mr._oiso

Hi Thomas

 

Nachdem ich von Dir nichts mehr gehört habe scheint Dir ja etwas eingefallen zu sein.

Oder gab es ein paar Probleme ?

 

Nur noch mal zum Verständnis dieses einen Workaround von Cisco.

Der Hintergrund dieser wirren Konfiguration ist der, dass es Probleme gibt

die Inspected Firewall Role speziell am externen Interface (dialer) richtig

zu definieren.

Dadurch, dass in der ACL (inbound) am externen Interface normalerweise

jeglicher zugelassener Traffic und VPN Traffic gemeinsam definiert werden

muss um hier eine Ausnahme für die Firewall darzustellen, gibt es innerhalb

von NAT ein paar Probleme.

Normal sollte hier kein Traffic matchen (zugelassen werden), welcher zuvor weder am Trusted noch am External Interface inspected wird.

Dieses ist jedoch bezogen auf den Tunnel Traffic nicht so einfach.

Dieser, darf weder Inspected werden, noch gilt für ihn eine NAT Role.

Darum ist man dazu übergegangen, (siehe Beispiel Konfiguration ACL 101)

den Tunnel Traffic am External Interface für IP Inspect auch definitiv zu verbieten.

Gleichzeitig jedoch wird eine neue ACL (i.B. ACL 112) definiert, welche den Tunnel

Traffic umfasst und speziell am der Crypto-Map wieder erlaubt.

 

Um nun zusätzlich auch noch sauber das NAT/PAT Problem zu umkurven, wurde

speziell für den Tunnel, welcher eine Art Trusted Traffic darstellt, eine Routing

Policy erstellt. Diese soll darfür sorgen, dass der Traffic erst garnicht mit NAT in

Berührung kommt. (ip nat inside)

Grundlage dazu: Routing Policy geht vor NAT, und NAT vor IPSec.

 

Deshalb wurde nun eine Policy erstellt, ( ip access-list extended keinNAT) welche dafür

sorgt, dass der Tunnel Traffic geroutet statt genattet wird.

Im Beispiel wird der Traffic von Trusted ins Loopback geroutet.

Von dort aus ist es dem definierten Traffic erlaubt, via default routing, ohne

NAT Role (weder ip nat in- noch outside am loopback interface) den VPN Tunnel

zu benutzen. :D

Und schon sind wir alle sorgen los.

 

Speziell bei meiner Konfiguration kam es vorher dazu, dass entweder RDP im Tunnel

nicht mehr funktionierte, oder die static NAT (RDP) den Geist aufgeben hatte.

Anfänglich hatte ich mir damit geholfen, TCP nicht mehr zu inspecten.

Nur ist das ein grobes Faule zum Thema Sicherheit ! :mad:

 

 

MfG

 

M. Oiso

Hi Thomas

 

Jo, das sieht schon fast so aus als hättest Du sogar die gleiche Hardware.

Bei mir war es der 836er. Zwar auch nur mit ner 12.2 Version, bin aber

genauso wie Du mehrfach mit unterschiedlichen IOS'n auf die Nase gefallen.

Hier scheint es im Moment nur diesen Workaround zu geben. Immerhin

ist es schon mitte des Jahres gewesen, wo mir dieses passiert ist.

Den Link den ich Dir geschickt habe, ist auch ein Art Workaround.

Drum würde mich Deiner auch brennend ineressieren.

Werde Dir morgen aus dem Büro mal die resultierende Config hier

Posten, weil in dem Workaround welchen ich Dir geschickt habe,

ist so glaube ich ein kleiner Schönheitsfehler.

 

MfG

 

Mr. Oiso

Hi Thomas

 

Ich hoffe nicht, dass ich schon zu spät bin.

Aber wie ich sehe, gab es bisher noch keine Antwort auf Deine Frage.

 

Hier habe ich erst mal einen Link welcher Dir weiter helfen dürfte.

 

http://cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml

 

Interessant wäre auf jeden Fall erst mal, um welche Hardware/Software handelt es sich

hier bei Dir ?

Hatte das gleiche Problem mit RDP durch den Tunnel und gleichzeitig mit static NAT für

eine RDP Session über Internet.

Eines von beiden lief nie, wenn ich nicht CABC abgeschaltet hatte.

 

 

Versuche doch bitte verst, den Router auf mind. 12.3(8)T zu bringen.

Denn dort besteht die Möglichkeit, den doppelten Check der "outside" ACL zu umgehen.

Ab dieser Version kann man nämlich die "VPN" ACL auf die Crypto Map binden...

Denn somit braucht man die Filter von privatem Netz zu privatem Netz nicht mehr in der "Outside" ACL definieren.

 

Ich denke das sollte auch iin Deinem Fall helfen !

 

MfG

 

Mr. Oiso

Hallo MuH

 

Als erstes mal die Frage:

Woran erkennst Du, dass alle Interfaces down sind ?

Tut sich denn LED-Technisch garnichts mehr ?

Oder reagiert der Router eventuell doch, wenn Du z.B. Ethernet anschließt ?

 

In der Regel sieht es so aus, als sei die COM Scgnittstelle nicht richtig konfiguriert.

 

Standard:

 

Bits pro Sekunde : 9600

Datenbits : 8

Parität : keine

Stoppbits : 1

Fulsssteuerung : keine

 

Emulation : Automatische Erkennung

 

Sollte dieses jedoch der Fall sein:

Kabel falsch oder defekt < Tip mal tauschen.

 

Als letzte Fehlerquelle (unangenehm):

Die Einstellung für die Console ist in der IOS-Konfiguration verstellt.

Da hilft nur testen, und/oder alle Einstellungen durchprobieren.

Dabei würde ich in der Regel aber erst mal nur die Baud-Rate/Bits pro Sekunde

von 2400 - 115200 durchtesten.

In der Regel wird diese, wenn etwas umgestellt wird, verändert.

Die Emulation kann eventuell mal hart auf ANSI gestellt werden.

 

Viel Glück

 

MfG

 

Mr. Oiso

Hi tomtom2

 

Nun ja, wenn Du sagts Du hast das Handbuch gelesen, dann scheint es wohl so, als

ob nicht viel drin steht ? :D

O.K. Scherz beiseite.

Um welchen Typ Switch von 3Com hadent es sich den genau ?

Und welches Image (Software) läuft auf der Büchse ?

 

Den ich sage es geht. Zumindest habe ich es schon mal gemacht !

Ist dummerweise nur schon etwas länger her.

Eins kannst Du Dir auf jeden Fall schon mal abschminken.

Dynamisch tauschen die beiden keine Vlan's aus.

Das heißt auf deutsch, Du musst auf bneiden Switches die Vlan's von hand

konfigurieren. In beiden Fällen muss jeweils die Vlan ID inklusive Name miteinander

übereinstimmen.

Dann sollte auf jedenfall das dot1q (tagging so heisst es wohl auch bei 3Com) an dem

Port eingeschaltet sein, an dem Du den Cisco Switch dran hast.

Mehr kann ich so ohne weitere Info nicht sagen.

Ich weiss nur noch, dass ich das damals über die Web-Console beim 3Com gemacht habe.

Hat Dein 3Com Switch eine ? (Software)

Zumindest ließ sich die Sache über Web mit ein bischen tüfteln dann schließlich

konfigurieren.

 

MfG

 

Mr. Oiso

Hi Pillem

 

Deine Frage:

ip virtual-reassembly

 

Antwort: zu deutsch (wieder versammeln), ist ein Feature ab (12.3(8)T) welches dem IDS

des Router's erlaubt, Rückschlüsse auf die Fragmentierung der IP-Packete welche durch

CBAC dynamisch gehändelt werden, zu kontrollieren.

Dieses ist notwendig, wenn man das Netz gegen (Various Fragmentation Attacks)

schützen möchte.

 

 

atm vc-per-vp 64

 

Antwort: Maximaler virtueller Channel Identifier im ATM Backbone wird gesetzt.

 

no atm ilmi-keepalive

 

Antwort: ILMI-Keepalive dient in der Regel dazu, die einzelnen (im Beispiel) 64 Channel via

keepalive zu triggern und offen zu halten. Egal wie viele Channel zum Zeitpunkt X bezogen auf die Bandbreite benötigt werden.

 

dsl operating-mode annexb-ur2

 

Antwort: Angabe über den xDSL Standard. annexb-ur2 ist Deutschland weiter Standard.

Hier werden in anderen europäischen Nachbarländer oft andere Standards eingesetzt.

Im Notfall ist hier auch der Modus auto möglich, zu automatischen Erkennung.

Dieses macht der Router standardmäßig über das Web-Setup und stellt anschließend den erkannten Modus ein.

 

pvc 1/32

 

Antwort:

ATM Virtual Path Identifier = VPI

ATM Virtual Channel Identifier =VCI

 

Diese Einstellung ist Grundsätzlich an den Providerbackbone anzugleichen und dient zu

Channel Erkennung. Diese Parameter sind je nach Provider unterschiedlich gesetzt.

 

T-Online / Deutsch Telekom: VPI= 1 / VCI= 32

ARCOR: VPI= 8 / VCI= 35

AOL: VPI= 1 / VCI= 32

1&1: VPI= 1 / VCI= 32

Tiscali: VPI= 1 / VCI= 32

NetCologne: VPI= 8 / VCI= 35

HanseNet: VPI= 8 / VCI= 35

 

pppoe-client dial-pool-number 1

 

Antwort: Encapsulation pppoe wird gesetzt, explizit Client mode, und die Subinterface Gruppe wird gesetzt. Jedes Dialer Interface im Pool 1 ist nun berechtigt, das ATM interface

zu triggern. Siehe dialer interface 1, zur Provider Anwahl.

 

ip address negotiated

 

Antwort: dynamische Adressanfordernung.

 

ip nat inside source list 1 interface Dialer1 overload

 

Antwort: Diese Command dient dazu, über die ACL 1 den zu NATenden Traffic für den

Internetzugriff zu definieren. In der Regel ist in der Liste 1 das Lokale LAN z.B.

access-list 1 permit ip 192.168.1.0 0.0.0.255 any

hinterlegt.

Hier gilt es oftmals auch ausschlüsse vorzunehmen, wenn z.B. VPN benötigt wird.

für VPN würde dann kein NAT benötigt.

access-list 1 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

access-list 1 permit ip 192.168.1.0 0.0.0.255 any

Hier würde dann für den Traffic hin zum Netzwerk 172.16.0.0/16 durch einen VPN-Tunnel

vom NAT ausgeschlossen.

 

Ich hoffe das reicht !

 

MfG

 

Mr. Oiso

Hi raphael26

 

Kurze Verbesserung, damit du Dich nicht dusselig suchst, aber "checkms" hat zwar

Recht, nur das Cisco IOS kann kein SNTP.

SNTP ist so weit ich weiss eine abgespeckte Protokoll Version von NTP.

Wird aber nicht vom IOS unterstüzt.

Sollte es das seit neuerem geben, bitte ich um Info !

 

MfG

 

Mr. Oiso

Hi Basti

 

Sorry, dass Dich das Board hat warten lassen.

Nur um noch mal auf Nummer sicher zu gehen.

Du machst statisches Port-Forwarding (NAT/PAT) von global outside Port 21/22 auf

die IP Adresse des Server's und sagst :

"funktioniert zwar das FTP aber die VPN-Verbindung nicht mehr!"

 

Bricht Deine VPN weg oder funktioniert nur der gleiche Service innerhalb des Tunnel

nicht ? -> In diesem Fall ist es eventuell ein Bug (habe selber gerade)

Welchen VPN Type betrifft es ? dynamisch oder statisch ? (Mobile/Side-To-Side)

Welche Software Version fährst Du auf der PIX ?

Andernfalls versuchs mal mit nem

debug crypto ipsec sa

debug crypto isakmp sa

während Du das Forwarding setzt.

Eine Konfiguration ist immer von Vorteil, aber nimm die Passwörter.... raus !

 

MfG

 

Mr. Oiso

Hallo Stadt-Tiger

 

Irgendwie ist das eine komische Frage.

Nein kann er nicht.

Das Callback Verfahren muss immer so aufgebaut werden, dass die Kostenstelle

immer die jenige ist, welche zurück Ruft.

Also Router A requested beim ersten Anruf den Callback bei einem Router B.

B nimmt dies entgegen und beendet das Gespräch von A mit der Ankündigung eines

Rückrufs. A legt ebefalls auf und B Ruft dann A.

Danach liegen alle Kosten bei B, obwohl A der eigendliche Initiator des Call's war.

 

Das nennt man "Callback"

 

 

MfG

 

Mr. Oiso

Hi Duffman

 

Das wichtigste hätte ich fast vergessen.

Grundlegend liegt der Einsatz erst einmal daran, wieviel Speicher man

auf seiner Hardware hat. Den in der Regel wird eine IOS Version, je neuer sie ist

immer größer sein als die Vorgänger Version.

Ergo ist allein hier ein Punkt oft schnell erreicht, an der man mit seiner

Hardware einfach nicht mehr weiterkommt, und schon gar auf relativ neue

und tolle Features verzichten muss. Auch das Aufrüsten von Speicher ist nicht

unendlich dehnbar. Also muss man wirklich darauf schauen was man braucht.

So haben z.B. bei Routern IOS Versionen mit FW/VPN Features oft einen hohen

Speicherbedarf, da sie sonst nicht auf der Hardware laufen.

 

MfG

 

Mr. Oiso

Hallo Duffman

 

Bestimmt gibt es neue IOS Versionen, auch für den alten 2924.

Jedoch ist das IOS in der Regel immer einer Hardware zugeordnet.

So bekommt man für die Router der Serie 800 bestimmt ein IOS welches auf

jeden Router dieser Serie drauf passt. Bei Switches ist es genauso.

Einige IOS Versionen laufen auf einer ganzen Reihe von Geräten.

Jedoch kann man nicht pauschal sagen, dass ein IOS einer bestimmten Version

auf jeder Hardware läuft. Das liegt ganz speziell auch daran, das die IOS Versionen

sich auf Grund von Funktionalitäten stark unterscheiden.

IOS Versionen für reine Layer2, oder auch Versionen mit den Routing auf einem

Layer 2 Geräat möglich ist. Oder Router IOS, mit oder ohne Firwall Funktionalität

oder gar VPN.

Die aktuellste IOS Version liegt derzeit bei 12.4(1) 12.4(1a), ist aber nur für's Routing

derzeit erhältlich.

Wie man daraus sieht, entwickel sich die unterschiedlichen IOS Versionen je nach

Hardware unterschiedlich. Gerade im Routingbereich geht oft alles viel schneller.

 

 

MfG

 

Mr. Oiso

Hallo michael

 

Das Loopback Interface ist eine Art Virtuelles Netzwerk.

Das Loobback Interface benutze ich hier nur als Zielnetzwerk, um den

VPN Tunnel auch irgendwo enden zu lassen.

Wie man sieht, wird der Tunnel am Ethernet Interface mit "crypto map dynmap"

entgegengenommen und ins Loopback getunnelt.

Natürlich geht es auch anders, z.B. könnet man den Tunnel am BRI0 entgegen

nehmen und im Ethernet enden lassen.

Das Loopback habe ich hier nur genommen, weil ich kein weiteres Interface neben

dem Ethernet zur Verfügung hatte.

Hin und wieder ist es auch einfacher über ein Loopback zu arbeiten, weil man zum

Beispiel keine IP Adr. mehr zur Verfügung hat, somit kann dann mit dem Loopback

ein neues Netz angegeben werden. Oder hin und wieder sieht man es auch im

Zusammenhang mit Route-Redistribution. Dann dient es z.B. dazu, um von einem

Routing Protokoll in ein anderes zu übersetzen.

Es gibt viele Möglichkeiten ein Loopback einzusetzen, ist jedoch nicht zwingend.

 

MfG

 

Mr. Oiso

Hallo Board

 

 

Heute mal ein Beispiel zur einfachen VPN-Konfiguration.

Hierbei stellt der Cisco Router (1750er) einen VPN Server da, auf

den nun von aussen, mit dem VPN Client für Win2k/XP von Cisco

(aktuelle Version ist der VPN-Client 4.0.5) zugegriffen werden kann.

Diese Konfiguration ist so aufgebaut, dass der Client über das Ethernet

Interface auf den Router connectet, und dann mittelst dynpool in das

Looback Interface getunnelt wird.

Natürlich lässt sich der Tunnel connect auch problemlos und schnell

ändern. Als Beispiel hier auf diesem Router, Connect auf das ISDN

Interface, welches eventuell den Internet-Connect hält und den Tunnel

ins Ethernet LAN herstellt.

Die eingesetzte Software hier ist ein Cisco IOS 12.2.11(T9)

IP/FW/IDS PLUS IPSEC 3DES

Auch in diesem Beispiel ist ersichtlich, dass keine weitern Feature's

konfiguriert sind als der reine VPN-Tunnel-Connect für den Client.

 

 

 

Easy-VPN-Test#sh run

Building configuration...

 

Current configuration : 1245 bytes

!

version 12.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Easy-VPN-Test

!

!

username xyz privilege 15 password 0 xyz

memory-size iomem 15

ip subnet-zero

!

!

!

ip audit notify log

ip audit po max-events 100

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp client configuration address-pool local dynpool

!

crypto isakmp client configuration group Easy-VPN-group

key password

dns 10.10.10.1

wins 10.10.10.5

domain intern.lan.local

pool dynpool

!

!

crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 1

set transform-set transform-1

reverse-route

!

!

crypto map dynmap isakmp authorization list Easy-VPN-group

crypto map dynmap client configuration address respond

crypto map dynmap 1 ipsec-isakmp dynamic dynmap

!

!

!

!

interface Loopback1

ip address 192.168.12.1 255.255.255.0

!

interface BRI0

no ip address

shutdown

!

interface FastEthernet0

ip address 10.10.10.1 255.255.255.0

speed auto

crypto map dynmap

!

ip local pool dynpool 192.168.12.10 192.168.12.20

ip classless

no ip http server

!

!

!

!

line con 0

login local

line aux 0

line vty 0 4

login local

!

end

 

Easy-VPN-Test#

 

MfG

 

Mr. Oiso

Hallo Board

 

Nach längerer Abstinentz vom Board, dachte ich mal über eine Rückkehr mit einigen

Konfigurationsbeispielen nach.

Grund hierfür ist, dass Boarduser oft nicht über die nötigen Berechtigungen (Cisco-CCO)

verfügen, um solche Beispiele bei Cisco einzusehen. :D

Habe in letzter Zeit viel konfiguriert und getestet.

Deshalb hier einmal ein erstes Beispiel.

 

Diese Grundkonfiguration eines Cisco Router vom Typ 1750 mit einem Standard IP Image

ist gedacht für den Einsatz als Internet Gateway über ISDN.

Gleichzeitig soll dieser aber auch einen Remote-Connect zulassen.

Wichtig : Diese Konfiguration gilt für einen Anschluß an einem standard Telekom NTBA,

also einem echten S0 vom Telefonanschluss, an dem standardmäßig eine

Anwahl im D-Kanal durchgeführt werden kann.

Anders sähe soetwas an einem Anlagenanschluss aus.

Ebenfalls wird in dieser Konfiguration noch nicht auf das Triggern des Internet-Connects

eingegangen. Mit dieser Konfiguration hält der Router permanent einen Internet-Connect.

Achtung : Dieses verursacht unter umständen hohe Internetkosten

 

Natürlich kann der Internet-Connect ausgehend von dieser Konfiguration auch als Anbindung an eine Geschäftsstelle umkonfiguriert werden. Oder der Geschäftsstelle die

Möglichkeit geben einen Remote-Zugriff von Heim-Arbeitsplatz aus zuzulassen.

 

Wichtig : Auch Firewall Funktionalität ist nicht konfiguriert

 

Erstens fehlt eventuell das Firewall Feature Pack (IOS) oder wie in diesem Fall, eine eigens

zum Schutz des LAN's eingesetzte Access-List am dialer interface.

 

Dazu aber gerne später mehr. (PM an mich)

 

hostname Router

!

logging queue-limit 100

enable secret 5 $1$L4NX$GZ65.dSjyxKiWSOn2NrtY/

!

username freenet password 7 xyz

username Testuser password 7 xyz

memory-size iomem 15

ip subnet-zero

!

!

!

!

isdn switch-type basic-net3

!

!

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

!

interface FastEthernet0

ip address 192.168.180.254 255.255.255.0

ip nat inside

speed auto

!

interface Dialer1

description Freenet Einwahl

bandwidth 64

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 1

dialer string 019231770

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname freenet

ppp chap password 7 0002010301550E12

ppp pap sent-username freenet password 7 1514190901242E30

!

interface Dialer2

description Remote Einwahlen

ip unnumbered FastEthernet0

encapsulation ppp

dialer pool 1

dialer remote-name Testuser

dialer caller (reinkommende Tel.:)

dialer-group 1

no keepalive

ppp authentication ms-chap chap callin

ppp chap hostname Testuser

ppp chap password 7 xyz

!

ip nat inside source list 1 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

!

!

!

access-list 1 permit 192.168.180.0 0.0.0.255

dialer-list 1 protocol ip permit

!

!

line con 0

line aux 0

line vty 0 4

password 7 xyz

login

line vty 5 15

password 7 xyz

login

!

no scheduler allocate

end

 

Nächstes Beispiel wird werden: Easy VPN mit dem CiscoVPN Client

 

MfG

 

Mr. Oiso

Hallo Board, hallo IOS Freunde

 

Hier mal ein Tip für das Web Management von Cisco Komponenten im Netzwerk.

Seit Ende April ist der Network Assistant Version 2.0 von Cisco frei verfügbar.

 

http://www.cisco.com/en/US/products/ps5931/index.html

 

Die unterstützte Hardware :

PLATFORMS

 

Managed and Supported Devices

 

The Cisco Network Assistant 2.0 supports the following SMB-Class Cisco Catalyst switches:

• Catalyst 2900XL Series

• Catalyst 2940 Series

• Catalyst 2950 Series

• Catalyst 2955 Series

• Catalyst 2970 Series

• Catalyst 2900 Series

• Catalyst 2950 LRE Series

• Catalyst 3500XL Series

• Catalyst 3550 Series

• Catalyst 3560 Series

• Catalyst 3750 Series

 

The Cisco Network Assistant 2.0 supports the following Cisco Catalyst modular switches and supervisor engines:

• Catalyst 4500 Series Supervisor Engine II-Plus TS

• Catalyst 4500 Series Supervisor Engine II-Plus

• Catalyst 4500 Supervisor Engine IV

• Catalyst 4503 Switch

• Catalyst 4506 Switch

• Catalyst 4507R Switch

• Catalyst 4948 Switch

 

The Cisco Network Assistant 2.0 supports the following Cisco Catalyst modular switch line cards and power supplies:

• Catalyst 4500 10/100 Module,24-Ports(RJ45)

• Catalyst 4500 10/100 Auto Module, 48-Ports (RJ-45)

• Catalyst 4500 10/100 PoE 802.3af 24-ports (RJ45)

• Catalyst 4500 PoE 802.3af 10/100, 48-Ports (RJ45)

• Catalyst 4500 24-port 10/100/1000 Module (RJ45)

• Catalyst 4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45)

• Catalyst 4500 PoE 802.3af 10/ 100/1000 24-ports (RJ45)

• Catalyst 4500 PoE 802.3af 10/100, 48-Ports (RJ21)

• Catalyst 4500 6-port 1000BASE-X (GBIC) Gigabit Ethernet

• Catalyst 4500 1000W AC Power Supply (Data Only)

• Catalyst 4500 1300W AC Power Supply (Data and PoE)

• Catalyst 4500 2800W AC Power Supply (Data and PoE)

 

The Cisco Network Assistant 2.0 supports the following Cisco routers:

• Cisco 800 Series Small Office Home Office Routers

• Cisco 1700 Series Modular Access Routers

• Cisco 1800 Series Integrated Services Routers

• Cisco 2600 Series Multiservice Platforms

• Cisco 2800 Series Integrated Services Routers

• Cisco 3700 Series Multiservice Access Routers

• Cisco 3800 Series Integrated Services Routers

 

The Cisco Network Assistant 2.0 supports the following wireless access points:

• Cisco Aironet® 350 Series

• Cisco Aironet 1100 Series

• Cisco Aironet 1200 Series

 

The following devices are also supported:

• Cisco Catalyst 6500 Series Switch with the Catalyst 6500 Supervisor Engine 32

• Cisco PIX 515E Firewall

• Cisco IP phones

 

Infos dazu :

http://www.cisco.com/en/US/products/ps5931/products_data_sheet0900aecd8017a59e.html

 

 

 

MfG

 

Mr. Oiso

Hallo jk8s

 

Router zum Üben kann man für wenig Geld bei eBay ersteigern.

Jedoch muss nicht unbedingt eines der neusten Modelle sein.

Empfehlen kann ich die Router der Serie 2500 !

Am besten den 2520. Auch zwei davon können nicht schaden.

Somit kannst du auf jeden Fall Serial-Interfaces und ISDN-BRI erschlagen.

Zusätzlich hat der 2520 auch noch 10BT/AUI womit Du ihn problemlos auch

an aktueller Hardware betreiben kannst. Der 2504/2503 hat soweit mir noch im

Hinterkopf nur Token-Ring statt Ethernet.

Interessant ist bestimmt auch nen Router der 800er Serie, jedoch eventuell etwas

teurer. Ausserdem haben diese keine Serial Interfaces. Diese kannst Du eben

gut für Übungen im Bereich von Frame-Relay nutzen.

Die Router der 700 Serie z.B. 760 kommen bald nicht mehr in der Prüfung vor, wenn

überhaupt noch.

Und vergiss nicht das Serial-Cable DTE/DCE !

 

Das sollte reichen

 

MfG

 

Mr. Oiso

Hi Primärplan

 

Gute Frage !

Die SDM habe ich schon mehrfach auf Router'n der Version 2620,3620 etc.

eingespielt. Jedoch befand sich hier nie vorher das CRWS.

Ich denke die beste Lösung wäre, alles aus dem Flash zu löschen was Du nicht brauchst.

Und anschließend ein squeeze bootflash:

Oder :

Konfiguration via tftp abspeichern und IOS = c836-k9o3s8y6-mz.123-11.T2.bin ebenso !

Danach format bootflash:

IOS zurücksichern und danach copy running-config startup-config !

reload.....................

 

Dann versuchs nochmal mit der SDM !

 

Hoffe es hilft !

 

MfG

 

Mr. Oiso

Hallo Hamstergrill

 

Natürlich gibt es soetwas !

Dafür solltest Du Dir am besten erst mal nen CCO Account bei Cisco.com

anlegen und anschließend mal unter Suchen folgendes eingeben.

Command References (IOS-Version)

Hierzu am besten Deine aktuellen IOS Version auf den beiden Routern mit angeben,

da Du nur Command References bezogen auf die installierte IOS-Software bekommst.

Nicht aber bezogen auf den Router Typ.

Soetwas gibt es bei Cisco nicht.

Immerhin sind der 1600 und der 2500 Router nicht mehr die jüngsten.

 

Ich hoffe dies hilft Dir weiter.

 

Ansonsten poste mal die IOS Versionen die Du verwendest !

 

MfG

 

Mr. Oiso

hi nemo26

 

Das Maximum liegt bei 1000 Punkten !

Wenn mich nicht alles täuscht bekommt man in der Regel allein durch die

Teilnahme schon 300 Punkte, fehlen also nur noch 700.

Wenn diese 700 also 100% sind, benötigst Du mit 549 zusätzlichen Punkten

also noch etwa 78,428% richtige Antworten auf, wenn mich nicht alles täuscht,

65 Fragen und 2 Simulationen.

 

Daraus folgt: 13 und mehr Fehler, und man fällt durch !

 

MfG

 

Mr. Oiso

hi skywalker27

 

Warum möchtest Du den 2504 Updaten ?

Gibt es bestimmte Features welche Du vermisst ?

Setzt Du neue Hardware ein ?

Dazu wirst Du Dir wohl erst mal anschauen müssen, welche Software für Dich in Frage kommt, welche nicht zu letzt auch von Deiner Hardware abhängt.

NVRam und DRam

Flash Speicher (für die größe der Software) und

Ram (für den Arbeitsspeicher, welchen die Software als min. Vorraussetzung benötigt).

 

Dazu kann ich Dir vorab sagen, dass Feature's wie IDS/FW/VPN/3DES etc. wahrscheinlich

nicht für Dich in Frage kommen.

Standard IP/IPX Feature's würden also maximal zu verbessern sein.

Welches IOS setzt Du im Moment ein ?

 

Zusätzlich benötigst Du noch nen CCO Account, mit dem Du die Berechtigung besitzt auch

Software bei Cisco herrunterzuladen.

Ist das nicht der Fall, so wirst Du wohl neue Software einkaufen müssen.

Diese ist natürlich zu bezahlen.

Frei verfügbar ist in der Regel nur ein Update innerhalb des selben Release Train der

Software welche Du einsetzt und welche auch auf Deinen CCO Account hin Reg. sein sollte.

 

Normalerweise gibt es Software hier:

http://www.cisco.com/cgi-bin/Software/Iosplanner/Planner-tool/iosplanner.cgi

 

Launch IOS Upgradeplanner !

 

Good Luck

 

MfG

 

Mr. Oiso

hi raphael26

 

von welchem IOS auf welches neue hast Du den gewechselt ?

 

Versuchs doch mal mit dem Software Advisor von Cisco

http://www.cisco.com/kobayashi/support/tac/tools.shtml

 

Mit diesem Tool kannst Du Dir die Unterschiede zwischen den

IOS Versionen anschauen, inkl. der Buggy Features !

 

Vieleicht stößt Du ja hier auf mögliche Probleme !

 

MfG

 

Mr. Oiso

hi nani

 

Hast Du wirklich den Befehl "erase" verwendet ?

 

Und prüfe mal die Schreibweise des Image !

c3550-i9q3l2-mz.121.14.EA1a.bin

 

Das Zeichen zwischen der 3 und der 2 ist keine 1 und auch kein I !

Sonder ein kleines "L"

Es muss aber gehen !

Welches Tool verwendest Du für xmodem copy ?

 

MfG

 

Mr. Oiso

Hi nani

 

Hallo,

 

Das dachte ich mir schon. Ich schaff es einfach nicht das IOS zu löschen geschweige denn ein neues darauf zu spielen. Ich habe die tipps von Moderator versucht, aber leider vergebens.

Wie du unten sehen kannst funktioniert der dir-befehl, wenn ich aber einen dir flash absetze kommt volgender fehler:

 

switch: dir

 

List of filesystems currently registered:

 

flash[0]: (read-write)

xmodem[1]: (read-only)

null[2]: (read-write)

bs[3]: (read-only)

 

switch: dir flash

unable to stat flash/: permission denied

 

Wenn ich das file laden möchte kommt:

switch: copy xmodem flash:c3500xl-c3h2s-mz.120-5.WC10.bin

xmodem: permission denied

 

Wäre toll wenn mir da jemand weiterhelfen kann. Danke im voraus

 

Gruss

Euli

 

Hast Du auch folgende Befehle vorab verwendet ?

flash_init and load_helper

 

Dies stand zu lesen, unter dem Link von Scooby !

http://www.cisco.com/warp/public/47...sing_image.html

 

Und diese sind wichtig. Denn nur so kannst Du dir das flash: auch ansehen oder

files löschen oder hinein kopieren !

 

 

MfG

 

Mr. Oiso

hi darkjedi

 

Und genau das war meine Vermutung !

 

c3500XL-c3h2s-mz-120.5-XU.bin

 

Dieses Image wurde speziell entwickelt, um die GigaStack Module von Cisco

zu unterstützen. Das sind die, mit denen man mehrere Switches untereinander

Cross, im voll duplex Betrieb zusammenschließen kann, ohne dabei gleich die

GIBC's SX,LX,HX zuverwenden. Dieses Image hat auch eine extra HTML/Java

Side, mit der sie diese Module anzeigen kann. Ist aber wohl leider nicht rückwärts

kompatibel. Du könntest mit einem Upgrade abhilfe schafen.

Das aktuelle Release für die 3500 Serie ist :

c3500xl-c3h2s-tar.120-5.WC10.tar für upgrade via web !

c3500xl-c3h2s-mz.120-5.WC10.bin für upgrade (only IOS) .

Letzteres solltest Du nicht nehmen, hiermit änderst Du die lokale Homepage des

Systems nicht ! Nur IOS !

 

MfG

 

Mr. Oiso

hi raphael26

 

Service Policy !

Wofür wird sie verwendet ?

Auf welcher Hardware ?

Welches IOS ?

 

Dann kann man sicherlich mehr sagen, wenn das Probelm noch besteht.

Grundlegend hast Du recht, eine service-policy ist sowohl inbound und outbound

an einem (jedem) Interface möglich !

 

MfG

 

Mr. Oiso