-
Gesamte Inhalte
352 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von mr._oiso
-
-
Hi Stadt-Tiger
O.k. !
Mal schnell die ersten Fragen :
Welche IOS Version setzt Du ein ? "show version"
"ISDN BR0: received HOST_DISCONNECT_ACK" ist eigentlich ein Indiz, dass
der PC die Verbindung trennt.
Bekomme der PC eine IP-Adr. und kann er innehalb der 8 Sek. das dialer-interface
des Router's pingen ?
Welche Telefonleitung benutzt Du ? Einen Echten S0 von einem NTBA oder
gehst Du über eine Telefonanlage ?
Versuch mal die Verbindung direkt über das Bri0 zu konfigurieren ohne
über das dialer-interface zu gehen.
interface BRI0
bandwidth 64
ip address 100.x.x.x 255.255.255.0
encapsulation ppp
dialer in-band
dialer string xxxxxx
dialer-group 1
isdn switch-type basic-net3
peer default ip address pool router-group-1
ppp authentication chap
Wenn Du nicht über Telefonanlage gehst, nimm auch mal das dialer in-band raus
und probiers dann. Trage aber auf jeden Fall mal den switch type am Bri ein !
Erweitere das debugging !
debug ppp events
debug ppp authentication
debug isdn events
debug isdn q921 und q931
MfG
Mr. Oiso
-
hi tinsel
So weit so gut !
Den ACS haben wir erstmal aussen vor gelassen.
Hier wäre der CA Domain-controller als trusted zu konfigurieren, was wir natürlich gemacht haben.
Jedoch gibt es mit Win2K ein paar Probleme !
Ein XP Client macht soweit keine Mukken.
Hier lauft die Authentifizierung 802.1x Wired (Cat2950) und Wireless (Aironet1200)
problemlos.
Jedoch will es unter Win2K nicht funktionieren.
Hier mal ein debug radius/aaa
07:15:58: AAA/AUTHEN/CONT (922714513): continue_login (user='Frank@Testnetzete.l
ocal')
07:15:58: AAA/AUTHEN (922714513): status = GETDATA
07:15:58: AAA/AUTHEN (922714513): Method=radius (radius)
07:15:58: RADIUS: ustruct sharecount=1
07:15:58: RADIUS: EAP-login: length of radius packet = 163 code = 1
07:15:58: RADIUS: Initial Transmit FastEthernet0/20 id 36 10.10.3.1:1812, Access
-Request, len 163
07:15:58: Attribute 4 6 0A0A03FD
07:15:58: Attribute 5 6 0000C364
07:15:58: Attribute 79 8 020D0006
07:15:58: Attribute 80 18 32F229BA
07:15:58: RADIUS: Received from id 36 10.10.3.1:1812, Access-Challenge, len 1576
07:15:58: Attribute 27 6 0000001E
07:15:58: Attribute 79 255 010E05D8
07:15:58: Attribute 79 255 74686F72
07:15:58: Attribute 24 24 053B010C
07:15:58: Attribute 80 18 B4A37159
07:15:58: RADIUS: EAP-login: length of eap packet = 1496
07:15:58: RADIUS: EAP-login: got challenge from radius
07:15:58: AAA/AUTHEN (922714513): status = GETDATA
07:16:33: AAA/AUTHEN/CONT (3650909570): continue_login (user='aweller@Testnetzet
e.local')
07:16:33: AAA/AUTHEN (3650909570): status = GETDATA
07:16:33: AAA/AUTHEN (3650909570): Method=radius (radius)
07:16:33: RADIUS: ustruct sharecount=1
07:16:33: RADIUS: EAP-login: length of radius packet = 212 code = 1
07:16:33: RADIUS: Initial Transmit FastEthernet0/13 id 40 10.10.3.1:1812, Access
-Request, len 212
07:16:33: Attribute 4 6 0A0A03FD
07:16:33: Attribute 5 6 0000C35D
07:16:33: Attribute 61 6 0000000F
07:16:33: Attribute 24 24 053C010D
07:16:33: Attribute 79 55 02020035
07:16:33: Attribute 80 18 716954A7
07:16:33: RADIUS: Received from id 40 10.10.3.1:1812, Access-Accept, len 210
07:16:33: Attribute 79 6 03030004
07:16:33: Attribute 26 6 0000000907060000
07:16:33: Attribute 7 6 00000001
07:16:33: RADIUS: EAP-login: length of eap packet = 4
07:16:33: RADIUS: EAP-login: radius didn't send any vlan
07:16:33: AAA/AUTHEN (3650909570): status = PASS
07:16:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, chan
ged state to up
07:16:58: AAA/MEMORY: free_user_quiet (0x80F1BE28) user='Frank@Testnetzete.local
' ruser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3-
6A-08/00-0C-CE-38-CC-94' authen_type=6 service=17 priv=1
ACS-Client1#u all
All possible debugging has been turned off
ACS-Client1#
Auf Port 13 kommt er XP Client mit user aweller rein !
Auf Port 20 der Win2K mit user frank jedoch nicht, obwohl die challenge vom Radius-Server zurückkommt.
Der Port bekommt einfach nicht den Status = PASS !
Sämtliche Zwertifikate mal erneuert und auch die RAS-Berechtigung geprüft, aber es will nicht gelingen.
Weiß jemand Rat ?
MfG
Mr. Oiso
-
hi tinsel
Das siehst Du richtig ! In der Regel benötigst Du doch zwei Benutzer/Passwörter.
Ich gehe davon aus, dass einmal der Client (Host) eine Netzwerkauthentication benötigt
um sich am Netzwerk via 802.1x anzumelden. Diese wird benötigt, um den Port auf dem
Switch zu öffnen. Zusätzlich benötigt der User, welcher an diesem Host arbeitet ebenfals
eine Authentication um sich an der Domain anzumelden. Diese Anmeldungen können aber müssen nicht miteinander verknüpft werden.
Zumindest scheint der Cisco ACS (bei mir via Zertifikate) den Port nicht aufzumachen, wenn er nicht beide Zertifikate ordnungsgemäß besitzt und gegen die Microsoft CA Root
prüfen kann.
Problem: Windows Dialin Permission required !
Ist die Fehlermeldung im Log vom ACS wenn der Client mit dem Zertifikat kommt.
Weiß jemand eventuell wie ich mein Zertifikat von der Domain mal testen kann ?
MfG
Mr. Oiso
-
Hi Morte
eq = equal = gleich
Das eq wird in der ACL gesetzt, wenn man genau einen Prot tcp/udp damit abfragen möchte.
domain ist hier die Umschreibung für dns = domain name service.
Mit anderen Worten ist : genau dns Port tcp/udp 53 gemeint !
Es gibt aber auch die Kürzel gt / lt / range. Hiermit wird eine Port range bezeichnet.
range Port 1-65535
lt = lower than Port x
gt = greater than Port Y z.B.
Bei der Sache mit der Callback-Verbindung über die Router, ist es nun von Bedeutung wie Deine dialer-list aussieht.
Ich gehe mal davon aus, dass es wirklich Broadcast ist, welcher Dir die ISDN-Leitung vom
Server aus wieder triggert. Triggert=iniziiert
Was genau heißt, "Beim Ping macht er das aber nicht " ? Von wo aus wird der ICMP-Request abgesetzt ?
Sonst poste mal Deine dialer-list von beiden Routern.
Die Dialer-List ist dafür verantwortlich, bei welchem IP-Packet der Router die Wählverbindung anstoßen darf und wann nicht. Diese können und sollten natürlich je nach Richtung des Traffic von Server to Client und Client to server berücksichtigt werden.
Wahrscheinlich hat der Client bei Deinem Ping-Versuch nur gerade keinen Broadcast gesendet und somit hat alles funktioniert. Nur umgekehrt ist die Frage, wer oder was macht der PC am Server-Router ! Eventuell doch Broadcast ?
MfG
Mr. Oiso
-
Hi Thomas
Sorry wenn ich dir nicht viel dazu sagen kann, aber ich arbeite mich in das Thema gerade wieder erst ein !
Jedoch denke ich in diesem Thread
http://www.mcseboard.de/showthread.php?t=38359&highlight=Radius
da hat Zion durchblicken lassen, dass er bestimmt im Stande ist dir ein paar Sachen
dazu sagen kann.
;)
MfG
Mr. Oiso
-
Hi Morte
Sorry, dass ich dich schon fast im Stich gelassen habe, aber bei mir war in den letzten Wochen einfach zu viel los ! Mein großes Cisco Projekt hat mich fast aufgefressen.
Aber wie ich sehe hat Robert dir ja das wichtigste mitgegeben.
Hast Du den nun alles laufen, oder zwickt es noch irgendwo !
Lass es uns wissen !
Gruß
Mr. Oiso
-
hi Operator
Ich klopfe mal gearde jeden ab, der zu Deinem/unserem Probelm noch im Stoff
steht.
Grund:
Bin selber gerade an dieser Konfiguration am Bastel.
Ich setze hier jedoch nen Cat 2950 mit IOS 12.2 (22)EA2 ein.
Dies sollte jedoch nicht das Problem sein ! Habe dazu nen Cisco ACS 3.3 auf nem
W2K Server laufen mit vollfunktionfähigem Certificate Server.
Die einfache Radius Authentication local auf dem Switch ist soweit nicht das Problem.
Jetzt stehe ich hier vor genau der selben Stelle !
Jedoch sieht mein dot1x debug etwas anders aus !
Frage: Ist das Thema bei Dir noch aktuell ?
Könnten wir uns hier etwas ergänzen ?
Ist ja bei dir immerhin scho 8 Wochen her ?
mfg
Mr. Oiso
-
hi tinsel
Da sieht wohl so aus wie Du sagst.
Allerdings hab ich mal gearde eine Frage.
Ich befinde mich im Moment an der selben Stelle. Allerdings suche ich erst mal
nach einer Funktion um nur die Authentication auf dem Client über den Switch
sicher zu stellen !
Bist Du noch im Stoff ? Oder auf der suche nach der Lösung ?
Setze selbst den ACS von Cisco ein !
Welche Radius Attribute hast Du gewählt ?
Standard IETF ?
mfg
Mr. Oiso
-
hi steinhauer_mark
Die ganze Sache wird auch wie folgt angegeben !
z.B
ip domain name xyz.dyndns.de
ip name-server 192.168.1.251
ip name-server 192.168.1.250
Kein command mit dns needed !
MfG
Mr. Oiso
-
hi steinhauer_mark
Normaler weise sollte in Deinem Release auch DNS verfügbar sein !
Ich wüßte nicht, das es nicht gehen sollte. Mit dem Router 1721 hat das nichts zu
tun !
Versuchs mal mit "ip domain name" und anschließend mit ip dns server, eventuell
macht er es erst dann !
MfG
Mr. Oiso
-
hi steinhauer_mark
thorgood hat recht, "ip nat inside source static tcp 192.168.1.200 80 interface Dialer1 80"
ist der richtige command, aber es sieht so aus als ob Du dann aber die
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
zumindest für TCP 80 könnte es die Lösung sein !
Schau aber nochmal richtig nach gleich !
MfG
Mr. Oiso
-
hi Bender
Das Config-Regidter findest Du mit "show version"
und sollte so aussehen ! 0x2102
Dann sollte der Router die Konfiguration behalten !
MfG
Mr. Oiso
-
hi zimbo123
Bei den Fragen 1,2 und 4 stimme ich voll und ganz Deiner Meinung zu.
Bei Frage 3 weiss ich nicht so recht was mit dem "What wo" gemeint ist welcher die
Performance nachweislich beeinträchtigt.
Wenn wirklich der Faktor gesucht ist, welcher das herrabsetzen der Performance im
gegebenen Fall entscheidet, ist Deine Antwort ebenfals richtig !
MfG
Mr. Oiso
-
Hi Morte,
lange nicht gesehen ! Ja, du kannst es via ACL's an den Subinterfaces lösen.
Nicht aber durch eine ACL am Hauptinterface !
Du solltes in jeder ACL klar definieren was und wer wohin darf !
Bei "in und out" mache Dir einfach eine Eselsbrücke !
In = inbound entspricht dem Traffic welcher in das Interface hinein muss,
Out = outbound entspricht dem Traffic welcher herraus muss.
ein Beispiel :
interface FastEthernet0/1.4
encapsulation dot1Q 4
ip address 10.10.1.1 255.255.255.0
ip access-group 110 in
!
interface FastEthernet0/1.5
encapsulation dot1Q 5
ip address 10.10.2.1 255.255.255.0
ip access-group 111 out
Hier bedeutet die "access-group 110 in", das in der ACL 110 der Traffic zu definieren ist,
welcher aus dem Vlan 4 herraus in jede andere Richtung muss/darf/oder verboten wird.
Die ACL an FastEthernet0/1.5 bedeutet, dass in ihr der Traffic definiert wird, welcher nach dem Routing Prozess noch in das Vlan 5 hinein darf/muss/ oder eben nicht.
Du merkst schon an der Formulierung, dass inbound ACL's den Router schonen.
Denn solltest Du gewissen Taffic nicht in Vlan 5 nicht hineinlassen wollen, dann sollte
man diesen auch an Vlan 4 schon droppen lassen um den Route Prozess nicht unnötig
zu belasten. Wenn er aber nach Vlan 1 muss, dann must Du ihn schon reinlassen ...
in den Router ! :D
Hope this works !
MfG
Mr. Oiso
-
hi thorgood
Danke für diese Aussage !
Das ist doch genau was ich suche. Ich hoffe nur das funktioniert auch auf dem
NT4.0 PDC. Dann wären wohl vorab schon mal die größten Proleme beseitigt.
Thx
mfg
Mr. Oiso
-
hi@all
Über die von mir angesprochene Netzwerkstruktur kann ich nur sagen....
Das ist nicht das einzige Netz, welches in dieser Form angetroffen habe.
Hier gibt es noch viele, welche den Migrationsprozess von Token-Ring nach
Ethernet entweder nicht zu Ende geführt haben, oder es scheinbar nie so richtig
vorhatten.
Und eben genau hier habe ich immer Probleme mit DNS gehabt, weil es hier
meißt entweder keine Domain Struktur gibt, oder es sich oft um Windows für
Wohnzimmergemeinschaften handelt. Am besten noch mit NetBios anstelle von
DNS !
MfG
Mr. Oiso
-
Hallo Data, hallo candy,
hi carlito, hi Velius
Ich werde mal eben aufklären !
Also ob diese Netzwerkkonstellation so sein muss oder nicht ist wirklich fraglich.
So habe ich es bei einer Fehleranalyse vorgefunden.
Bei den Netzwerken A und B handelt es sich :
A um ein Token-Ring Netz
B um Ethernet
Die ganze Struktur ist also hirachisch gewachsen. Es handelt sich also um eine
schrittweise Migration von Token-Ring nach Ethernet.
Das Problem an der ganzen Sache ist zusätzlich, das es insgesamt 7-8 Devices in dieser
Struktur gibt, welche IP-Forwarding (Routing) machen könnten.
Es handelt sich dabei drei mal um eine AS400 und drei mal um einen Windows NT 4.0
(PDC,BDC) sowie diesen Router in der Mitte, welche jeweils im Token-Ring und
im Ethernet ein Netzwerkinterface besitzen.
Der Router (Cisco) sollte in der Lage sein sämtlichen Traffic zu routen, jedoch schien
man es aus Performance Gründen für besser zu halten, jeden dieser 6 Server sowohl in
Token-Ring als auch in Ethernet zu platzieren.
Der Server N ist also in dieser Struktur der NT4.0 PDC und der Server S ist eine der
beiden AS400 auf welchem ein Lotos Notes läuft.
Die Clients C1 und C2 sind jeweils nur ein Client als Beispiel von vielen aus dem Token-Ring
Netzwerk, welche eben durch die nicht eindeutige Namesauflösung durch den PDC entweder direkt oder eben über Umweg erst an den Lotos Notes Server kommen.
Teilweise benötigt der DNS Request z.B. bei einem einfachen Ping<Name> bis zu 12 sec.
bevor der DNS Server überhaupt die IP rausrückt.
@Data1701
Genau davon gehen wir erst mal nicht aus ! Es sieht so aus, als ob der Client wahlweise den direkten Weg durch den Token-ring nimmt, aber auch nicht abgeneigt ist, den Umweg über den Router ins Ethernet anzutreten.
Genau hier liegen nämlich die ungeklärten Connection Probleme des Kunden.
Z.B. muss eine AS400 auf einen FTP-Server im Token-Ring zyklisch zugreifen um
Versand-Daten abzuholen, diesen erreicht sie aber komischerweise nur dann, wenn er den
Server permanent pingt. Ansonsten nimmt sie den Umweg oder kommt garnicht mehr an den FTP-Server.
Die Sache mit der Gewichtung ist uns bisher nicht bekannt gewesen !
Farge: Wie macht man das ? Kann das ein NT4.0 überhaupt schon ?
@carlito
Deine drittletzte Frage ist schon klar ! Eigentlich sollte der Router sein übriges erledigen.
Er tut es soweit auch. Jedoch musste ich erst sämtliche Routingtabellen auf den 7-8 Devices überprüfen um es sicherzustellen. Ich hatte anfänglich grobe Verstöße im Routing
(Subneting usw.) beseitigen müssen, damit es annähernd o.k. ist.
Leider konnte bis dato kein einheitliches Gateway vom Token-Ring ins Ethernet festgelegt werden.
@velius
Ich hoffe allen Erklärungen nachgekommen zu sein !
Über den Sinn in solcher Netzwerkstrukturen darf man glaub ich auch nicht lange nachdenken, deshalb erher die Frage was tun !
Fakt ist, dass ich dem Kunden sagte, sieh zu dass der Token-Ring bald mal zu Ende migriert wird, und errichte im Ethernet eine Domain größer NT4.0 (also 2000 oder 2003)
und stelle dort eine einheiltiche DNS Lösung allen Client's zur Verfügung. Zumal er im Ethernet noch nen VPN Device hat, mit dem er ebenso seine Probleme hat, da die VPN Client's teilweise das Ziel nicht finden. (DNS im Token-Ring)
Und weil das Internet-Gateway wiederum im Token-Ring liegt..........
Also alles kuddel muddel !
Die Sache mit der Gewichtung "Records" würde mich also nach wie vor brennend interessieren.
Wie kann ich das auf meinem NT2000 mal testen ?
Dank an alle !
MfG
Mr. Oiso
-
Hallo Board, hallo DNS Spezialisten
Eine etwas komplexe Frage:
Ich habe zwei Netze A und B. Sowie einen DNS Server N einen Server S und einen Client
C1 und C2. Dazu noch einen Router R zwischen den Netzwerken A und B.
Der DNS Server N, der Server S und der Client C2 haben je ein Netzwerkinterface in Netzwerk A und B.
Der Client C1 besitzt allerdings nur ein Interface in Netzwerk A.
Server S ist sowohl mit der IP A.S und B.S beim DNS Server N registriert.
Client C1 möchte nun eine Verbindung aufbauen zu Server S und fragt DNS Server N nach der Adresse von Server S.
N gibt C1 die Antwort auf den Request B.S,A.S !
Frage: Zu welcher IP Adresse baut der Client C1 die Verbindung auf ?
Nimmt er die erste Adresse B.S und lautet somit der Weg A.C1 - A.R - B.R - B.S ?
Oder aber ist Client C1 so schlau herrauszufinden das A.S näher ist obwohl der DNS
Server zuerst B.S auf den Request hin liefert.
Was passiert wenn der DNS Server N statt B.S,A.S - A.S,B.S zurückgibt ?
Wie verhält sich das ganze bei Client C2 welcher selbst Interface in beiden Netzwerken
B.C2 und A.C2 besitzt ?
Zu welcher IP-Adr. des Server S würde dieser Client bei gegebener Reihenfolge Connecten ?
Wer kann mir diese Frage beantworten.
Vielen Dank
Grüße aus dem Cisco Board
Mr. Oiso
-
hi Fr33climber
Also zu den Büchern nur folgendes !
Das Intro ist in der Regel für den beinharten Anfänger.
Jedoch steht ne menge drin, was wirklich auch abgefragt wird.
Ich hab es trotzdem gelesen. Und das war auch gut so !
Wusste vorher nicht, dass Cisco darin das OSI 7 Schicht erklärt und
daneben noch andere Schichtmodelle, welche mir nachher gefehlt
hätten.
Ausserdem gibt es einige Fragen im Test, die hätten aus dem Buch
abgeschrieben sein können ! Die hätte ich auch nicht gewußt, wenn's
nicht zufällig die Cisco Press Version gewesen wäre !
Je aktueller, je besser !
ICND Buch ist ein Muss !
Mein Eindruck !
MfG
Mr. Oiso
-
hi boom2005
Da hast Du Dir ja ganz schön was vorgenommen.
In der Regel sollten Deine Vorhaben umzusetzen sein. Im wesendlichen würde
ich mich an Deiner Stelle mal mit Policy Based Routing befassen.
Damit sollte es Dir möglich sein, bestimmte TCP/UDP Sessions zwischen den
beiden Routerverbindungen aufzuteilen.
Wichtig jedoch wäre zu wissen, welcher Deiner Router bei diesem Konzept z.B.
als default Gateway arbeitet, oder ist dass ein anderes Gerät z.B. eine Firewall, oder
noch ein anderer Router ? Dieser könnte dann z.B. für das Load-Sharing eingesetzt werden.
Probleme bereitet mir jedoch die Telefongeschichte.
Wie ist diese Schnittstellentechnisch angeschlossen ?
Wird Sprache über die Kanäle direkt übertragen ?
Würde bedeutet, Du hast an dem 3800er Router eine Serielle Verbindung auf die TK-Anlage. Hier kannst Du sicher die Reservierung der Kanäle oder die Priorisierung der Kanalverteilung zwischen Daten und Sprache vornehmen, aber wie sollen dann die
Sprachdaten über den anderen (neuen) Router kommen ?
Hier ginge dann nur Voice over IP ! Was gibt der 3850 an Features her ?
Welche IOS ?
Und für das Backup-Routing würde ich wie Scooby schon sagt, dynamisches Routing einsetzen. Macht Sinn !
Wichtig : Genaueres sieht man erst wenn man die Konfiguration kennt. IOS ! Feature Set !
MfG
Mr. Oiso
-
Hi Wolke2K4
Es ist nie zu spät ! :D
Im Moment muss man mich eher anschreiben, als dass ich von alleine irgendeinen
Thread bearbeiten kann. Habe nen wichtiges und großes Projekt am laufen.
Aber nichts für Ungut !
Zu Deiner Konfiguration kann ich nur sagen " etwas gemixt"
Du solltest auf jeden Fall das Snapshot Routing raus nehmen.
Ich hab das mal gemacht ! Lange her und nur Ärger gehabt.
Immerhin hattest du wohl schon angefangen via "dialer map ip" Deine Letung
aufzubauen, warum also nicht zu Ende gebracht ?
In der Konfiguration, welche ich mal gemacht habe, habe ich dir doch auf der ISDN
Strecke ein Netzwerk konfiguriert.
Eine Seite :
interface Dialer1
description connected to RouterA
ip address 172.18.16.1 255.255.255.252
encapsulation ppp
no ip split-horizon
dialer in-band
dialer idle-timeout 300
dialer map ip 172.18.16.2 name torge broadcast Vorwahl+Rufnummer
dialer hold-queue 10
dialer load-threshold 180 either
dialer-group 1
no cdp enable
ppp authentication chap
ppp multilink
interface Dialer1
description connected to RouterB
ip address 172.18.16.2 255.255.255.252
encapsulation ppp
no ip split-horizon
dialer in-band
dialer idle-timeout 300
dialer map ip 172.18.16.1 name RouterB broadcast Vorwahl+Rufnummer
dialer hold-queue 10
dialer load-threshold 180 either
dialer-group 1
no cdp enable
ppp authentication chap
ppp multilink
Du solltest Dich von dem IP-unnumbered to eth lösen, am besten routest Du Netz A über
die IP-Adr. am dialer interface des Router's von gegenüber.
Und Netz B genauso.
Die Access-list 102 ist doch schon garnicht mal so schlecht, jedoch verstehe ich diesen Eintrag nicht :
access-list 102 deny ip 0.0.0.132 255.255.255.0 any
Auf jeden Fall solltest Du die List in den Command
dialer-list 1 protocol ip permit
mit einbringen :
dialer-list 1 protocol ip permit list 102
Damit unterlässt der Router eine Anwahl für alle IP-Pakete, welche in der Liste denied werden.
Anderherum, könntest Du die Liste auch umgekehrt austellen.
Überlege Dir genau was über die Leitung gehen soll:
z.B. WWW,SMTP,POP3,FTP,FTP-Data etc.
Definiere die Liste so, dass alles drin ist was du brauchst
access-list permit tcp any any eq www z.B.
und am Ende setzt Du dann das deny any any !
Und Du wirst sehen, er ruft nicht mehr raus, wenn es nicht sein muss.
Die Sache mit dem Scheduler geht aber auch !
Hab ich aber noch nie gemacht.
Zumindest sollte dann aber die Uhr auf dem Router richtig gehen !
Heißt NTP konfigurieren, oder der local clock vertrauen.
Hast Du meine Konfigurationen noch ?
MfG
Mr. Oiso
-
Hi Morte
Wie in meiner Mail geschrieben, habe ich nachgesehen, ob der 2621XM Router mit
seinem IOS Vlan Routing via 802.1q unterstützt.
Ja, er macht es !
Auch Deine Konfiguration:
vlan database
vlan 5 name name5
vlan 6 name name6
vlan 7 name name7
vlan 8 name name8
vlan 9 name name9
ist richtig.
Du mußt nicht aber könntest nun natürlich noch diverse Parameter für die einzelnen Vlan's
konfigurieren. (z.B. MTU Size etc.)
In der Regel reicht es aber so aus, wie Du es gemacht hast.
Nun hoffe ich natürlich, dass Du die Trunk's zwischen den Switches via 802.1q konfiguriert hast, somit hast Du in etwa schon eine Ahnung, wie nun ein Trunk hin zum Router gebildet werden muss.
z.B.
interface FastEthernet0/27
switchport mode trunk
Dieses reicht auf einem 2950 völlig aus, um den Router an diesem Port 0/27 mit den Vlan's
zu versorgen.
Auf dem Router selbst sieht das dann nachher etwa so aus.
interface FastEthernet0/1
description ETE-Lan
no ip address
no ip mroute-cache
duplex auto
speed auto
!
interface FastEthernet0/1.1
encapsulation dot1Q 1 native
ip address 192.168.1.69 255.255.255.0
!
interface FastEthernet0/1.4
encapsulation dot1Q 4
ip address 10.10.1.1 255.255.255.0
!
interface FastEthernet0/1.5
encapsulation dot1Q 5
ip address 10.10.2.1 255.255.255.0
!
interface FastEthernet0/1.6
encapsulation dot1Q 6
ip address 10.10.3.1 255.255.255.0
Wie Du siehst, hat das Eth-Interface selbst keine IP-Addresse mehr.
Du erstellst einfach die von Dir erwähnten Sub-Interfaces und vergibst an ihnen die IP's für das entsprechende Vlan !
Wichtig ist hinter dem dot1Q (Vlan-ID) !
Wenn Du hier die ID 5 wählst, dan gilt das auch für Dein Vlan name5.
Anschließend richtest Du nur noch das Routing ein !
z.B.
router eigrp 111
network 10.10.1.0 0.0.0.255
network 10.10.2.0 0.0.0.255
network 10.10.3.0 0.0.0.255
network 10.10.4.0 0.0.0.255
Du kannst natürlich auch ein anderes Routingprotokoll nehmen.
Der Command "native" sollte hinter Vlan 1 stehen, da auf den Switches per default
das native Vlan = 1 ist.
Es sei denn, du hast ein anderes Vlan zum native Vlan gemacht, dann änderst Du das in der Config passend.
Jetzt sollte es so sein, dass Du von jedem Host im Vlan x das entsprechende Sub-Interface
des router's pingen kannst. Dieses wird dann sicherlich auch Dein def. Gateway aus dem
entsprechendem Vlan werden.
Ergo sollten auch die anderen Sub-Interfaces via ping erreichbar sein.
Ab jetzt kannst Du jedes Sub-Interface vom Router wie ein eigenständiges Ethernet Routinginterface für jedes Vlan nutzen.
Also auch ACL's anbinden etc.
MfG
Mr. Oiso
-
Hi Sebastian
Super, das ist doch mal ne Aussage !
Deine Info macht mich sehr neugierig, da ich das VMPS Feature nun schon in das eine
oder andere Projekt integriert habe. Leider habe ich eben immer an der Stelle
abgebrochen, wo eben nicht immer die entsprechende Hardware zur Verfügung gestanden
hat.
Wenn ich Dich also richtig verstehe, so läuft das Tool auf einer Linux-Büchse, welche dann
als VMPS Server aggiert.
Mit anderen Worten stellt der Cisco Switch seine Request nicht an den üblichen Cisco
Switch vom Typ 4000/5000/6000 sonder er schickt sie an den Linux-Server via
vmps reconfirm, welcher dann die Zuweisung via MAC-To-Vlan Mapping vornimmt.
Ich werde das mal testen und werde Dich dann zu diesem Thema nochmal ansprechen,
wenn Du erlaubst !
Danke für diese Info
Mr. Oiso
-
Hi wilger
Ja, VMPS ist eine feine Sache, allerdings unterstützt leider nicht jede Hardware von Cisco
den VMPS-Server, welchen Du dafür auf jeden Fall benötigst.
Allein deswegen ist es eine kostenspielige Sache. Auch mit 802.1x soll es bekanntlich laufen, jedoch habe ich es noch nicht versucht. Bestimmt aber ist die Implementierung mit
802.1x etwas aufwändiger.
http://www.cisco.com/en/US/partner/tech/tk389/tk689/technologies_tech_note09186a00800c4548.shtml
The table below lists the minimum software requirements to support VMPS on various Cisco Catalyst switches products.
VMPS Server Support
VMPS Client Support
Catalyst 4000 Family (CatOS)
Yes (7.2(x) and later)
Yes (all software releases).
Catalyst 4000/4500 (IOS)
Not currently supported
Yes (12.1(13)EW and later)
Catalyst 2900XL/3500XL
Not Supported
Yes (11.2(8)SA4 and later, Enterprise Software Edition only)
Catalyst 2950/2955/3550
Not Supported
Yes (All Software Releases)
Catalyst 2948G-L3 / Catalyst 4908G-L3
Not Supported
Not Supported
Catalyst 5000/5500 Family
Yes (2.3.x and later)
Yes (2.3.x and later)
Catalyst 6000/6500 Family (CatOS)
Yes (6.1(x) and later)
Yes (all software releases)
Catalyst 6000/6500 Family (IOS)
Not currently supported
Not currently supported
Troubleshooting DVLAN Membership
Zum Thema GLBP, HSRP, und VRRP kann ich nur sagen, dass GLBP wahrscheinlich etwas leichter zu händeln sein wird, da der administrative Aufwand wesentlich kleiner ist.
Im Gegesatz zu VRRP und HSRP arbeitet GLBP allerdings mit virtuellen MAC-Adr. welches bei der Auswahl der Router dann aber zu beachten ist.
Sollte der Router viruelle MAC's nicht unterstützen, so kommt man mit GLBP nicht weit.
MfG
Mr. Oiso
Problem im Visual Switch Manager
in Cisco Forum — Allgemein
Geschrieben
hi darkjedi
Ich denke Du wirst es schon erkannt haben !
Switch upgrade, könnte die Lösung sein !
Allerdings kenne ich das Probelm so nicht !
Kannst Du mal nen Screen-Shot machen und mir schicken an
fschneebeck@ete-datentechnik.com
Würde mich sehr interessieren. Welche Software Version hast Du
auf dem Cat 3524 laufen ?
Gib mir mal den Image-Namen
Den findest Du
hostname#dir
MfG
Mr. Oiso