit kannst du sicher nicht mal von Ethernet den Tunnel triggern, oder ?

Und warum triggerst Du den Tunnel überhaupt über das Loopback ?

Wozu möchtest Du das Loopback nutzen ?

Internet läuft über diesen Router doch auch nicht, oder ?

 

Und warum möchtest Du den Tunnel-Traffic wieder wie früher über die

Internet_In ACL konfigurieren ?

Du kannst Dir eine ACL direkt auf die Crypto-map binden mit der neuen 12.4 IOS.

Genau das ist doch der Traffic, welchen Du filtern möchtest, oder ?

 

Mache einfach eine neue Access-List und binde sie mit :

 

Sieht dann etwa so auss !

 

crypto map to_vpn 10 ipsec-isakmp

set peer xxx

set transform-set to_vpn

set ip access-group xxx in (oder) out

match address 100

 

Greetings

 

Mr. Oiso

Hi elkono

 

Hört sich aber übel an ! Wie hast Du den Vlan-Trunk auf der AccessPoint Seite

konfiguriert ?

Dieses hier sieht so aus als hättest Du nen alten 3500 Series Switch

 

config switch port zum AP:

#int fas 0/20

-if)#switchport trunk encapsul dot1q

-if)#switc mode trunk

 

Und was die Konfiguration angeht, soweit erstmal o.k.

Aber hast Du auch auf dem AccessPoint 802.1q auf den Subinterfaces vom Ethernet

laufen ?

Gibt es dort auch für jedes Vlan ein "sub" -

interface Dot11Radio0.1 ?

 

Das sollte dann etwa so aussehen !

 

interface Dot11Radio0.10

encapsulation dot1Q 10 native

! AP's are placed in this VLAN

no ip proxy-arp

no ip route-cache

no cdp enable

bridge-group 1

bridge-group 1 spanning-disabled

! If the virtual interfaces are configured via the HTTP GUI

! the bridge-group settings will be configured automatically

!

interface Dot11Radio0.20

encapsulation dot1Q 20

! Clients are placed in this VLAN

no ip route-cache

no cdp enable

bridge-group 20

bridge-group 20 subscriber-loop-control

bridge-group 20 block-unknown-source

no bridge-group 20 source-learning

no bridge-group 20 unicast-flooding

bridge-group 20 spanning-disabled

 

 

interface BVI1

ip address 192.168.1.40 255.255.255.0

no ip route-cache

 

Und die IP deines AccessPoint ist hier im BVI1 konfiguriert !

Nicht am Ethernet !

 

Poste doch mal die AccessPoint Config, dann kann man mehr sagen !

Und schalte mal des Terminal monitoring ein, eventuell hast du ja nur nen

Vlan missmatch Problem !

 

MfG

 

Mr. Oiso

Hi Frosch007

 

Ja, so einen Befehl gibt es !

Probiere es mal mit :

 

Testmaschine#isdn test call interface bri 1/1 ?

WORD Dialing string

 

Testmaschine#isdn test call interface bri 1/1 12376596 ?

speed Set isdn data call speed

<cr>

Testmaschine#isdn test call interface bri 1/1 12376596 ?

speed Set isdn data call speed

<cr>

Testmaschine#isdn test call interface bri 1/1 12376596 speed ?

56 56K bps

64 64K bps

Testmaschine#isdn test call interface bri 1/1 12376596 speed 64

<cr>

 

 

Have a nice weekend !

Gruß Mr. Oiso

Hi m1k3

 

Gratuliere zur bestandenen Prüfung ! :)

 

Da proste ich gleich mal an,....... auf eine neue Cisco Karriere !

 

MfG

 

Mr. Oiso

!

interface Dialer1

description External $FW_OUTSIDE$

ip address negotiated

ip access-group 101 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip inspect myfw-out out

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname Test.testuser.com

ppp chap password 7 xxxxxxxxxxxxxxxxxxxxxxx

ppp pap sent-username Test.testuser.com password 7 xxxxxxxxxxxxxxxxxxxxxxxx

ppp ipcp dns request

ppp ipcp wins request

crypto map OSNL

hold-queue 224 in

!

ip local pool dynvpn 192.168.37.1 192.168.37.100

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 10.1.16.0 255.255.255.0 192.168.7.1

ip route 172.16.0.0 255.255.0.0 10.10.10.100

ip route 192.168.6.0 255.255.255.0 192.168.7.1

ip http server

ip http authentication local

ip http secure-server

!

ip nat inside source list 140 interface Dialer1 overload

ip nat inside source static tcp 192.168.7.1 3389 interface Dialer1 3389

!

!

ip access-list extended UNKNOWN

ip access-list extended addr-pool

ip access-list extended dns-servers

ip access-list extended keinNAT

permit ip host 192.168.7.1 172.16.0.0 0.0.255.255

permit ip host 192.168.7.1 192.168.37.0 0.0.0.255

ip access-list extended key-exchange

ip access-list extended tunnel-password

ip access-list extended wins-servers

access-list 100 remark Cisco Express firewall configuration Trusted

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

access-list 101 remark Cisco Express firewall configuration External

access-list 101 permit tcp any any eq 3389

access-list 101 permit esp any any

access-list 101 permit udp any any eq isakmp

access-list 101 permit udp any any eq non500-isakmp

access-list 101 deny ip 192.168.7.0 0.0.0.255 any

access-list 101 permit tcp any any eq 2001

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any time-exceeded

access-list 101 permit icmp any any unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

access-list 112 remark ACL-to-Crypto-Map

access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.7.0 0.0.0.255

access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255

access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.7.0 0.0.0.255

access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.6.0 0.0.0.255

access-list 112 deny ip any any

access-list 140 remark Kein-NAT

access-list 140 deny ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255

access-list 140 deny ip 192.168.7.0 0.0.0.255 192.168.37.0 0.0.0.255

access-list 140 deny tcp 192.168.7.0 0.0.0.255 eq 3389 any

access-list 140 deny tcp 192.168.7.0 0.0.0.255 any eq 3389

access-list 140 permit ip 192.168.7.0 0.0.0.255 any

access-list 140 remark VPN-Traffic

access-list 160 permit ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255

access-list 160 permit ip 192.168.6.0 0.0.0.255 172.16.0.0 0.0.255.255

access-list 160 permit ip 10.1.16.0 0.0.0.255 172.16.0.0 0.0.255.255

dialer-list 1 protocol ip permit

no cdp run

route-map nonat permit 10

match ip address 140

!

route-map before-nat permit 10

match ip address keinNAT

set ip next-hop 192.168.37.253

!

!

control-plane

!

!

line con 0

exec-timeout 120 0

no modem enable

stopbits 1

line aux 0

line vty 0 4

exec-timeout 120 0

login local

length 0

transport input telnet ssh

!

scheduler max-task-time 5000

end

 

Test-Router#

 

 

MfG

 

Mr. Oiso

Hi Thomas

 

Hier die Konfiguration:

Test-Router#sh run

Building configuration...

 

Current configuration : 7973 bytes

!

version 12.3

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Test-Router

!

boot-start-marker

boot-end-marker

!

no logging buffered

no logging console

enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

!

username XXXXXXXXX privilege 15 password 7 xxxxxxxxxxxxxx

no aaa new-model

ip subnet-zero

no ip source-route

!

!

ip domain name Test-LAN.local

ip name-server 10.10.10.10

ip name-server 10.10.10.11

no ip bootp server

ip inspect udp idle-time 1800

ip inspect name myfw-in cuseeme timeout 3600

ip inspect name myfw-in ftp timeout 3600

ip inspect name myfw-in rcmd timeout 3600

ip inspect name myfw-in realaudio timeout 3600

ip inspect name myfw-in smtp timeout 3600

ip inspect name myfw-in tftp timeout 30

ip inspect name myfw-in udp timeout 15

ip inspect name myfw-in h323 timeout 3600

ip inspect name myfw-in tcp timeout 3600

ip inspect name myfw-out cuseeme

ip inspect name myfw-out ftp

ip inspect name myfw-out h323

ip inspect name myfw-out icmp

ip inspect name myfw-out netshow

ip inspect name myfw-out rcmd

ip inspect name myfw-out realaudio

ip inspect name myfw-out rtsp

ip inspect name myfw-out esmtp

ip inspect name myfw-out sqlnet

ip inspect name myfw-out streamworks

ip inspect name myfw-out tftp

ip inspect name myfw-out tcp

ip inspect name myfw-out udp

ip inspect name myfw-out vdolive

ip ips po max-events 100

ip ssh port 2001 rotary 1

ip ssh source-interface Dialer1

no ftp-server write-enable

!

!

!

!

!

crypto isakmp policy 10

hash md5

authentication pre-share

!

crypto isakmp policy 20

encr 3des

authentication pre-share

group 2

crypto isakmp key xxxxxxxxx address 10.10.10.100

no crypto isakmp ccm

crypto isakmp client configuration address-pool local dynvpn

!

crypto isakmp client configuration group MobileVPN-UK

key xxxxxxxxxx

dns 192.168.7.1

domain Test-LAN.local

pool dynvpn

!

!

crypto ipsec transform-set sharks esp-3des esp-sha-hmac

crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 1

set transform-set transform-1

reverse-route

!

!

crypto map OSNL isakmp authorization list MobileVPN-UK

crypto map OSNL client configuration address respond

crypto map OSNL 1 ipsec-isakmp dynamic dynmap

crypto map OSNL 10 ipsec-isakmp

set peer 10.10.10.100

set ip access-group 112 in

set transform-set sharks

match address 160

!

!

!

interface Loopback0

ip address 192.168.37.254 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

!

interface Ethernet0

description Trusted $FW_INSIDE$

ip address 192.168.7.254 255.255.255.0

ip access-group 100 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip inspect myfw-in in

ip virtual-reassembly

ip route-cache policy

ip policy route-map before-nat

no ip mroute-cache

hold-queue 100 out

!

interface ATM0

description $ES_WAN$

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no ip mroute-cache

atm vc-per-vp 64

no atm ilmi-keepalive

dsl operating-mode auto

pvc 0/38

encapsulation aal5mux ppp dialer

dialer pool-member 1

!

!

interface FastEthernet1

duplex auto

speed auto

!

interface FastEthernet2

duplex auto

speed auto

!

interface FastEthernet3

duplex auto

speed auto

!

interface FastEthernet4

duplex auto

speed auto