mr._oiso

hi darkjedi Ich denke Du wirst es schon erkannt haben ! Switch upgrade, könnte die Lösung sein ! Allerdings kenne ich das Probelm so nicht ! Kannst Du mal nen Screen-Shot machen und mir schicken an fschneebeck@ete-datentechnik.com Würde mich sehr interessieren. Welche Software Version hast Du auf dem Cat 3524 laufen ? Gib mir mal den Image-Namen Den findest Du hostname#dir MfG Mr. Oiso

Hi Stadt-Tiger O.k. ! Mal schnell die ersten Fragen : Welche IOS Version setzt Du ein ? "show version" "ISDN BR0: received HOST_DISCONNECT_ACK" ist eigentlich ein Indiz, dass der PC die Verbindung trennt. Bekomme der PC eine IP-Adr. und kann er innehalb der 8 Sek. das dialer-interface des Router's pingen ? Welche Telefonleitung benutzt Du ? Einen Echten S0 von einem NTBA oder gehst Du über eine Telefonanlage ? Versuch mal die Verbindung direkt über das Bri0 zu konfigurieren ohne über das dialer-interface zu gehen. interface BRI0 bandwidth 64 ip address 100.x.x.x 255.255.255.0 encapsulation ppp dialer in-band dialer string xxxxxx dialer-group 1 isdn switch-type basic-net3 peer default ip address pool router-group-1 ppp authentication chap Wenn Du nicht über Telefonanlage gehst, nimm auch mal das dialer in-band raus und probiers dann. Trage aber auf jeden Fall mal den switch type am Bri ein ! Erweitere das debugging ! debug ppp events debug ppp authentication debug isdn events debug isdn q921 und q931 MfG Mr. Oiso

hi tinsel So weit so gut ! Den ACS haben wir erstmal aussen vor gelassen. Hier wäre der CA Domain-controller als trusted zu konfigurieren, was wir natürlich gemacht haben. Jedoch gibt es mit Win2K ein paar Probleme ! Ein XP Client macht soweit keine Mukken. Hier lauft die Authentifizierung 802.1x Wired (Cat2950) und Wireless (Aironet1200) problemlos. Jedoch will es unter Win2K nicht funktionieren. Hier mal ein debug radius/aaa 07:15:58: AAA/AUTHEN/CONT (922714513): continue_login (user='Frank@Testnetzete.l ocal') 07:15:58: AAA/AUTHEN (922714513): status = GETDATA 07:15:58: AAA/AUTHEN (922714513): Method=radius (radius) 07:15:58: RADIUS: ustruct sharecount=1 07:15:58: RADIUS: EAP-login: length of radius packet = 163 code = 1 07:15:58: RADIUS: Initial Transmit FastEthernet0/20 id 36 10.10.3.1:1812, Access -Request, len 163 07:15:58: Attribute 4 6 0A0A03FD 07:15:58: Attribute 5 6 0000C364 07:15:58: Attribute 79 8 020D0006 07:15:58: Attribute 80 18 32F229BA 07:15:58: RADIUS: Received from id 36 10.10.3.1:1812, Access-Challenge, len 1576 07:15:58: Attribute 27 6 0000001E 07:15:58: Attribute 79 255 010E05D8 07:15:58: Attribute 79 255 74686F72 07:15:58: Attribute 24 24 053B010C 07:15:58: Attribute 80 18 B4A37159 07:15:58: RADIUS: EAP-login: length of eap packet = 1496 07:15:58: RADIUS: EAP-login: got challenge from radius 07:15:58: AAA/AUTHEN (922714513): status = GETDATA 07:16:33: AAA/AUTHEN/CONT (3650909570): continue_login (user='aweller@Testnetzet e.local') 07:16:33: AAA/AUTHEN (3650909570): status = GETDATA 07:16:33: AAA/AUTHEN (3650909570): Method=radius (radius) 07:16:33: RADIUS: ustruct sharecount=1 07:16:33: RADIUS: EAP-login: length of radius packet = 212 code = 1 07:16:33: RADIUS: Initial Transmit FastEthernet0/13 id 40 10.10.3.1:1812, Access -Request, len 212 07:16:33: Attribute 4 6 0A0A03FD 07:16:33: Attribute 5 6 0000C35D 07:16:33: Attribute 61 6 0000000F 07:16:33: Attribute 24 24 053C010D 07:16:33: Attribute 79 55 02020035 07:16:33: Attribute 80 18 716954A7 07:16:33: RADIUS: Received from id 40 10.10.3.1:1812, Access-Accept, len 210 07:16:33: Attribute 79 6 03030004 07:16:33: Attribute 26 6 0000000907060000 07:16:33: Attribute 7 6 00000001 07:16:33: RADIUS: EAP-login: length of eap packet = 4 07:16:33: RADIUS: EAP-login: radius didn't send any vlan 07:16:33: AAA/AUTHEN (3650909570): status = PASS 07:16:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, chan ged state to up 07:16:58: AAA/MEMORY: free_user_quiet (0x80F1BE28) user='Frank@Testnetzete.local ' ruser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3- 6A-08/00-0C-CE-38-CC-94' authen_type=6 service=17 priv=1 ACS-Client1#u all All possible debugging has been turned off ACS-Client1# Auf Port 13 kommt er XP Client mit user aweller rein ! Auf Port 20 der Win2K mit user frank jedoch nicht, obwohl die challenge vom Radius-Server zurückkommt. Der Port bekommt einfach nicht den Status = PASS ! Sämtliche Zwertifikate mal erneuert und auch die RAS-Berechtigung geprüft, aber es will nicht gelingen. Weiß jemand Rat ? MfG Mr. Oiso

hi tinsel Das siehst Du richtig ! In der Regel benötigst Du doch zwei Benutzer/Passwörter. Ich gehe davon aus, dass einmal der Client (Host) eine Netzwerkauthentication benötigt um sich am Netzwerk via 802.1x anzumelden. Diese wird benötigt, um den Port auf dem Switch zu öffnen. Zusätzlich benötigt der User, welcher an diesem Host arbeitet ebenfals eine Authentication um sich an der Domain anzumelden. Diese Anmeldungen können aber müssen nicht miteinander verknüpft werden. Zumindest scheint der Cisco ACS (bei mir via Zertifikate) den Port nicht aufzumachen, wenn er nicht beide Zertifikate ordnungsgemäß besitzt und gegen die Microsoft CA Root prüfen kann. Problem: Windows Dialin Permission required ! Ist die Fehlermeldung im Log vom ACS wenn der Client mit dem Zertifikat kommt. Weiß jemand eventuell wie ich mein Zertifikat von der Domain mal testen kann ? MfG Mr. Oiso

Hi Morte eq = equal = gleich Das eq wird in der ACL gesetzt, wenn man genau einen Prot tcp/udp damit abfragen möchte. domain ist hier die Umschreibung für dns = domain name service. Mit anderen Worten ist : genau dns Port tcp/udp 53 gemeint ! Es gibt aber auch die Kürzel gt / lt / range. Hiermit wird eine Port range bezeichnet. range Port 1-65535 lt = lower than Port x gt = greater than Port Y z.B. Bei der Sache mit der Callback-Verbindung über die Router, ist es nun von Bedeutung wie Deine dialer-list aussieht. Ich gehe mal davon aus, dass es wirklich Broadcast ist, welcher Dir die ISDN-Leitung vom Server aus wieder triggert. Triggert=iniziiert Was genau heißt, "Beim Ping macht er das aber nicht " ? Von wo aus wird der ICMP-Request abgesetzt ? Sonst poste mal Deine dialer-list von beiden Routern. Die Dialer-List ist dafür verantwortlich, bei welchem IP-Packet der Router die Wählverbindung anstoßen darf und wann nicht. Diese können und sollten natürlich je nach Richtung des Traffic von Server to Client und Client to server berücksichtigt werden. Wahrscheinlich hat der Client bei Deinem Ping-Versuch nur gerade keinen Broadcast gesendet und somit hat alles funktioniert. Nur umgekehrt ist die Frage, wer oder was macht der PC am Server-Router ! Eventuell doch Broadcast ? MfG Mr. Oiso

Hi Thomas Sorry wenn ich dir nicht viel dazu sagen kann, aber ich arbeite mich in das Thema gerade wieder erst ein ! Jedoch denke ich in diesem Thread http://www.mcseboard.de/showthread.php?t=38359&highlight=Radius da hat Zion durchblicken lassen, dass er bestimmt im Stande ist dir ein paar Sachen dazu sagen kann. ;) MfG Mr. Oiso

Hi Morte Sorry, dass ich dich schon fast im Stich gelassen habe, aber bei mir war in den letzten Wochen einfach zu viel los ! Mein großes Cisco Projekt hat mich fast aufgefressen. Aber wie ich sehe hat Robert dir ja das wichtigste mitgegeben. Hast Du den nun alles laufen, oder zwickt es noch irgendwo ! Lass es uns wissen ! Gruß Mr. Oiso

hi Operator Ich klopfe mal gearde jeden ab, der zu Deinem/unserem Probelm noch im Stoff steht. Grund: Bin selber gerade an dieser Konfiguration am Bastel. Ich setze hier jedoch nen Cat 2950 mit IOS 12.2 (22)EA2 ein. Dies sollte jedoch nicht das Problem sein ! Habe dazu nen Cisco ACS 3.3 auf nem W2K Server laufen mit vollfunktionfähigem Certificate Server. Die einfache Radius Authentication local auf dem Switch ist soweit nicht das Problem. Jetzt stehe ich hier vor genau der selben Stelle ! Jedoch sieht mein dot1x debug etwas anders aus ! Frage: Ist das Thema bei Dir noch aktuell ? Könnten wir uns hier etwas ergänzen ? Ist ja bei dir immerhin scho 8 Wochen her ? mfg Mr. Oiso

hi tinsel Da sieht wohl so aus wie Du sagst. Allerdings hab ich mal gearde eine Frage. Ich befinde mich im Moment an der selben Stelle. Allerdings suche ich erst mal nach einer Funktion um nur die Authentication auf dem Client über den Switch sicher zu stellen ! Bist Du noch im Stoff ? Oder auf der suche nach der Lösung ? Setze selbst den ACS von Cisco ein ! Welche Radius Attribute hast Du gewählt ? Standard IETF ? mfg Mr. Oiso

hi steinhauer_mark Die ganze Sache wird auch wie folgt angegeben ! z.B ip domain name xyz.dyndns.de ip name-server 192.168.1.251 ip name-server 192.168.1.250 Kein command mit dns needed ! MfG Mr. Oiso

hi steinhauer_mark Normaler weise sollte in Deinem Release auch DNS verfügbar sein ! Ich wüßte nicht, das es nicht gehen sollte. Mit dem Router 1721 hat das nichts zu tun ! Versuchs mal mit "ip domain name" und anschließend mit ip dns server, eventuell macht er es erst dann ! MfG Mr. Oiso

hi steinhauer_mark thorgood hat recht, "ip nat inside source static tcp 192.168.1.200 80 interface Dialer1 80" ist der richtige command, aber es sieht so aus als ob Du dann aber die ip nat translation timeout 86400 ip nat translation tcp-timeout 86400 ip nat translation udp-timeout 300 ip nat translation dns-timeout 60 ip nat translation finrst-timeout 60 zumindest für TCP 80 könnte es die Lösung sein ! Schau aber nochmal richtig nach gleich ! MfG Mr. Oiso

hi Bender Das Config-Regidter findest Du mit "show version" und sollte so aussehen ! 0x2102 Dann sollte der Router die Konfiguration behalten ! MfG Mr. Oiso

hi zimbo123 Bei den Fragen 1,2 und 4 stimme ich voll und ganz Deiner Meinung zu. Bei Frage 3 weiss ich nicht so recht was mit dem "What wo" gemeint ist welcher die Performance nachweislich beeinträchtigt. Wenn wirklich der Faktor gesucht ist, welcher das herrabsetzen der Performance im gegebenen Fall entscheidet, ist Deine Antwort ebenfals richtig ! MfG Mr. Oiso

Hi Morte, lange nicht gesehen ! Ja, du kannst es via ACL's an den Subinterfaces lösen. Nicht aber durch eine ACL am Hauptinterface ! Du solltes in jeder ACL klar definieren was und wer wohin darf ! Bei "in und out" mache Dir einfach eine Eselsbrücke ! In = inbound entspricht dem Traffic welcher in das Interface hinein muss, Out = outbound entspricht dem Traffic welcher herraus muss. ein Beispiel : interface FastEthernet0/1.4 encapsulation dot1Q 4 ip address 10.10.1.1 255.255.255.0 ip access-group 110 in ! interface FastEthernet0/1.5 encapsulation dot1Q 5 ip address 10.10.2.1 255.255.255.0 ip access-group 111 out Hier bedeutet die "access-group 110 in", das in der ACL 110 der Traffic zu definieren ist, welcher aus dem Vlan 4 herraus in jede andere Richtung muss/darf/oder verboten wird. Die ACL an FastEthernet0/1.5 bedeutet, dass in ihr der Traffic definiert wird, welcher nach dem Routing Prozess noch in das Vlan 5 hinein darf/muss/ oder eben nicht. Du merkst schon an der Formulierung, dass inbound ACL's den Router schonen. Denn solltest Du gewissen Taffic nicht in Vlan 5 nicht hineinlassen wollen, dann sollte man diesen auch an Vlan 4 schon droppen lassen um den Route Prozess nicht unnötig zu belasten. Wenn er aber nach Vlan 1 muss, dann must Du ihn schon reinlassen ... in den Router ! :D Hope this works ! MfG Mr. Oiso

hi thorgood Danke für diese Aussage ! Das ist doch genau was ich suche. Ich hoffe nur das funktioniert auch auf dem NT4.0 PDC. Dann wären wohl vorab schon mal die größten Proleme beseitigt. Thx mfg Mr. Oiso

hi@all Über die von mir angesprochene Netzwerkstruktur kann ich nur sagen.... Das ist nicht das einzige Netz, welches in dieser Form angetroffen habe. Hier gibt es noch viele, welche den Migrationsprozess von Token-Ring nach Ethernet entweder nicht zu Ende geführt haben, oder es scheinbar nie so richtig vorhatten. Und eben genau hier habe ich immer Probleme mit DNS gehabt, weil es hier meißt entweder keine Domain Struktur gibt, oder es sich oft um Windows für Wohnzimmergemeinschaften handelt. Am besten noch mit NetBios anstelle von DNS ! MfG Mr. Oiso

Hallo Data, hallo candy, hi carlito, hi Velius Ich werde mal eben aufklären ! Also ob diese Netzwerkkonstellation so sein muss oder nicht ist wirklich fraglich. So habe ich es bei einer Fehleranalyse vorgefunden. Bei den Netzwerken A und B handelt es sich : A um ein Token-Ring Netz B um Ethernet Die ganze Struktur ist also hirachisch gewachsen. Es handelt sich also um eine schrittweise Migration von Token-Ring nach Ethernet. Das Problem an der ganzen Sache ist zusätzlich, das es insgesamt 7-8 Devices in dieser Struktur gibt, welche IP-Forwarding (Routing) machen könnten. Es handelt sich dabei drei mal um eine AS400 und drei mal um einen Windows NT 4.0 (PDC,BDC) sowie diesen Router in der Mitte, welche jeweils im Token-Ring und im Ethernet ein Netzwerkinterface besitzen. Der Router (Cisco) sollte in der Lage sein sämtlichen Traffic zu routen, jedoch schien man es aus Performance Gründen für besser zu halten, jeden dieser 6 Server sowohl in Token-Ring als auch in Ethernet zu platzieren. Der Server N ist also in dieser Struktur der NT4.0 PDC und der Server S ist eine der beiden AS400 auf welchem ein Lotos Notes läuft. Die Clients C1 und C2 sind jeweils nur ein Client als Beispiel von vielen aus dem Token-Ring Netzwerk, welche eben durch die nicht eindeutige Namesauflösung durch den PDC entweder direkt oder eben über Umweg erst an den Lotos Notes Server kommen. Teilweise benötigt der DNS Request z.B. bei einem einfachen Ping<Name> bis zu 12 sec. bevor der DNS Server überhaupt die IP rausrückt. @Data1701 Genau davon gehen wir erst mal nicht aus ! Es sieht so aus, als ob der Client wahlweise den direkten Weg durch den Token-ring nimmt, aber auch nicht abgeneigt ist, den Umweg über den Router ins Ethernet anzutreten. Genau hier liegen nämlich die ungeklärten Connection Probleme des Kunden. Z.B. muss eine AS400 auf einen FTP-Server im Token-Ring zyklisch zugreifen um Versand-Daten abzuholen, diesen erreicht sie aber komischerweise nur dann, wenn er den Server permanent pingt. Ansonsten nimmt sie den Umweg oder kommt garnicht mehr an den FTP-Server. Die Sache mit der Gewichtung ist uns bisher nicht bekannt gewesen ! Farge: Wie macht man das ? Kann das ein NT4.0 überhaupt schon ? @carlito Deine drittletzte Frage ist schon klar ! Eigentlich sollte der Router sein übriges erledigen. Er tut es soweit auch. Jedoch musste ich erst sämtliche Routingtabellen auf den 7-8 Devices überprüfen um es sicherzustellen. Ich hatte anfänglich grobe Verstöße im Routing (Subneting usw.) beseitigen müssen, damit es annähernd o.k. ist. Leider konnte bis dato kein einheitliches Gateway vom Token-Ring ins Ethernet festgelegt werden. @velius Ich hoffe allen Erklärungen nachgekommen zu sein ! Über den Sinn in solcher Netzwerkstrukturen darf man glaub ich auch nicht lange nachdenken, deshalb erher die Frage was tun ! Fakt ist, dass ich dem Kunden sagte, sieh zu dass der Token-Ring bald mal zu Ende migriert wird, und errichte im Ethernet eine Domain größer NT4.0 (also 2000 oder 2003) und stelle dort eine einheiltiche DNS Lösung allen Client's zur Verfügung. Zumal er im Ethernet noch nen VPN Device hat, mit dem er ebenso seine Probleme hat, da die VPN Client's teilweise das Ziel nicht finden. (DNS im Token-Ring) Und weil das Internet-Gateway wiederum im Token-Ring liegt.......... Also alles kuddel muddel ! Die Sache mit der Gewichtung "Records" würde mich also nach wie vor brennend interessieren. Wie kann ich das auf meinem NT2000 mal testen ? Dank an alle ! MfG Mr. Oiso

Hallo Board, hallo DNS Spezialisten Eine etwas komplexe Frage: Ich habe zwei Netze A und B. Sowie einen DNS Server N einen Server S und einen Client C1 und C2. Dazu noch einen Router R zwischen den Netzwerken A und B. Der DNS Server N, der Server S und der Client C2 haben je ein Netzwerkinterface in Netzwerk A und B. Der Client C1 besitzt allerdings nur ein Interface in Netzwerk A. Server S ist sowohl mit der IP A.S und B.S beim DNS Server N registriert. Client C1 möchte nun eine Verbindung aufbauen zu Server S und fragt DNS Server N nach der Adresse von Server S. N gibt C1 die Antwort auf den Request B.S,A.S ! Frage: Zu welcher IP Adresse baut der Client C1 die Verbindung auf ? Nimmt er die erste Adresse B.S und lautet somit der Weg A.C1 - A.R - B.R - B.S ? Oder aber ist Client C1 so schlau herrauszufinden das A.S näher ist obwohl der DNS Server zuerst B.S auf den Request hin liefert. Was passiert wenn der DNS Server N statt B.S,A.S - A.S,B.S zurückgibt ? Wie verhält sich das ganze bei Client C2 welcher selbst Interface in beiden Netzwerken B.C2 und A.C2 besitzt ? Zu welcher IP-Adr. des Server S würde dieser Client bei gegebener Reihenfolge Connecten ? Wer kann mir diese Frage beantworten. Vielen Dank Grüße aus dem Cisco Board Mr. Oiso

hi Fr33climber Also zu den Büchern nur folgendes ! Das Intro ist in der Regel für den beinharten Anfänger. Jedoch steht ne menge drin, was wirklich auch abgefragt wird. Ich hab es trotzdem gelesen. Und das war auch gut so ! Wusste vorher nicht, dass Cisco darin das OSI 7 Schicht erklärt und daneben noch andere Schichtmodelle, welche mir nachher gefehlt hätten. Ausserdem gibt es einige Fragen im Test, die hätten aus dem Buch abgeschrieben sein können ! Die hätte ich auch nicht gewußt, wenn's nicht zufällig die Cisco Press Version gewesen wäre ! Je aktueller, je besser ! ICND Buch ist ein Muss ! Mein Eindruck ! MfG Mr. Oiso

hi boom2005 Da hast Du Dir ja ganz schön was vorgenommen. In der Regel sollten Deine Vorhaben umzusetzen sein. Im wesendlichen würde ich mich an Deiner Stelle mal mit Policy Based Routing befassen. Damit sollte es Dir möglich sein, bestimmte TCP/UDP Sessions zwischen den beiden Routerverbindungen aufzuteilen. Wichtig jedoch wäre zu wissen, welcher Deiner Router bei diesem Konzept z.B. als default Gateway arbeitet, oder ist dass ein anderes Gerät z.B. eine Firewall, oder noch ein anderer Router ? Dieser könnte dann z.B. für das Load-Sharing eingesetzt werden. Probleme bereitet mir jedoch die Telefongeschichte. Wie ist diese Schnittstellentechnisch angeschlossen ? Wird Sprache über die Kanäle direkt übertragen ? Würde bedeutet, Du hast an dem 3800er Router eine Serielle Verbindung auf die TK-Anlage. Hier kannst Du sicher die Reservierung der Kanäle oder die Priorisierung der Kanalverteilung zwischen Daten und Sprache vornehmen, aber wie sollen dann die Sprachdaten über den anderen (neuen) Router kommen ? Hier ginge dann nur Voice over IP ! Was gibt der 3850 an Features her ? Welche IOS ? Und für das Backup-Routing würde ich wie Scooby schon sagt, dynamisches Routing einsetzen. Macht Sinn ! Wichtig : Genaueres sieht man erst wenn man die Konfiguration kennt. IOS ! Feature Set ! MfG Mr. Oiso

Hi Wolke2K4 Es ist nie zu spät ! :D Im Moment muss man mich eher anschreiben, als dass ich von alleine irgendeinen Thread bearbeiten kann. Habe nen wichtiges und großes Projekt am laufen. Aber nichts für Ungut ! Zu Deiner Konfiguration kann ich nur sagen " etwas gemixt" Du solltest auf jeden Fall das Snapshot Routing raus nehmen. Ich hab das mal gemacht ! Lange her und nur Ärger gehabt. Immerhin hattest du wohl schon angefangen via "dialer map ip" Deine Letung aufzubauen, warum also nicht zu Ende gebracht ? In der Konfiguration, welche ich mal gemacht habe, habe ich dir doch auf der ISDN Strecke ein Netzwerk konfiguriert. Eine Seite : interface Dialer1 description connected to RouterA ip address 172.18.16.1 255.255.255.252 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer map ip 172.18.16.2 name torge broadcast Vorwahl+Rufnummer dialer hold-queue 10 dialer load-threshold 180 either dialer-group 1 no cdp enable ppp authentication chap ppp multilink interface Dialer1 description connected to RouterB ip address 172.18.16.2 255.255.255.252 encapsulation ppp no ip split-horizon dialer in-band dialer idle-timeout 300 dialer map ip 172.18.16.1 name RouterB broadcast Vorwahl+Rufnummer dialer hold-queue 10 dialer load-threshold 180 either dialer-group 1 no cdp enable ppp authentication chap ppp multilink Du solltest Dich von dem IP-unnumbered to eth lösen, am besten routest Du Netz A über die IP-Adr. am dialer interface des Router's von gegenüber. Und Netz B genauso. Die Access-list 102 ist doch schon garnicht mal so schlecht, jedoch verstehe ich diesen Eintrag nicht : access-list 102 deny ip 0.0.0.132 255.255.255.0 any Auf jeden Fall solltest Du die List in den Command dialer-list 1 protocol ip permit mit einbringen : dialer-list 1 protocol ip permit list 102 Damit unterlässt der Router eine Anwahl für alle IP-Pakete, welche in der Liste denied werden. Anderherum, könntest Du die Liste auch umgekehrt austellen. Überlege Dir genau was über die Leitung gehen soll: z.B. WWW,SMTP,POP3,FTP,FTP-Data etc. Definiere die Liste so, dass alles drin ist was du brauchst access-list permit tcp any any eq www z.B. und am Ende setzt Du dann das deny any any ! Und Du wirst sehen, er ruft nicht mehr raus, wenn es nicht sein muss. Die Sache mit dem Scheduler geht aber auch ! Hab ich aber noch nie gemacht. Zumindest sollte dann aber die Uhr auf dem Router richtig gehen ! Heißt NTP konfigurieren, oder der local clock vertrauen. Hast Du meine Konfigurationen noch ? MfG Mr. Oiso

Hi Morte Wie in meiner Mail geschrieben, habe ich nachgesehen, ob der 2621XM Router mit seinem IOS Vlan Routing via 802.1q unterstützt. Ja, er macht es ! Auch Deine Konfiguration: vlan database vlan 5 name name5 vlan 6 name name6 vlan 7 name name7 vlan 8 name name8 vlan 9 name name9 ist richtig. Du mußt nicht aber könntest nun natürlich noch diverse Parameter für die einzelnen Vlan's konfigurieren. (z.B. MTU Size etc.) In der Regel reicht es aber so aus, wie Du es gemacht hast. Nun hoffe ich natürlich, dass Du die Trunk's zwischen den Switches via 802.1q konfiguriert hast, somit hast Du in etwa schon eine Ahnung, wie nun ein Trunk hin zum Router gebildet werden muss. z.B. interface FastEthernet0/27 switchport mode trunk Dieses reicht auf einem 2950 völlig aus, um den Router an diesem Port 0/27 mit den Vlan's zu versorgen. Auf dem Router selbst sieht das dann nachher etwa so aus. interface FastEthernet0/1 description ETE-Lan no ip address no ip mroute-cache duplex auto speed auto ! interface FastEthernet0/1.1 encapsulation dot1Q 1 native ip address 192.168.1.69 255.255.255.0 ! interface FastEthernet0/1.4 encapsulation dot1Q 4 ip address 10.10.1.1 255.255.255.0 ! interface FastEthernet0/1.5 encapsulation dot1Q 5 ip address 10.10.2.1 255.255.255.0 ! interface FastEthernet0/1.6 encapsulation dot1Q 6 ip address 10.10.3.1 255.255.255.0 Wie Du siehst, hat das Eth-Interface selbst keine IP-Addresse mehr. Du erstellst einfach die von Dir erwähnten Sub-Interfaces und vergibst an ihnen die IP's für das entsprechende Vlan ! Wichtig ist hinter dem dot1Q (Vlan-ID) ! Wenn Du hier die ID 5 wählst, dan gilt das auch für Dein Vlan name5. Anschließend richtest Du nur noch das Routing ein ! z.B. router eigrp 111 network 10.10.1.0 0.0.0.255 network 10.10.2.0 0.0.0.255 network 10.10.3.0 0.0.0.255 network 10.10.4.0 0.0.0.255 Du kannst natürlich auch ein anderes Routingprotokoll nehmen. Der Command "native" sollte hinter Vlan 1 stehen, da auf den Switches per default das native Vlan = 1 ist. Es sei denn, du hast ein anderes Vlan zum native Vlan gemacht, dann änderst Du das in der Config passend. Jetzt sollte es so sein, dass Du von jedem Host im Vlan x das entsprechende Sub-Interface des router's pingen kannst. Dieses wird dann sicherlich auch Dein def. Gateway aus dem entsprechendem Vlan werden. Ergo sollten auch die anderen Sub-Interfaces via ping erreichbar sein. Ab jetzt kannst Du jedes Sub-Interface vom Router wie ein eigenständiges Ethernet Routinginterface für jedes Vlan nutzen. Also auch ACL's anbinden etc. MfG Mr. Oiso

Hi Sebastian Super, das ist doch mal ne Aussage ! Deine Info macht mich sehr neugierig, da ich das VMPS Feature nun schon in das eine oder andere Projekt integriert habe. Leider habe ich eben immer an der Stelle abgebrochen, wo eben nicht immer die entsprechende Hardware zur Verfügung gestanden hat. Wenn ich Dich also richtig verstehe, so läuft das Tool auf einer Linux-Büchse, welche dann als VMPS Server aggiert. Mit anderen Worten stellt der Cisco Switch seine Request nicht an den üblichen Cisco Switch vom Typ 4000/5000/6000 sonder er schickt sie an den Linux-Server via vmps reconfirm, welcher dann die Zuweisung via MAC-To-Vlan Mapping vornimmt. Ich werde das mal testen und werde Dich dann zu diesem Thema nochmal ansprechen, wenn Du erlaubst ! Danke für diese Info Mr. Oiso

Hi wilger Ja, VMPS ist eine feine Sache, allerdings unterstützt leider nicht jede Hardware von Cisco den VMPS-Server, welchen Du dafür auf jeden Fall benötigst. Allein deswegen ist es eine kostenspielige Sache. Auch mit 802.1x soll es bekanntlich laufen, jedoch habe ich es noch nicht versucht. Bestimmt aber ist die Implementierung mit 802.1x etwas aufwändiger. http://www.cisco.com/en/US/partner/tech/tk389/tk689/technologies_tech_note09186a00800c4548.shtml The table below lists the minimum software requirements to support VMPS on various Cisco Catalyst switches products. VMPS Server Support VMPS Client Support Catalyst 4000 Family (CatOS) Yes (7.2(x) and later) Yes (all software releases). Catalyst 4000/4500 (IOS) Not currently supported Yes (12.1(13)EW and later) Catalyst 2900XL/3500XL Not Supported Yes (11.2(8)SA4 and later, Enterprise Software Edition only) Catalyst 2950/2955/3550 Not Supported Yes (All Software Releases) Catalyst 2948G-L3 / Catalyst 4908G-L3 Not Supported Not Supported Catalyst 5000/5500 Family Yes (2.3.x and later) Yes (2.3.x and later) Catalyst 6000/6500 Family (CatOS) Yes (6.1(x) and later) Yes (all software releases) Catalyst 6000/6500 Family (IOS) Not currently supported Not currently supported Troubleshooting DVLAN Membership Zum Thema GLBP, HSRP, und VRRP kann ich nur sagen, dass GLBP wahrscheinlich etwas leichter zu händeln sein wird, da der administrative Aufwand wesentlich kleiner ist. Im Gegesatz zu VRRP und HSRP arbeitet GLBP allerdings mit virtuellen MAC-Adr. welches bei der Auswahl der Router dann aber zu beachten ist. Sollte der Router viruelle MAC's nicht unterstützen, so kommt man mit GLBP nicht weit. MfG Mr. Oiso