-
Gesamte Inhalte
352 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von mr._oiso
-
-
Hallo Board, hallo Windows Experten,
suche dringend nach korrekten Informationen wie man auf einem DHCP
unter Win2K die Scopes 076 und 078 für eine Novell Umgebung 5.x beim
Systemstart mitgeben kann.
Verwende den Novell-Client für 2000/XP Version 4.91 SP2 im Netzwerk
mit zwei ADS Controllern und einem Novell-Server 5.x
Leider hat der Novell nen IP/IPX Stack, mit welchem ich einmal eine
Warenwirtschaft über IPX betreibe, und Printservices über IP.
Zu dumm also, um am Client eines der beiden Protokolle abschalten zu können.
Jedoch reicht es nicht aus, IP als bevorzugtes Protokoll einzurichten.
Dadurch das der Client diese Einstellungen nicht bekommt, wird im IPX also
keine unicast, sonder multicast verwendet um den SLP DA zu finden.
Ähnlich wie der Masterbrowser unter NT !
Jedoch scheint mir damit die Leistungsfähigkeit des Netzwerk's arg beeinträchtigt.
Teilweise benötigt ein Clientsystem bis zu 40-60 sec bevor es sich im Stande sieht,
sich am Novell anzumelden.
Hat hier irgend jemand Erfahrungen zu den Knowledges unter:
http://www.ithowto.com/microsoft/w2kdhcpslp.htm
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10054413.htm
http://support.microsoft.com/kb/q285019/
Vielen lieben Dank !
MfG
Mr. Oiso
-
Hi Board !
Nutze AK-Mail ! Funktioniert eingendlich super !
Ist zwar nicht besonders komfortabel, aber reicht !
Dafür lässt sich das Ding super archivieren. "DOS like"
Copy/Paste fertig.
Und läuft auch danach wieder ! :-)
Ist mit "KMail" eventuell AK-Mail gemeint ?
Kann sonst nicht abstimmen, oder müsste auch Tobit Info Center angeben !
Greez@all
Mr. Oiso
-
Hi ck84
Das klingt alles sehr einfach bei Dir !
Sicher geht das (hochpriorisieren), jedoch bringt Dir das alles herzlich wenig,
wenn Du am dialer nicht genügend Bandbreite hast, um die Packete auch
rechtzeitig loszuwerden. (beachte Delay und Jitter)
Was zum Beispiel ist denn bei Dir der Dialer für eine Hardware ?
ISDN 64K, 128K, .....oder PPoE mit 1024k oder 2048k (ADSL/SDSL) ?
Diese Info's sind schon alle sehr entscheident.
Nur mal als Beispiel:
Was verwenden Deine Telefone im RTP ? G711 oder G729 ?
Bedenke
G711 over IP = 80kBit = Payload 64k und Header 16k
G729 over IP = 24kBit = Payload 8k und Header 16k
Da ist es schon entscheident ob Du nun 64kBit/s versenden kannst oder sogar 2048kBit/s
Vieleicht macht auch cRTP für Dich Sinn, oder Header Compression !
Halte also erstmal danach ausschau !
Immerhin benötigen 3 G729 Gespräche z.B. schon 90kBit, und dann darf da auch nix mehr
zwischen kommen.
Ein 1500byte Packet z.B. erzeugt über eine 64K Leitung immerhin schon ein
Serialization Delay von 187ms und über 128k 93ms.
Und Sip oder H323 sollte nicht länger als 120ms unterwegs sein !
Vieleicht macht auch Fragmentation bei Dir Sinn.
Tip:
Je nach IOS kannst Du Dir auch eine pdlm nachladen, um mit NBAR SIP und Skinny
anstatt von H323 zu markieren.
Dann brauchst Du nur noch die Polcies umschreiben.
Ansonsten helfen Dir nur ACL's zum Filtern.
Beispiel:
ip access-list extended VoIP-RTCP
permit udp any any range 16384 32767
ip access-list extended VoIP-Control
permit tcp any any eq 1720
permit tcp any any range 11000 11999
permit udp any any eq 2427
permit tcp any any eq 2428
permit tcp any any range 2000 2002
permit udp any any eq 1719
permit udp any any eq 5060
MfG
Mr. Oiso
-
Hi Cruiser
Antwort auf Deine Frage: Ja !
Bei der Beantwortung der Fragen von darking ergibt sich dieses allerdings schon fast von alleine. Mit der Trusted Boundary ist ja lediglich nur gemeint, dass der Switch dem
Telefon vertraut. Das heißt aber im Gegenzug, dass das Telefon seinen Voice Traffic
vom ToS her anheben muss und alle anderen Daten (vom PC z.B.) zurücksetzen wird
damit es funtioniert. Hier kommt es nun auf die Intelligenz des Telefon's an, was die meisten jedoch bereits können sollten.
Mit dieser Intelligenz ist hier auch der Shaper/Policer des Telefon's gemeint.
Das Telefon sollte also in der Lage sein, seinen eigenen erzeugten
Signalling und RTP/RTCP Traffic mit richtigem ToS oder DSCP zu versehen.
Solltest Du jedoch die Fragen von darking mit "Nein" beantworten müssen, dann wird Dir
nicht's anderes übrig bleiben, als auf dem Switch zu klassifizieren und zu markieren.
Was soviel heißt wie:
Du must den Traffic anhand der verwendeten Protokolle identifizieren und anschließend mit
einem DSCP Wert versehen (weil er dem Telefon eben nicht vertraut).
Dazu solltest Du aber in Erfahrung bringen was die Telefone von Avaya eben können um einen entsprechenden Traffic Filter definieren zu können.
Was das Vlan angeht, so meine ich geht das auch. Man kann den Filter auch auf einen
gesetzten Vlan Tag setzen, sodass ein Switch oder Router alle Frames mit einem Vlan Tag "X" anschließend mit einem DSCP Wert versieht.
Frage an alle :
Welche IOS brauche ich damit mein Switch mir unter AutoQoS diese Werte liefert.
wrr-queue bandwidth 20 1 80 0
wrr-queue cos-map 1 0 1 2 4
wrr-queue cos-map 3 3 6 7
wrr-queue cos-map 4 5
Bei meinem Test auf einem meiner Switches Cat2950 12.1(22)EA4 schien dies nicht der Fall. Hier muste ich nachhelfen !
Oder ist diese Einstellung doch kein "Default" ?
Gruss
Mr. Oiso
-
Hi kr244
Hier Deine Lösung !
Switch#sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 000d.29d5.4e80 STATIC CPU
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0000.e800.4ef7 DYNAMIC Fa0/47
1 0001.e67e.666f DYNAMIC Fa0/24
1 0002.a5ca.4939 DYNAMIC Fa0/20
1 0002.b3e6.8fcc DYNAMIC Fa0/25
1 0004.76db.f6e0 DYNAMIC Gi0/2
1 0004.76f0.5b85 DYNAMIC Fa0/23
1 000a.e4aa.4715 DYNAMIC Fa0/45
1 000b.8533.0080 DYNAMIC Fa0/25
1 000d.28d8.d681 DYNAMIC Fa0/28
1 0012.d93e.9aaa DYNAMIC Fa0/25
1 0030.05b1.27d1 DYNAMIC Fa0/3
1 0090.7f2f.1eba DYNAMIC Fa0/13
4 000d.28d8.d681 DYNAMIC Fa0/28
5 000d.28d8.d681 DYNAMIC Fa0/28
6 000d.28d8.d681 DYNAMIC Fa0/28
7 000d.28d8.d681 DYNAMIC Fa0/28
20 000d.28d8.d681 DYNAMIC Fa0/28
21 000d.28d8.d681 DYNAMIC Fa0/28
22 000d.28d8.d681 DYNAMIC Fa0/28
50 000d.28d8.d681 DYNAMIC Fa0/28
100 000d.28d8.d681 DYNAMIC Fa0/28
Total Mac Addresses for this criterion: 25
Switch#sh ver
Cisco Internetwork Operating System Software
IOS C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA2, RELEASE SOFTWARE (fc1)
Copyright © 1986-2004 by cisco Systems, Inc.
Compiled Mon 08-Nov-04 01:08 by antonino
Image text-base: 0x80010000, data-base: 0x8066C000
ROM: Bootstrap program is C2950 boot loader
ETESW01 uptime is 12 weeks, 6 days, 22 hours, 37 minutes
System returned to ROM by power-on
System restarted at 19:55:29 GMT Thu Dec 1 2005
System image file is "flash:/c2950-i6k2l2q4-mz.121-22.EA2.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
cisco WS-C2950G-48-EI (RC32300) processor (revision K0) with 20015K bytes of memory.
Processor board ID FOC0726W153
Last reset from system-reset
Running Enhanced Image
48 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:0D:29:D5:4E:80
Motherboard assembly number: 73-7409-12
Power supply part number: 34-0965-01
Motherboard serial number: FOC07260ABR
Power supply serial number: DAB07226LQL
Model revision number: K0
Motherboard revision number: A0
Model number: WS-C2950G-48-EI
System serial number: FOC0726W153
Configuration register is 0xF
Switch#
Sogar mit Vlan Zuordnung ! :D
MfG
Mr. Oiso
-
hi elkono
Das Image vom 3500er ist nen altes .......
Gerade das XU Release war nur für bestimmte Anwendungen.
z.B. die Sache mit dem XStack Adaptern.
Eventuell etwas buggy bezgl. Vlan.
Aber die Sache mit der Antenne, ja die muss man extra bestellen.
Je nach Verwendung können an den AP externe oder Hausantennen.
z.B. Patchantennen oder den Standard Rundstrahler (etwa 20cm lang zum
abwinkeln)
Natürlich gehen auch Parabol oder Yagi Antennen, aber eben genau deswegen
werden die Antennen halt extra geliefert.
MfG
Mr. Oiso
-
hi frosch007
Super !
Läuft es denn nun ?
Lass auch andere an Deinem Erfolg teilhaben !
Greez
Mr. Oiso
-
Hi darkjedi
Die Produktbezeichnung wird soviel ich weiß weder über eine IOS noch
CatOS irgendwo ausgegeben !
Sollte man einfach wissen !
WS-G5484=
1000Base-SX GBIC
WS-G5486=
1000Base-LX/LH long haul GBIC
WS-G5487=
1000Base-ZX extended reach GBIC
MfG
Mr. Oiso
-
Hi Cruiser
Zu Frage 1 : Nein !
Du bist nicht gezwungen, Du kannst auch alles im Vlan 1 (Native Vlan on Cat 2950)
belassen, jedoch musst Du Dich dann auf Applikationsebene darum kümmern,
dass das Telefon einen DSCP oder ToS Wert sendet, wenn es das nicht schon von
alleine macht.
Interessant an dieser stelle wäre dann nur was das Telefon sendet !
DiffServ nach RFC2474 oder RFC791
Also ToS oder DSCP Wert im IP Header!
Danach richtet sich dann anschließend Dein Traffic-Management am Switch.
Entweder musst Du eine Classification nach IP Precedence 0-7 vornehmen, oder Du
kannst dem DSCP Wert vom Telefon übernehmen.
Wenn das allerdings nicht geht musst Du auf Protokoll Ebene rauf.
Heißt dann aber Filter bauen (ACL) in denen Du z.B. RTP oder cRTP findest um die
DSCP oder CoS Werte anschließend für das Netzwerk zu setzen.
Hier wirst Du dann aber TCP und UDP Ports/Ranges für's Filtern nutzen müssen,
da der Switch z.B. nicht wie ein Router über NBAR verfügt, und die Protokolle am
Traffic Folw erkennt.
Also nix mit --- match H323,SIP,Skinny,RTP etc !
Teste aber am besten erst mal mit :
mls qos trust dscp
Somit liesst er erst mal den IP-Header (Layer3) und nimmt QoS mit DSCP-CoS vor.
Den :
mls qos trust cos
wirst Du ohne Vlan nicht nutzen können, denn den CoS Wert liesst der Switch aus dem
802.1q auf Layer 2 aus !
zu Frage 2 : Hat sich damit schon fast erledigt.
Kein Vlan , kein 802.1q, kein CoS, keine Classification auf Layer 2 !
Aber bedenke, der Cat kann auch DSCP (Layer 3) lesen, womit er natürlich in der Lage
wäre Deine gewünschte Priorisierung vorzunehmen.
Frage: Welches IOS Image hast Du auf dem Cat2950 ?
Ein Enhanced Image sollte es schon sein, den das Standard Image kann das dann wiederum nicht.
Welches Protokoll fährst Du ? SIP oder H323 ?
Dann guck ich heute Abend mal nach ner guten Filter ACL mit der Du eine Classifizierung
vornehmen könntest.
MfG
Mr. Oiso
-
Hi darkjedi
Ist es das, was Du suchst ?
Klappt auch, wenn GBic steckt und nicht aktiv ist ! :D
Switch#sh int gig 0/1
GigabitEthernet0/1 is down, line protocol is down (notconnect)
Hardware is Gigabit Ethernet, address is 000d.29d5.4eb1 (bia 000d.29d5.4eb1)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto-speed, media type is SX
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 12w0d, output 12w0d, output hang never
Last clearing of "show interface" counters 03:26:28
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts (0 multicast)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
Switch#
MfG
Mr. Oiso
-
hi Cruiser
Natürlich geht das ! Sonst wäre es ja kein Cisco Switch :D !
Jedoch gleich ne Gegenfrage, um die Sache so einfach wie möglich zu halten !
Sind Deine Telefone auch von Avaya ?
Wenn nicht, sonder Cisco, dann wäre die Porteinstellung easy.
(config-if)#auto qos voip cisco-softphone oder
(config-if)#auto qos voip cisco-phone
Damit handelt der Switch dann auch gleich das Vlan inkl. tagging aus.
Macht er über Protocol "cdp"
Habe gehört, kann mich auch irren, dass Avaya auch schon "cdp" spricht.
Cisco generiert dann automatisch das Vlan Voice und setzt auch den Trunk
zum Telefon, wobei die Switchports des Telefones weiterhin im Native Vlan
bleiben (für Data).
Sollte das nicht der Fall für Dich sein, so wirst Du wohl erstmal den Vlan Trunk
für Voice und Data konfigurieren müssen.
Danach sollte dann der Portbefehl
(config-if)#auto qos voip trust
ausreichen, um Dir erstmal den Port für DSCP oder Cos sensitiv zu schalten.
Dieses musst Du tun, damit der Switch mit der "Class of Service" arbeiten kann.
Er erstellt dann auch automatisch folgendes:
wrr-queue bandwidth 10 20 70 1
wrr-queue cos-map 1 0 1
wrr-queue cos-map 2 2 4
wrr-queue cos-map 3 3 6 7
wrr-queue cos-map 4 5
mls qos map cos-dscp 0 8 16 26 32 46 48 56
interface FastEthernet0/41
mls qos trust cos
auto qos voip trust
Ausgelesen wird damit also der 802.1q Tag (DSCP) 6Bit entspricht (ToS+3)
Indem Du den Port auf Trust setzt vertraut nun der Switch den Werten, welches das
Telefon setzt. Wahrscheinlich sendet es bereits per default mit einem DSCP Wert
40 oder 46 !
Dieses entspricht etwa CoS 5 , siehe
Switch#sh mls qos maps
Dscp-cos map:
dscp: 0 8 10 16 18 24 26 32 34 40 46 48 56
-----------------------------------------------
cos: 0 1 1 2 2 3 3 4 4 5 5 6 7
Cos-dscp map:
cos: 0 1 2 3 4 5 6 7
--------------------------------
dscp: 0 8 16 26 32 46 48 56
Bei dieser default map sind 40 und 46 eingehend schon cos 5, ausgehend jedoch
setzt der Switch dann aber DSCP 46 !
WRR wird nun enabled !
Weighted Round Robin, obwohl das interface die Queuing Strategie fifo behält.
fifo für jede Queue einzeln. (bleibt so)
wrr-queue bandwidth 10 20 70 1
Regelt nun, wie oft die einzelnen Queues bedient werden.
wrr-queue bandwidth Q1 Q2 Q3 Q4
Deshalb mach es im Fall von VoIP mehr Sinn mit eine Priority Queue zu arbeiten.
z.B. so :
wrr-queue bandwidth 20 1 80 0
wrr-queue cos-map 1 0 1 2 4
wrr-queue cos-map 3 3 6 7
wrr-queue cos-map 4 5
Mit der 0 im bandwith command machst Du die Queue 4 zum "King"
Die wird immer entleert, sobald was rein kommt.
Die Werte 1-255 sind prozentualer Natur.
Die 0 kannst Du übrigens nur einmal und genau für die Queue 4 setzten.
Info : Teste ruhig mal mit "auto qos"
Die Einstellungen lassen sich anschließend auch leicht "alle" mit "no auto qos"
wieder beseitigen.
Soviel erst mal vor ab !
Sonst fragen, der ICQoS ist noch ganz frisch ! :D
MfG
Mr. Oiso
-
Hi raphael26
Das wird so einfach nicht gehen.
Deine Konfigurationen sind zwar im AscII Format auf Deinem PC
z.B. Datei "Router-confg"
Wenn Du diese mit Word-Pad oder Editor änderst und abspeicherst, dann
verlierst Du das original Format. Davor wirst Du auch vorher gewarnt.
Wenn Du also eine solche geänderte Datei dann via "copy tftp run" wieder
ins flash kopierst, wird der Router wohl nicht mehr starten, da er die Config
nicht lesen kann.
Hier bleibt Dir nur die Möglichkeit, eine Konfigurationsänderung per Copy/Paste
vorzunehmen.
Also nimmst Du Dein Text-File vund tippst die Commands hinein, als wärst Du
via telnet oder console connected.
z.B.
conf t
int fast 0/0
speed 100
duplex full
end
copy run start
exit
Soetwas würde z.B. dazu genutzt werden um dem eth 0/0 full-duplex 100
beizubiegen und gleichzeitig abzuspeichern.
Auch bei den ACL solltest Du vorsichtig sein.
Eine extended named ACL kannst Du, so glaube ich, "on the fly" editieren.
Beispiel:
ip access-list extended NONAT
deny ip 172.19.16.0 0.0.15.255 192.168.1.0 0.0.0.255
permit ip 172.19.16.0 0.0.15.255 any
deny ip 172.26.105.0 0.0.0.255 192.168.1.0 0.0.0.255
Eine normale ACL eben nicht. Hier würde Deine Editierung am Ende der Liste
angefügt.
z.B.
access-list 101 remark generated by XXX
access-list 101 remark Test-ACL
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit tcp any any eq 22
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 101 permit icmp any host x.y.z.a
In dieser Liste könnte somit der letzte Eintrag nie matchen, da vorher alles verboten wurde.
Ergo musst Du die komplette ACL löschen und neu pasten !
z.B.
conf t
no ip access-list 101
access-list 101 remark generated by XXX
access-list 101 remark Test-ACL
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit tcp any any eq 22
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any host x.y.z.a
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
exit
copy run start
exit
Danach kannst Du die Config neu abspeichern
copy run tftp
Erst das Ergebnis davon lässt sich später wieder mit
"copy tftp start" nutzen.
Auch mit "copy tftp run" wäre ich vorsichtig, sollte nämlich vorher etwas
konfiguriert sein, würde der Router die Konfiguration miteinander vereinen,
was durchaus kein optimales Ergebnis bringt.
MfG
Mr. Oiso
-
Hi maho
Aber natürlich !
Du könntest, wen du kein Internet laufen haben willst den Traffic komplett "zu" machen
mit einer ACL welche nur noch IPSec sprich:
permit esp host x.x.x.x any
permit udp host x.x.x.x any eq isakmp
zulässt.
In jedem Fall musst Du die ACL am dialer unabhängig von der Crypto-Map sehen.
Die ACL an der Crypto-Map ist nur für den VPN, und die andere nur....für den Rest !
Greez
Mr. Oiso
-
hi elkono
Super !
Fehler gefunden wie ich sehe !
Aber wenn man das Native Vlan von default "1" auf ein anderes dreht,
dann sollte man......
O.k. ! Scherz beiseite, allerdings hätte ich von dem Switch dann die Fehlermeldung
native vlan missmatch erwartet !
Kam diese nicht ?
Welche IOS hast Du auf dem 3500er laufen ?
MfG
Mr. Oiso
-
Hi frosch007
Na das sieht doch schon mal nach was aus !
Also, entweder hast Du hier keine echte ISDN (externe SO), sondern eine
Analoge Leitung, oder Du hängst an eine PBX ( Telefonanlage mit einem internen SO)
BRI0: wait for isdn carrier timeout, call id=0x8002
Was der Router hier mit signalisiert, ist :
Er wartet auf das Freizeichen, welches nach Ablauf des default time-out nicht kommt,
oder gänzlich ausbleibt.
*****************************************************************
The reason for using a system based on right-most matching is that a given number can be represented in many different ways. For example, all the following items might be used to represent the same number, depending on the circumstances (international call, long-distance domestic call, call through a PBX, and so forth):
011 1 408 556 7654
1 408 556 7654
408 556 7654
556 7654
6 7654
*****************************************************************
Hängt der Router also wirklich am NTBA eines ISDN Anschlusses ?
Oder benötigt die Telefonanlage eventuell eine "0" für's Amt ?
Schalte mal die Debugger ein !
debug isdn events
debug isdn q921
debug isdn q931
Ansonsten dreh mal die
"dialer wait-for-carrier timeout" nach oben und schau mal was passiert !
Am besten alle Debugger einschalten, natürlich auch die, die rob-67 schon erwähnte,
und Ergebnis posten !
MfG
Mr. Oiso
-
hi hivo
löl !
Na das war ja einfach !
Ich glaube demnächst empfehle ich immer mal pauschal vorab nen IOS-Wechsel !
hihi !
Viel Spass mit dem Teil !
MfG
Mr. Oiso
-
hi hivo
Soviel zu dem was Cisco sagt :
Configuration Example
The following configuration example shows a portion of the configuration file for the wireless LAN scenario described in the preceding sections.
!
bridge irb
!
interface Dot11Radio0
no ip address
!
broadcast-key vlan 1 change 45
!
encryption vlan 1 mode ciphers tkip
!
ssid cisco
vlan 1
authentication open
authentication network-eap eap_methods
authentication key-management wpa
!
ssid ciscowep
vlan 2
authentication open
!
ssid ciscowpa
vlan 3
authentication open
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
rts threshold 2312
power local cck 50
power local ofdm 30
channel 2462
station-role root
!
interface Dot11Radio0.1
description Cisco Open
encapsulation dot1Q 1 native
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.2
encapsulation dot1Q 2
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 spanning-disabled
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
!
interface Dot11Radio0.3
encapsulation dot1Q 3
bridge-group 3
bridge-group 3 subscriber-loop-control
bridge-group 3 spanning-disabled
bridge-group 3 block-unknown-source
no bridge-group 3 source-learning
no bridge-group 3 unicast-flooding
!
interface Vlan1
no ip address
bridge-group 1
bridge-group 1 spanning-disabled
!
interface Vlan2
no ip address
bridge-group 2
bridge-group 2 spanning-disabled
!
interface Vlan3
no ip address
bridge-group 3
bridge-group 3 spanning-disabled
!
interface BVI1
ip address 10.0.1.1 255.255.255.0
!
interface BVI2
ip address 10.0.2.1 255.255.255.0
!
interface BVI3
ip address 10.0.3.1 255.255.255.0
++++++++++++++++++++++++++++++++++++++++++++++
Irgendwie gefällt mir das hier nicht so sonderlich !
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.1.0.105 255.255.0.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
bridge-group 1
bridge-group 1 spanning-disabled
Warum "NAT" inbound Vlan 1 !
Habe selber auch den 871 nur ohne Wlan konfiguriert, dafür aber diverse
1200 oder 1300 Access Points und für jeden dieser Geräte, hab ich sowas nicht
als Example Konfiguration (oder als default via Web Interface Konfiguration) gesehn.
Also ich würde erst mal das "Nat" rausschmeißen.
Ich kann mir auch nicht vorstellen, dass das von Anfang mit drin war in der Config.
Sollte das nicht reichen, mach erst mal nen Test im "open authentication mode"
Also :
no authentication network-eap eap_methods
no authentication key-management wpa
Siehe Beispiel Vlan 2 und 3.
Wenn alles nix hilft, mach das Vlan 1 wieder zum BVI Teilnehmer und konfiguriere
die IP von Vlan 1 ans BVI !
Das denke ich sollte eher "default" sein !
Und notfalls ohne dem hier :
"broadcast-key vlan 1 change 45"
steht nämlich hierfür !
Note Client devices using static Wired Equivalent Privacy (WEP) cannot use the access point when you enable broadcast key rotation—only wireless client devices using 802.1x authentication (such as Light Extensible Authentication Protocol [LEAP], Extensible Authentication Protocol-Transport Layer Security [EAP-TLS], or Protected Extensible Authentication Protocol [PEAP]) can use the access point.
MfG
Mr. Oiso
-
Hi exhibit,
ergänzend zu michael01, wenn der router neu ist,
dann sollte die SDM eventuell sogar auf der CD sein.
Den letzten 871 den ich in den Händen hatte, war auch mit SDM
zusammen geliefert gekommen.
Die SDM gibt es im moment min in der Version 2 oder höher.
Dazu solltest Du bei Cisco genug zum Doing online finden !
Download : http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm
Install_Guide: http://www.cisco.com/en/US/partner/products/sw/secursw/ps5318/prod_installation_guide09186a00803e4727.html
MfG
Mr. Oiso
-
Hi maho
Wie Rob schon gesehen hat !
Somit kannst du sicher nicht mal von Ethernet den Tunnel triggern, oder ?
Und warum triggerst Du den Tunnel überhaupt über das Loopback ?
Wozu möchtest Du das Loopback nutzen ?
Internet läuft über diesen Router doch auch nicht, oder ?
Und warum möchtest Du den Tunnel-Traffic wieder wie früher über die
Internet_In ACL konfigurieren ?
Du kannst Dir eine ACL direkt auf die Crypto-map binden mit der neuen 12.4 IOS.
Genau das ist doch der Traffic, welchen Du filtern möchtest, oder ?
Mache einfach eine neue Access-List und binde sie mit :
Sieht dann etwa so auss !
crypto map to_vpn 10 ipsec-isakmp
set peer xxx
set transform-set to_vpn
set ip access-group xxx in (oder) out
match address 100
Greetings
Mr. Oiso
-
Hi elkono
Hört sich aber übel an ! Wie hast Du den Vlan-Trunk auf der AccessPoint Seite
konfiguriert ?
Dieses hier sieht so aus als hättest Du nen alten 3500 Series Switch
config switch port zum AP:
#int fas 0/20
-if)#switchport trunk encapsul dot1q
-if)#switc mode trunk
Und was die Konfiguration angeht, soweit erstmal o.k.
Aber hast Du auch auf dem AccessPoint 802.1q auf den Subinterfaces vom Ethernet
laufen ?
Gibt es dort auch für jedes Vlan ein "sub" -
interface Dot11Radio0.1 ?
Das sollte dann etwa so aussehen !
interface Dot11Radio0.10
encapsulation dot1Q 10 native
! AP's are placed in this VLAN
no ip proxy-arp
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 spanning-disabled
! If the virtual interfaces are configured via the HTTP GUI
! the bridge-group settings will be configured automatically
!
interface Dot11Radio0.20
encapsulation dot1Q 20
! Clients are placed in this VLAN
no ip route-cache
no cdp enable
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
bridge-group 20 spanning-disabled
interface BVI1
ip address 192.168.1.40 255.255.255.0
no ip route-cache
Und die IP deines AccessPoint ist hier im BVI1 konfiguriert !
Nicht am Ethernet !
Poste doch mal die AccessPoint Config, dann kann man mehr sagen !
Und schalte mal des Terminal monitoring ein, eventuell hast du ja nur nen
Vlan missmatch Problem !
MfG
Mr. Oiso
-
Hi Frosch007
Ja, so einen Befehl gibt es !
Probiere es mal mit :
Testmaschine#isdn test call interface bri 1/1 ?
WORD Dialing string
Testmaschine#isdn test call interface bri 1/1 12376596 ?
speed Set isdn data call speed
<cr>
Testmaschine#isdn test call interface bri 1/1 12376596 ?
speed Set isdn data call speed
<cr>
Testmaschine#isdn test call interface bri 1/1 12376596 speed ?
56 56K bps
64 64K bps
Testmaschine#isdn test call interface bri 1/1 12376596 speed 64
<cr>
Have a nice weekend !
Gruß Mr. Oiso
-
Hi m1k3
Gratuliere zur bestandenen Prüfung ! :)
Da proste ich gleich mal an,....... auf eine neue Cisco Karriere !
MfG
Mr. Oiso
-
!
interface Dialer1
description External $FW_OUTSIDE$
ip address negotiated
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw-out out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname Test.testuser.com
ppp chap password 7 xxxxxxxxxxxxxxxxxxxxxxx
ppp pap sent-username Test.testuser.com password 7 xxxxxxxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
crypto map OSNL
hold-queue 224 in
!
ip local pool dynvpn 192.168.37.1 192.168.37.100
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.1.16.0 255.255.255.0 192.168.7.1
ip route 172.16.0.0 255.255.0.0 10.10.10.100
ip route 192.168.6.0 255.255.255.0 192.168.7.1
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source list 140 interface Dialer1 overload
ip nat inside source static tcp 192.168.7.1 3389 interface Dialer1 3389
!
!
ip access-list extended UNKNOWN
ip access-list extended addr-pool
ip access-list extended dns-servers
ip access-list extended keinNAT
permit ip host 192.168.7.1 172.16.0.0 0.0.255.255
permit ip host 192.168.7.1 192.168.37.0 0.0.0.255
ip access-list extended key-exchange
ip access-list extended tunnel-password
ip access-list extended wins-servers
access-list 100 remark Cisco Express firewall configuration Trusted
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark Cisco Express firewall configuration External
access-list 101 permit tcp any any eq 3389
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq non500-isakmp
access-list 101 deny ip 192.168.7.0 0.0.0.255 any
access-list 101 permit tcp any any eq 2001
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 112 remark ACL-to-Crypto-Map
access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.7.0 0.0.0.255
access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255
access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 112 deny ip any any
access-list 140 remark Kein-NAT
access-list 140 deny ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 140 deny ip 192.168.7.0 0.0.0.255 192.168.37.0 0.0.0.255
access-list 140 deny tcp 192.168.7.0 0.0.0.255 eq 3389 any
access-list 140 deny tcp 192.168.7.0 0.0.0.255 any eq 3389
access-list 140 permit ip 192.168.7.0 0.0.0.255 any
access-list 140 remark VPN-Traffic
access-list 160 permit ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 160 permit ip 192.168.6.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 160 permit ip 10.1.16.0 0.0.0.255 172.16.0.0 0.0.255.255
dialer-list 1 protocol ip permit
no cdp run
route-map nonat permit 10
match ip address 140
!
route-map before-nat permit 10
match ip address keinNAT
set ip next-hop 192.168.37.253
!
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
login local
length 0
transport input telnet ssh
!
scheduler max-task-time 5000
end
Test-Router#
MfG
Mr. Oiso
-
Hi Thomas
Hier die Konfiguration:
Test-Router#sh run
Building configuration...
Current configuration : 7973 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Test-Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
username XXXXXXXXX privilege 15 password 7 xxxxxxxxxxxxxx
no aaa new-model
ip subnet-zero
no ip source-route
!
!
ip domain name Test-LAN.local
ip name-server 10.10.10.10
ip name-server 10.10.10.11
no ip bootp server
ip inspect udp idle-time 1800
ip inspect name myfw-in cuseeme timeout 3600
ip inspect name myfw-in ftp timeout 3600
ip inspect name myfw-in rcmd timeout 3600
ip inspect name myfw-in realaudio timeout 3600
ip inspect name myfw-in smtp timeout 3600
ip inspect name myfw-in tftp timeout 30
ip inspect name myfw-in udp timeout 15
ip inspect name myfw-in h323 timeout 3600
ip inspect name myfw-in tcp timeout 3600
ip inspect name myfw-out cuseeme
ip inspect name myfw-out ftp
ip inspect name myfw-out h323
ip inspect name myfw-out icmp
ip inspect name myfw-out netshow
ip inspect name myfw-out rcmd
ip inspect name myfw-out realaudio
ip inspect name myfw-out rtsp
ip inspect name myfw-out esmtp
ip inspect name myfw-out sqlnet
ip inspect name myfw-out streamworks
ip inspect name myfw-out tftp
ip inspect name myfw-out tcp
ip inspect name myfw-out udp
ip inspect name myfw-out vdolive
ip ips po max-events 100
ip ssh port 2001 rotary 1
ip ssh source-interface Dialer1
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxxxxxx address 10.10.10.100
no crypto isakmp ccm
crypto isakmp client configuration address-pool local dynvpn
!
crypto isakmp client configuration group MobileVPN-UK
key xxxxxxxxxx
dns 192.168.7.1
domain Test-LAN.local
pool dynvpn
!
!
crypto ipsec transform-set sharks esp-3des esp-sha-hmac
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map OSNL isakmp authorization list MobileVPN-UK
crypto map OSNL client configuration address respond
crypto map OSNL 1 ipsec-isakmp dynamic dynmap
crypto map OSNL 10 ipsec-isakmp
set peer 10.10.10.100
set ip access-group 112 in
set transform-set sharks
match address 160
!
!
!
interface Loopback0
ip address 192.168.37.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Ethernet0
description Trusted $FW_INSIDE$
ip address 192.168.7.254 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip inspect myfw-in in
ip virtual-reassembly
ip route-cache policy
ip policy route-map before-nat
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
description $ES_WAN$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 0/38
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
VLAN Database - Befehl nicht vorhanden
in Cisco Forum — Allgemein
Geschrieben
Hi Anakim
Info :
"vlan database" ist kein terminal command !
Schon mal in die "dir" geschaut ?
oder "sh flash" ?
Da sollte eine vlan.dat liegen, wenn nicht, dann hast Du bis jetzt nur nen
L3 Interface Vlan X gebaut.
Choose :
Switch#vlan database
Switch(vlan)#?
VLAN database editing buffer manipulation commands:
abort Exit mode without applying the changes
apply Apply current changes and bump revision number
exit Apply changes, bump revision number, and exit mode
no Negate a command or set its defaults
reset Abandon current changes and reread current database
show Show database information
vlan Add, delete, or modify values associated with a single VLAN
vtp Perform VTP administrative functions.
Switch(vlan)#
Nur so baut man ein Vlan auf L2 Ebene !
Greez
Mr. Oiso