mr._oiso

Hi Thomas Nachdem ich von Dir nichts mehr gehört habe scheint Dir ja etwas eingefallen zu sein. Oder gab es ein paar Probleme ? Nur noch mal zum Verständnis dieses einen Workaround von Cisco. Der Hintergrund dieser wirren Konfiguration ist der, dass es Probleme gibt die Inspected Firewall Role speziell am externen Interface (dialer) richtig zu definieren. Dadurch, dass in der ACL (inbound) am externen Interface normalerweise jeglicher zugelassener Traffic und VPN Traffic gemeinsam definiert werden muss um hier eine Ausnahme für die Firewall darzustellen, gibt es innerhalb von NAT ein paar Probleme. Normal sollte hier kein Traffic matchen (zugelassen werden), welcher zuvor weder am Trusted noch am External Interface inspected wird. Dieses ist jedoch bezogen auf den Tunnel Traffic nicht so einfach. Dieser, darf weder Inspected werden, noch gilt für ihn eine NAT Role. Darum ist man dazu übergegangen, (siehe Beispiel Konfiguration ACL 101) den Tunnel Traffic am External Interface für IP Inspect auch definitiv zu verbieten. Gleichzeitig jedoch wird eine neue ACL (i.B. ACL 112) definiert, welche den Tunnel Traffic umfasst und speziell am der Crypto-Map wieder erlaubt. Um nun zusätzlich auch noch sauber das NAT/PAT Problem zu umkurven, wurde speziell für den Tunnel, welcher eine Art Trusted Traffic darstellt, eine Routing Policy erstellt. Diese soll darfür sorgen, dass der Traffic erst garnicht mit NAT in Berührung kommt. (ip nat inside) Grundlage dazu: Routing Policy geht vor NAT, und NAT vor IPSec. Deshalb wurde nun eine Policy erstellt, ( ip access-list extended keinNAT) welche dafür sorgt, dass der Tunnel Traffic geroutet statt genattet wird. Im Beispiel wird der Traffic von Trusted ins Loopback geroutet. Von dort aus ist es dem definierten Traffic erlaubt, via default routing, ohne NAT Role (weder ip nat in- noch outside am loopback interface) den VPN Tunnel zu benutzen. :D Und schon sind wir alle sorgen los. Speziell bei meiner Konfiguration kam es vorher dazu, dass entweder RDP im Tunnel nicht mehr funktionierte, oder die static NAT (RDP) den Geist aufgeben hatte. Anfänglich hatte ich mir damit geholfen, TCP nicht mehr zu inspecten. Nur ist das ein grobes Faule zum Thema Sicherheit ! :mad: MfG M. Oiso

Hi Thomas Jo, das sieht schon fast so aus als hättest Du sogar die gleiche Hardware. Bei mir war es der 836er. Zwar auch nur mit ner 12.2 Version, bin aber genauso wie Du mehrfach mit unterschiedlichen IOS'n auf die Nase gefallen. Hier scheint es im Moment nur diesen Workaround zu geben. Immerhin ist es schon mitte des Jahres gewesen, wo mir dieses passiert ist. Den Link den ich Dir geschickt habe, ist auch ein Art Workaround. Drum würde mich Deiner auch brennend ineressieren. Werde Dir morgen aus dem Büro mal die resultierende Config hier Posten, weil in dem Workaround welchen ich Dir geschickt habe, ist so glaube ich ein kleiner Schönheitsfehler. MfG Mr. Oiso

Hi Thomas Ich hoffe nicht, dass ich schon zu spät bin. Aber wie ich sehe, gab es bisher noch keine Antwort auf Deine Frage. Hier habe ich erst mal einen Link welcher Dir weiter helfen dürfte. http://cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml Interessant wäre auf jeden Fall erst mal, um welche Hardware/Software handelt es sich hier bei Dir ? Hatte das gleiche Problem mit RDP durch den Tunnel und gleichzeitig mit static NAT für eine RDP Session über Internet. Eines von beiden lief nie, wenn ich nicht CABC abgeschaltet hatte. Versuche doch bitte verst, den Router auf mind. 12.3(8)T zu bringen. Denn dort besteht die Möglichkeit, den doppelten Check der "outside" ACL zu umgehen. Ab dieser Version kann man nämlich die "VPN" ACL auf die Crypto Map binden... Denn somit braucht man die Filter von privatem Netz zu privatem Netz nicht mehr in der "Outside" ACL definieren. Ich denke das sollte auch iin Deinem Fall helfen ! MfG Mr. Oiso

Hallo MuH Als erstes mal die Frage: Woran erkennst Du, dass alle Interfaces down sind ? Tut sich denn LED-Technisch garnichts mehr ? Oder reagiert der Router eventuell doch, wenn Du z.B. Ethernet anschließt ? In der Regel sieht es so aus, als sei die COM Scgnittstelle nicht richtig konfiguriert. Standard: Bits pro Sekunde : 9600 Datenbits : 8 Parität : keine Stoppbits : 1 Fulsssteuerung : keine Emulation : Automatische Erkennung Sollte dieses jedoch der Fall sein: Kabel falsch oder defekt < Tip mal tauschen. Als letzte Fehlerquelle (unangenehm): Die Einstellung für die Console ist in der IOS-Konfiguration verstellt. Da hilft nur testen, und/oder alle Einstellungen durchprobieren. Dabei würde ich in der Regel aber erst mal nur die Baud-Rate/Bits pro Sekunde von 2400 - 115200 durchtesten. In der Regel wird diese, wenn etwas umgestellt wird, verändert. Die Emulation kann eventuell mal hart auf ANSI gestellt werden. Viel Glück MfG Mr. Oiso

Hi tomtom2 Nun ja, wenn Du sagts Du hast das Handbuch gelesen, dann scheint es wohl so, als ob nicht viel drin steht ? :D O.K. Scherz beiseite. Um welchen Typ Switch von 3Com hadent es sich den genau ? Und welches Image (Software) läuft auf der Büchse ? Den ich sage es geht. Zumindest habe ich es schon mal gemacht ! Ist dummerweise nur schon etwas länger her. Eins kannst Du Dir auf jeden Fall schon mal abschminken. Dynamisch tauschen die beiden keine Vlan's aus. Das heißt auf deutsch, Du musst auf bneiden Switches die Vlan's von hand konfigurieren. In beiden Fällen muss jeweils die Vlan ID inklusive Name miteinander übereinstimmen. Dann sollte auf jedenfall das dot1q (tagging so heisst es wohl auch bei 3Com) an dem Port eingeschaltet sein, an dem Du den Cisco Switch dran hast. Mehr kann ich so ohne weitere Info nicht sagen. Ich weiss nur noch, dass ich das damals über die Web-Console beim 3Com gemacht habe. Hat Dein 3Com Switch eine ? (Software) Zumindest ließ sich die Sache über Web mit ein bischen tüfteln dann schließlich konfigurieren. MfG Mr. Oiso

Hi Pillem Deine Frage: ip virtual-reassembly Antwort: zu deutsch (wieder versammeln), ist ein Feature ab (12.3(8)T) welches dem IDS des Router's erlaubt, Rückschlüsse auf die Fragmentierung der IP-Packete welche durch CBAC dynamisch gehändelt werden, zu kontrollieren. Dieses ist notwendig, wenn man das Netz gegen (Various Fragmentation Attacks) schützen möchte. atm vc-per-vp 64 Antwort: Maximaler virtueller Channel Identifier im ATM Backbone wird gesetzt. no atm ilmi-keepalive Antwort: ILMI-Keepalive dient in der Regel dazu, die einzelnen (im Beispiel) 64 Channel via keepalive zu triggern und offen zu halten. Egal wie viele Channel zum Zeitpunkt X bezogen auf die Bandbreite benötigt werden. dsl operating-mode annexb-ur2 Antwort: Angabe über den xDSL Standard. annexb-ur2 ist Deutschland weiter Standard. Hier werden in anderen europäischen Nachbarländer oft andere Standards eingesetzt. Im Notfall ist hier auch der Modus auto möglich, zu automatischen Erkennung. Dieses macht der Router standardmäßig über das Web-Setup und stellt anschließend den erkannten Modus ein. pvc 1/32 Antwort: ATM Virtual Path Identifier = VPI ATM Virtual Channel Identifier =VCI Diese Einstellung ist Grundsätzlich an den Providerbackbone anzugleichen und dient zu Channel Erkennung. Diese Parameter sind je nach Provider unterschiedlich gesetzt. T-Online / Deutsch Telekom: VPI= 1 / VCI= 32 ARCOR: VPI= 8 / VCI= 35 AOL: VPI= 1 / VCI= 32 1&1: VPI= 1 / VCI= 32 Tiscali: VPI= 1 / VCI= 32 NetCologne: VPI= 8 / VCI= 35 HanseNet: VPI= 8 / VCI= 35 pppoe-client dial-pool-number 1 Antwort: Encapsulation pppoe wird gesetzt, explizit Client mode, und die Subinterface Gruppe wird gesetzt. Jedes Dialer Interface im Pool 1 ist nun berechtigt, das ATM interface zu triggern. Siehe dialer interface 1, zur Provider Anwahl. ip address negotiated Antwort: dynamische Adressanfordernung. ip nat inside source list 1 interface Dialer1 overload Antwort: Diese Command dient dazu, über die ACL 1 den zu NATenden Traffic für den Internetzugriff zu definieren. In der Regel ist in der Liste 1 das Lokale LAN z.B. access-list 1 permit ip 192.168.1.0 0.0.0.255 any hinterlegt. Hier gilt es oftmals auch ausschlüsse vorzunehmen, wenn z.B. VPN benötigt wird. für VPN würde dann kein NAT benötigt. access-list 1 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 1 permit ip 192.168.1.0 0.0.0.255 any Hier würde dann für den Traffic hin zum Netzwerk 172.16.0.0/16 durch einen VPN-Tunnel vom NAT ausgeschlossen. Ich hoffe das reicht ! MfG Mr. Oiso

Hi raphael26 Kurze Verbesserung, damit du Dich nicht dusselig suchst, aber "checkms" hat zwar Recht, nur das Cisco IOS kann kein SNTP. SNTP ist so weit ich weiss eine abgespeckte Protokoll Version von NTP. Wird aber nicht vom IOS unterstüzt. Sollte es das seit neuerem geben, bitte ich um Info ! MfG Mr. Oiso

Hi Basti Sorry, dass Dich das Board hat warten lassen. Nur um noch mal auf Nummer sicher zu gehen. Du machst statisches Port-Forwarding (NAT/PAT) von global outside Port 21/22 auf die IP Adresse des Server's und sagst : "funktioniert zwar das FTP aber die VPN-Verbindung nicht mehr!" Bricht Deine VPN weg oder funktioniert nur der gleiche Service innerhalb des Tunnel nicht ? -> In diesem Fall ist es eventuell ein Bug (habe selber gerade) Welchen VPN Type betrifft es ? dynamisch oder statisch ? (Mobile/Side-To-Side) Welche Software Version fährst Du auf der PIX ? Andernfalls versuchs mal mit nem debug crypto ipsec sa debug crypto isakmp sa während Du das Forwarding setzt. Eine Konfiguration ist immer von Vorteil, aber nimm die Passwörter.... raus ! MfG Mr. Oiso

Hallo Stadt-Tiger Irgendwie ist das eine komische Frage. Nein kann er nicht. Das Callback Verfahren muss immer so aufgebaut werden, dass die Kostenstelle immer die jenige ist, welche zurück Ruft. Also Router A requested beim ersten Anruf den Callback bei einem Router B. B nimmt dies entgegen und beendet das Gespräch von A mit der Ankündigung eines Rückrufs. A legt ebefalls auf und B Ruft dann A. Danach liegen alle Kosten bei B, obwohl A der eigendliche Initiator des Call's war. Das nennt man "Callback" MfG Mr. Oiso

Hi Duffman Das wichtigste hätte ich fast vergessen. Grundlegend liegt der Einsatz erst einmal daran, wieviel Speicher man auf seiner Hardware hat. Den in der Regel wird eine IOS Version, je neuer sie ist immer größer sein als die Vorgänger Version. Ergo ist allein hier ein Punkt oft schnell erreicht, an der man mit seiner Hardware einfach nicht mehr weiterkommt, und schon gar auf relativ neue und tolle Features verzichten muss. Auch das Aufrüsten von Speicher ist nicht unendlich dehnbar. Also muss man wirklich darauf schauen was man braucht. So haben z.B. bei Routern IOS Versionen mit FW/VPN Features oft einen hohen Speicherbedarf, da sie sonst nicht auf der Hardware laufen. MfG Mr. Oiso

Hallo Duffman Bestimmt gibt es neue IOS Versionen, auch für den alten 2924. Jedoch ist das IOS in der Regel immer einer Hardware zugeordnet. So bekommt man für die Router der Serie 800 bestimmt ein IOS welches auf jeden Router dieser Serie drauf passt. Bei Switches ist es genauso. Einige IOS Versionen laufen auf einer ganzen Reihe von Geräten. Jedoch kann man nicht pauschal sagen, dass ein IOS einer bestimmten Version auf jeder Hardware läuft. Das liegt ganz speziell auch daran, das die IOS Versionen sich auf Grund von Funktionalitäten stark unterscheiden. IOS Versionen für reine Layer2, oder auch Versionen mit den Routing auf einem Layer 2 Geräat möglich ist. Oder Router IOS, mit oder ohne Firwall Funktionalität oder gar VPN. Die aktuellste IOS Version liegt derzeit bei 12.4(1) 12.4(1a), ist aber nur für's Routing derzeit erhältlich. Wie man daraus sieht, entwickel sich die unterschiedlichen IOS Versionen je nach Hardware unterschiedlich. Gerade im Routingbereich geht oft alles viel schneller. MfG Mr. Oiso

Hallo michael Das Loopback Interface ist eine Art Virtuelles Netzwerk. Das Loobback Interface benutze ich hier nur als Zielnetzwerk, um den VPN Tunnel auch irgendwo enden zu lassen. Wie man sieht, wird der Tunnel am Ethernet Interface mit "crypto map dynmap" entgegengenommen und ins Loopback getunnelt. Natürlich geht es auch anders, z.B. könnet man den Tunnel am BRI0 entgegen nehmen und im Ethernet enden lassen. Das Loopback habe ich hier nur genommen, weil ich kein weiteres Interface neben dem Ethernet zur Verfügung hatte. Hin und wieder ist es auch einfacher über ein Loopback zu arbeiten, weil man zum Beispiel keine IP Adr. mehr zur Verfügung hat, somit kann dann mit dem Loopback ein neues Netz angegeben werden. Oder hin und wieder sieht man es auch im Zusammenhang mit Route-Redistribution. Dann dient es z.B. dazu, um von einem Routing Protokoll in ein anderes zu übersetzen. Es gibt viele Möglichkeiten ein Loopback einzusetzen, ist jedoch nicht zwingend. MfG Mr. Oiso

Hallo Board Heute mal ein Beispiel zur einfachen VPN-Konfiguration. Hierbei stellt der Cisco Router (1750er) einen VPN Server da, auf den nun von aussen, mit dem VPN Client für Win2k/XP von Cisco (aktuelle Version ist der VPN-Client 4.0.5) zugegriffen werden kann. Diese Konfiguration ist so aufgebaut, dass der Client über das Ethernet Interface auf den Router connectet, und dann mittelst dynpool in das Looback Interface getunnelt wird. Natürlich lässt sich der Tunnel connect auch problemlos und schnell ändern. Als Beispiel hier auf diesem Router, Connect auf das ISDN Interface, welches eventuell den Internet-Connect hält und den Tunnel ins Ethernet LAN herstellt. Die eingesetzte Software hier ist ein Cisco IOS 12.2.11(T9) IP/FW/IDS PLUS IPSEC 3DES Auch in diesem Beispiel ist ersichtlich, dass keine weitern Feature's konfiguriert sind als der reine VPN-Tunnel-Connect für den Client. Easy-VPN-Test#sh run Building configuration... Current configuration : 1245 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Easy-VPN-Test ! ! username xyz privilege 15 password 0 xyz memory-size iomem 15 ip subnet-zero ! ! ! ip audit notify log ip audit po max-events 100 ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local dynpool ! crypto isakmp client configuration group Easy-VPN-group key password dns 10.10.10.1 wins 10.10.10.5 domain intern.lan.local pool dynpool ! ! crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 1 set transform-set transform-1 reverse-route ! ! crypto map dynmap isakmp authorization list Easy-VPN-group crypto map dynmap client configuration address respond crypto map dynmap 1 ipsec-isakmp dynamic dynmap ! ! ! ! interface Loopback1 ip address 192.168.12.1 255.255.255.0 ! interface BRI0 no ip address shutdown ! interface FastEthernet0 ip address 10.10.10.1 255.255.255.0 speed auto crypto map dynmap ! ip local pool dynpool 192.168.12.10 192.168.12.20 ip classless no ip http server ! ! ! ! line con 0 login local line aux 0 line vty 0 4 login local ! end Easy-VPN-Test# MfG Mr. Oiso

Hallo Board Nach längerer Abstinentz vom Board, dachte ich mal über eine Rückkehr mit einigen Konfigurationsbeispielen nach. Grund hierfür ist, dass Boarduser oft nicht über die nötigen Berechtigungen (Cisco-CCO) verfügen, um solche Beispiele bei Cisco einzusehen. :D Habe in letzter Zeit viel konfiguriert und getestet. Deshalb hier einmal ein erstes Beispiel. Diese Grundkonfiguration eines Cisco Router vom Typ 1750 mit einem Standard IP Image ist gedacht für den Einsatz als Internet Gateway über ISDN. Gleichzeitig soll dieser aber auch einen Remote-Connect zulassen. Wichtig : Diese Konfiguration gilt für einen Anschluß an einem standard Telekom NTBA, also einem echten S0 vom Telefonanschluss, an dem standardmäßig eine Anwahl im D-Kanal durchgeführt werden kann. Anders sähe soetwas an einem Anlagenanschluss aus. Ebenfalls wird in dieser Konfiguration noch nicht auf das Triggern des Internet-Connects eingegangen. Mit dieser Konfiguration hält der Router permanent einen Internet-Connect. Achtung : Dieses verursacht unter umständen hohe Internetkosten Natürlich kann der Internet-Connect ausgehend von dieser Konfiguration auch als Anbindung an eine Geschäftsstelle umkonfiguriert werden. Oder der Geschäftsstelle die Möglichkeit geben einen Remote-Zugriff von Heim-Arbeitsplatz aus zuzulassen. Wichtig : Auch Firewall Funktionalität ist nicht konfiguriert Erstens fehlt eventuell das Firewall Feature Pack (IOS) oder wie in diesem Fall, eine eigens zum Schutz des LAN's eingesetzte Access-List am dialer interface. Dazu aber gerne später mehr. (PM an mich) hostname Router ! logging queue-limit 100 enable secret 5 $1$L4NX$GZ65.dSjyxKiWSOn2NrtY/ ! username freenet password 7 xyz username Testuser password 7 xyz memory-size iomem 15 ip subnet-zero ! ! ! ! isdn switch-type basic-net3 ! ! ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 ! interface FastEthernet0 ip address 192.168.180.254 255.255.255.0 ip nat inside speed auto ! interface Dialer1 description Freenet Einwahl bandwidth 64 ip address negotiated ip nat outside encapsulation ppp dialer pool 1 dialer string 019231770 dialer-group 1 ppp authentication chap pap callin ppp chap hostname freenet ppp chap password 7 0002010301550E12 ppp pap sent-username freenet password 7 1514190901242E30 ! interface Dialer2 description Remote Einwahlen ip unnumbered FastEthernet0 encapsulation ppp dialer pool 1 dialer remote-name Testuser dialer caller (reinkommende Tel.:) dialer-group 1 no keepalive ppp authentication ms-chap chap callin ppp chap hostname Testuser ppp chap password 7 xyz ! ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server ! ! ! access-list 1 permit 192.168.180.0 0.0.0.255 dialer-list 1 protocol ip permit ! ! line con 0 line aux 0 line vty 0 4 password 7 xyz login line vty 5 15 password 7 xyz login ! no scheduler allocate end Nächstes Beispiel wird werden: Easy VPN mit dem CiscoVPN Client MfG Mr. Oiso

Hallo Board, hallo IOS Freunde Hier mal ein Tip für das Web Management von Cisco Komponenten im Netzwerk. Seit Ende April ist der Network Assistant Version 2.0 von Cisco frei verfügbar. http://www.cisco.com/en/US/products/ps5931/index.html Die unterstützte Hardware : PLATFORMS Managed and Supported Devices The Cisco Network Assistant 2.0 supports the following SMB-Class Cisco Catalyst switches: • Catalyst 2900XL Series • Catalyst 2940 Series • Catalyst 2950 Series • Catalyst 2955 Series • Catalyst 2970 Series • Catalyst 2900 Series • Catalyst 2950 LRE Series • Catalyst 3500XL Series • Catalyst 3550 Series • Catalyst 3560 Series • Catalyst 3750 Series The Cisco Network Assistant 2.0 supports the following Cisco Catalyst modular switches and supervisor engines: • Catalyst 4500 Series Supervisor Engine II-Plus TS • Catalyst 4500 Series Supervisor Engine II-Plus • Catalyst 4500 Supervisor Engine IV • Catalyst 4503 Switch • Catalyst 4506 Switch • Catalyst 4507R Switch • Catalyst 4948 Switch The Cisco Network Assistant 2.0 supports the following Cisco Catalyst modular switch line cards and power supplies: • Catalyst 4500 10/100 Module,24-Ports(RJ45) • Catalyst 4500 10/100 Auto Module, 48-Ports (RJ-45) • Catalyst 4500 10/100 PoE 802.3af 24-ports (RJ45) • Catalyst 4500 PoE 802.3af 10/100, 48-Ports (RJ45) • Catalyst 4500 24-port 10/100/1000 Module (RJ45) • Catalyst 4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45) • Catalyst 4500 PoE 802.3af 10/ 100/1000 24-ports (RJ45) • Catalyst 4500 PoE 802.3af 10/100, 48-Ports (RJ21) • Catalyst 4500 6-port 1000BASE-X (GBIC) Gigabit Ethernet • Catalyst 4500 1000W AC Power Supply (Data Only) • Catalyst 4500 1300W AC Power Supply (Data and PoE) • Catalyst 4500 2800W AC Power Supply (Data and PoE) The Cisco Network Assistant 2.0 supports the following Cisco routers: • Cisco 800 Series Small Office Home Office Routers • Cisco 1700 Series Modular Access Routers • Cisco 1800 Series Integrated Services Routers • Cisco 2600 Series Multiservice Platforms • Cisco 2800 Series Integrated Services Routers • Cisco 3700 Series Multiservice Access Routers • Cisco 3800 Series Integrated Services Routers The Cisco Network Assistant 2.0 supports the following wireless access points: • Cisco Aironet® 350 Series • Cisco Aironet 1100 Series • Cisco Aironet 1200 Series The following devices are also supported: • Cisco Catalyst 6500 Series Switch with the Catalyst 6500 Supervisor Engine 32 • Cisco PIX 515E Firewall • Cisco IP phones Infos dazu : http://www.cisco.com/en/US/products/ps5931/products_data_sheet0900aecd8017a59e.html MfG Mr. Oiso

Hallo jk8s Router zum Üben kann man für wenig Geld bei eBay ersteigern. Jedoch muss nicht unbedingt eines der neusten Modelle sein. Empfehlen kann ich die Router der Serie 2500 ! Am besten den 2520. Auch zwei davon können nicht schaden. Somit kannst du auf jeden Fall Serial-Interfaces und ISDN-BRI erschlagen. Zusätzlich hat der 2520 auch noch 10BT/AUI womit Du ihn problemlos auch an aktueller Hardware betreiben kannst. Der 2504/2503 hat soweit mir noch im Hinterkopf nur Token-Ring statt Ethernet. Interessant ist bestimmt auch nen Router der 800er Serie, jedoch eventuell etwas teurer. Ausserdem haben diese keine Serial Interfaces. Diese kannst Du eben gut für Übungen im Bereich von Frame-Relay nutzen. Die Router der 700 Serie z.B. 760 kommen bald nicht mehr in der Prüfung vor, wenn überhaupt noch. Und vergiss nicht das Serial-Cable DTE/DCE ! Das sollte reichen MfG Mr. Oiso

Hi Primärplan Gute Frage ! Die SDM habe ich schon mehrfach auf Router'n der Version 2620,3620 etc. eingespielt. Jedoch befand sich hier nie vorher das CRWS. Ich denke die beste Lösung wäre, alles aus dem Flash zu löschen was Du nicht brauchst. Und anschließend ein squeeze bootflash: Oder : Konfiguration via tftp abspeichern und IOS = c836-k9o3s8y6-mz.123-11.T2.bin ebenso ! Danach format bootflash: IOS zurücksichern und danach copy running-config startup-config ! reload..................... Dann versuchs nochmal mit der SDM ! Hoffe es hilft ! MfG Mr. Oiso

Hallo Hamstergrill Natürlich gibt es soetwas ! Dafür solltest Du Dir am besten erst mal nen CCO Account bei Cisco.com anlegen und anschließend mal unter Suchen folgendes eingeben. Command References (IOS-Version) Hierzu am besten Deine aktuellen IOS Version auf den beiden Routern mit angeben, da Du nur Command References bezogen auf die installierte IOS-Software bekommst. Nicht aber bezogen auf den Router Typ. Soetwas gibt es bei Cisco nicht. Immerhin sind der 1600 und der 2500 Router nicht mehr die jüngsten. Ich hoffe dies hilft Dir weiter. Ansonsten poste mal die IOS Versionen die Du verwendest ! MfG Mr. Oiso

hi nemo26 Das Maximum liegt bei 1000 Punkten ! Wenn mich nicht alles täuscht bekommt man in der Regel allein durch die Teilnahme schon 300 Punkte, fehlen also nur noch 700. Wenn diese 700 also 100% sind, benötigst Du mit 549 zusätzlichen Punkten also noch etwa 78,428% richtige Antworten auf, wenn mich nicht alles täuscht, 65 Fragen und 2 Simulationen. Daraus folgt: 13 und mehr Fehler, und man fällt durch ! MfG Mr. Oiso

hi skywalker27 Warum möchtest Du den 2504 Updaten ? Gibt es bestimmte Features welche Du vermisst ? Setzt Du neue Hardware ein ? Dazu wirst Du Dir wohl erst mal anschauen müssen, welche Software für Dich in Frage kommt, welche nicht zu letzt auch von Deiner Hardware abhängt. NVRam und DRam Flash Speicher (für die größe der Software) und Ram (für den Arbeitsspeicher, welchen die Software als min. Vorraussetzung benötigt). Dazu kann ich Dir vorab sagen, dass Feature's wie IDS/FW/VPN/3DES etc. wahrscheinlich nicht für Dich in Frage kommen. Standard IP/IPX Feature's würden also maximal zu verbessern sein. Welches IOS setzt Du im Moment ein ? Zusätzlich benötigst Du noch nen CCO Account, mit dem Du die Berechtigung besitzt auch Software bei Cisco herrunterzuladen. Ist das nicht der Fall, so wirst Du wohl neue Software einkaufen müssen. Diese ist natürlich zu bezahlen. Frei verfügbar ist in der Regel nur ein Update innerhalb des selben Release Train der Software welche Du einsetzt und welche auch auf Deinen CCO Account hin Reg. sein sollte. Normalerweise gibt es Software hier: http://www.cisco.com/cgi-bin/Software/Iosplanner/Planner-tool/iosplanner.cgi Launch IOS Upgradeplanner ! Good Luck MfG Mr. Oiso

hi raphael26 von welchem IOS auf welches neue hast Du den gewechselt ? Versuchs doch mal mit dem Software Advisor von Cisco http://www.cisco.com/kobayashi/support/tac/tools.shtml Mit diesem Tool kannst Du Dir die Unterschiede zwischen den IOS Versionen anschauen, inkl. der Buggy Features ! Vieleicht stößt Du ja hier auf mögliche Probleme ! MfG Mr. Oiso

hi nani Hast Du wirklich den Befehl "erase" verwendet ? Und prüfe mal die Schreibweise des Image ! c3550-i9q3l2-mz.121.14.EA1a.bin Das Zeichen zwischen der 3 und der 2 ist keine 1 und auch kein I ! Sonder ein kleines "L" Es muss aber gehen ! Welches Tool verwendest Du für xmodem copy ? MfG Mr. Oiso

Hi nani Hast Du auch folgende Befehle vorab verwendet ? flash_init and load_helper Dies stand zu lesen, unter dem Link von Scooby ! http://www.cisco.com/warp/public/47...sing_image.html Und diese sind wichtig. Denn nur so kannst Du dir das flash: auch ansehen oder files löschen oder hinein kopieren ! MfG Mr. Oiso

hi darkjedi Und genau das war meine Vermutung ! c3500XL-c3h2s-mz-120.5-XU.bin Dieses Image wurde speziell entwickelt, um die GigaStack Module von Cisco zu unterstützen. Das sind die, mit denen man mehrere Switches untereinander Cross, im voll duplex Betrieb zusammenschließen kann, ohne dabei gleich die GIBC's SX,LX,HX zuverwenden. Dieses Image hat auch eine extra HTML/Java Side, mit der sie diese Module anzeigen kann. Ist aber wohl leider nicht rückwärts kompatibel. Du könntest mit einem Upgrade abhilfe schafen. Das aktuelle Release für die 3500 Serie ist : c3500xl-c3h2s-tar.120-5.WC10.tar für upgrade via web ! c3500xl-c3h2s-mz.120-5.WC10.bin für upgrade (only IOS) . Letzteres solltest Du nicht nehmen, hiermit änderst Du die lokale Homepage des Systems nicht ! Nur IOS ! MfG Mr. Oiso

hi raphael26 Service Policy ! Wofür wird sie verwendet ? Auf welcher Hardware ? Welches IOS ? Dann kann man sicherlich mehr sagen, wenn das Probelm noch besteht. Grundlegend hast Du recht, eine service-policy ist sowohl inbound und outbound an einem (jedem) Interface möglich ! MfG Mr. Oiso