mr._oiso

hi darkjedi

 

Ich denke Du wirst es schon erkannt haben !

Switch upgrade, könnte die Lösung sein !

Allerdings kenne ich das Probelm so nicht !

Kannst Du mal nen Screen-Shot machen und mir schicken an

fschneebeck@ete-datentechnik.com

Würde mich sehr interessieren. Welche Software Version hast Du

auf dem Cat 3524 laufen ?

Gib mir mal den Image-Namen

Den findest Du

hostname#dir

 

MfG

 

Mr. Oiso

Hi Stadt-Tiger

 

O.k. !

 

Mal schnell die ersten Fragen :

Welche IOS Version setzt Du ein ? "show version"

"ISDN BR0: received HOST_DISCONNECT_ACK" ist eigentlich ein Indiz, dass

der PC die Verbindung trennt.

Bekomme der PC eine IP-Adr. und kann er innehalb der 8 Sek. das dialer-interface

des Router's pingen ?

 

Welche Telefonleitung benutzt Du ? Einen Echten S0 von einem NTBA oder

gehst Du über eine Telefonanlage ?

 

Versuch mal die Verbindung direkt über das Bri0 zu konfigurieren ohne

über das dialer-interface zu gehen.

 

 

interface BRI0

bandwidth 64

ip address 100.x.x.x 255.255.255.0

encapsulation ppp

dialer in-band

dialer string xxxxxx

dialer-group 1

isdn switch-type basic-net3

peer default ip address pool router-group-1

ppp authentication chap

 

 

Wenn Du nicht über Telefonanlage gehst, nimm auch mal das dialer in-band raus

und probiers dann. Trage aber auf jeden Fall mal den switch type am Bri ein !

 

Erweitere das debugging !

 

debug ppp events

debug ppp authentication

debug isdn events

debug isdn q921 und q931

 

MfG

 

Mr. Oiso

hi tinsel

 

So weit so gut !

Den ACS haben wir erstmal aussen vor gelassen.

Hier wäre der CA Domain-controller als trusted zu konfigurieren, was wir natürlich gemacht haben.

Jedoch gibt es mit Win2K ein paar Probleme !

Ein XP Client macht soweit keine Mukken.

Hier lauft die Authentifizierung 802.1x Wired (Cat2950) und Wireless (Aironet1200)

problemlos.

Jedoch will es unter Win2K nicht funktionieren.

Hier mal ein debug radius/aaa

 

07:15:58: AAA/AUTHEN/CONT (922714513): continue_login (user='Frank@Testnetzete.l

ocal')

07:15:58: AAA/AUTHEN (922714513): status = GETDATA

07:15:58: AAA/AUTHEN (922714513): Method=radius (radius)

07:15:58: RADIUS: ustruct sharecount=1

07:15:58: RADIUS: EAP-login: length of radius packet = 163 code = 1

07:15:58: RADIUS: Initial Transmit FastEthernet0/20 id 36 10.10.3.1:1812, Access

-Request, len 163

07:15:58: Attribute 4 6 0A0A03FD

07:15:58: Attribute 5 6 0000C364

07:15:58: Attribute 79 8 020D0006

07:15:58: Attribute 80 18 32F229BA

07:15:58: RADIUS: Received from id 36 10.10.3.1:1812, Access-Challenge, len 1576

07:15:58: Attribute 27 6 0000001E

07:15:58: Attribute 79 255 010E05D8

07:15:58: Attribute 79 255 74686F72

07:15:58: Attribute 24 24 053B010C

07:15:58: Attribute 80 18 B4A37159

07:15:58: RADIUS: EAP-login: length of eap packet = 1496

07:15:58: RADIUS: EAP-login: got challenge from radius

07:15:58: AAA/AUTHEN (922714513): status = GETDATA

 

07:16:33: AAA/AUTHEN/CONT (3650909570): continue_login (user='aweller@Testnetzet

e.local')

07:16:33: AAA/AUTHEN (3650909570): status = GETDATA

07:16:33: AAA/AUTHEN (3650909570): Method=radius (radius)

07:16:33: RADIUS: ustruct sharecount=1

07:16:33: RADIUS: EAP-login: length of radius packet = 212 code = 1

07:16:33: RADIUS: Initial Transmit FastEthernet0/13 id 40 10.10.3.1:1812, Access

-Request, len 212

07:16:33: Attribute 4 6 0A0A03FD

07:16:33: Attribute 5 6 0000C35D

07:16:33: Attribute 61 6 0000000F

07:16:33: Attribute 24 24 053C010D

07:16:33: Attribute 79 55 02020035

07:16:33: Attribute 80 18 716954A7

07:16:33: RADIUS: Received from id 40 10.10.3.1:1812, Access-Accept, len 210

07:16:33: Attribute 79 6 03030004

07:16:33: Attribute 26 6 0000000907060000

07:16:33: Attribute 7 6 00000001

07:16:33: RADIUS: EAP-login: length of eap packet = 4

07:16:33: RADIUS: EAP-login: radius didn't send any vlan

07:16:33: AAA/AUTHEN (3650909570): status = PASS

07:16:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, chan

ged state to up

07:16:58: AAA/MEMORY: free_user_quiet (0x80F1BE28) user='Frank@Testnetzete.local

' ruser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3-

6A-08/00-0C-CE-38-CC-94' authen_type=6 service=17 priv=1

ACS-Client1#u all

All possible debugging has been turned off

ACS-Client1#

 

Auf Port 13 kommt er XP Client mit user aweller rein !

Auf Port 20 der Win2K mit user frank jedoch nicht, obwohl die challenge vom Radius-Server zurückkommt.

Der Port bekommt einfach nicht den Status = PASS !

 

Sämtliche Zwertifikate mal erneuert und auch die RAS-Berechtigung geprüft, aber es will nicht gelingen.

 

Weiß jemand Rat ?

 

MfG

 

Mr. Oiso

hi tinsel

 

Das siehst Du richtig ! In der Regel benötigst Du doch zwei Benutzer/Passwörter.

Ich gehe davon aus, dass einmal der Client (Host) eine Netzwerkauthentication benötigt

um sich am Netzwerk via 802.1x anzumelden. Diese wird benötigt, um den Port auf dem

Switch zu öffnen. Zusätzlich benötigt der User, welcher an diesem Host arbeitet ebenfals

eine Authentication um sich an der Domain anzumelden. Diese Anmeldungen können aber müssen nicht miteinander verknüpft werden.

Zumindest scheint der Cisco ACS (bei mir via Zertifikate) den Port nicht aufzumachen, wenn er nicht beide Zertifikate ordnungsgemäß besitzt und gegen die Microsoft CA Root

prüfen kann.

Problem: Windows Dialin Permission required !

Ist die Fehlermeldung im Log vom ACS wenn der Client mit dem Zertifikat kommt.

 

Weiß jemand eventuell wie ich mein Zertifikat von der Domain mal testen kann ?

 

MfG

 

Mr. Oiso

Hi Morte

 

eq = equal = gleich

 

Das eq wird in der ACL gesetzt, wenn man genau einen Prot tcp/udp damit abfragen möchte.

domain ist hier die Umschreibung für dns = domain name service.

 

Mit anderen Worten ist : genau dns Port tcp/udp 53 gemeint !

 

Es gibt aber auch die Kürzel gt / lt / range. Hiermit wird eine Port range bezeichnet.

range Port 1-65535

lt = lower than Port x

gt = greater than Port Y z.B.

 

 

Bei der Sache mit der Callback-Verbindung über die Router, ist es nun von Bedeutung wie Deine dialer-list aussieht.

Ich gehe mal davon aus, dass es wirklich Broadcast ist, welcher Dir die ISDN-Leitung vom

Server aus wieder triggert. Triggert=iniziiert

 

Was genau heißt, "Beim Ping macht er das aber nicht " ? Von wo aus wird der ICMP-Request abgesetzt ?

Sonst poste mal Deine dialer-list von beiden Routern.

 

Die Dialer-List ist dafür verantwortlich, bei welchem IP-Packet der Router die Wählverbindung anstoßen darf und wann nicht. Diese können und sollten natürlich je nach Richtung des Traffic von Server to Client und Client to server berücksichtigt werden.

Wahrscheinlich hat der Client bei Deinem Ping-Versuch nur gerade keinen Broadcast gesendet und somit hat alles funktioniert. Nur umgekehrt ist die Frage, wer oder was macht der PC am Server-Router ! Eventuell doch Broadcast ?

 

MfG

 

Mr. Oiso

Hi Thomas

 

Sorry wenn ich dir nicht viel dazu sagen kann, aber ich arbeite mich in das Thema gerade wieder erst ein !

Jedoch denke ich in diesem Thread

http://www.mcseboard.de/showthread.php?t=38359&highlight=Radius

 

da hat Zion durchblicken lassen, dass er bestimmt im Stande ist dir ein paar Sachen

dazu sagen kann.

;)

 

MfG

 

Mr. Oiso

Hi Morte

 

Sorry, dass ich dich schon fast im Stich gelassen habe, aber bei mir war in den letzten Wochen einfach zu viel los ! Mein großes Cisco Projekt hat mich fast aufgefressen.

Aber wie ich sehe hat Robert dir ja das wichtigste mitgegeben.

Hast Du den nun alles laufen, oder zwickt es noch irgendwo !

Lass es uns wissen !

 

Gruß

 

Mr. Oiso

hi Operator

 

Ich klopfe mal gearde jeden ab, der zu Deinem/unserem Probelm noch im Stoff

steht.

Grund:

Bin selber gerade an dieser Konfiguration am Bastel.

Ich setze hier jedoch nen Cat 2950 mit IOS 12.2 (22)EA2 ein.

Dies sollte jedoch nicht das Problem sein ! Habe dazu nen Cisco ACS 3.3 auf nem

W2K Server laufen mit vollfunktionfähigem Certificate Server.

Die einfache Radius Authentication local auf dem Switch ist soweit nicht das Problem.

Jetzt stehe ich hier vor genau der selben Stelle !

Jedoch sieht mein dot1x debug etwas anders aus !

 

Frage: Ist das Thema bei Dir noch aktuell ?

Könnten wir uns hier etwas ergänzen ?

Ist ja bei dir immerhin scho 8 Wochen her ?

 

mfg

 

Mr. Oiso

hi tinsel

 

Da sieht wohl so aus wie Du sagst.

Allerdings hab ich mal gearde eine Frage.

Ich befinde mich im Moment an der selben Stelle. Allerdings suche ich erst mal

nach einer Funktion um nur die Authentication auf dem Client über den Switch

sicher zu stellen !

 

Bist Du noch im Stoff ? Oder auf der suche nach der Lösung ?

Setze selbst den ACS von Cisco ein !

Welche Radius Attribute hast Du gewählt ?

Standard IETF ?

 

mfg

 

Mr. Oiso

hi steinhauer_mark

 

Die ganze Sache wird auch wie folgt angegeben !

z.B

ip domain name xyz.dyndns.de

ip name-server 192.168.1.251

ip name-server 192.168.1.250

 

Kein command mit dns needed !

 

MfG

 

Mr. Oiso

hi steinhauer_mark

 

Normaler weise sollte in Deinem Release auch DNS verfügbar sein !

Ich wüßte nicht, das es nicht gehen sollte. Mit dem Router 1721 hat das nichts zu

tun !

Versuchs mal mit "ip domain name" und anschließend mit ip dns server, eventuell

macht er es erst dann !

 

MfG

 

Mr. Oiso

hi steinhauer_mark

 

thorgood hat recht, "ip nat inside source static tcp 192.168.1.200 80 interface Dialer1 80"

ist der richtige command, aber es sieht so aus als ob Du dann aber die

ip nat translation timeout 86400

ip nat translation tcp-timeout 86400

ip nat translation udp-timeout 300

ip nat translation dns-timeout 60

ip nat translation finrst-timeout 60

 

zumindest für TCP 80 könnte es die Lösung sein !

Schau aber nochmal richtig nach gleich !

 

MfG

 

Mr. Oiso

hi Bender

 

Das Config-Regidter findest Du mit "show version"

und sollte so aussehen ! 0x2102

Dann sollte der Router die Konfiguration behalten !

 

 

 

MfG

 

Mr. Oiso

hi zimbo123

 

Bei den Fragen 1,2 und 4 stimme ich voll und ganz Deiner Meinung zu.

Bei Frage 3 weiss ich nicht so recht was mit dem "What wo" gemeint ist welcher die

Performance nachweislich beeinträchtigt.

Wenn wirklich der Faktor gesucht ist, welcher das herrabsetzen der Performance im

gegebenen Fall entscheidet, ist Deine Antwort ebenfals richtig !

 

MfG

 

Mr. Oiso

Hi Morte,

 

lange nicht gesehen ! Ja, du kannst es via ACL's an den Subinterfaces lösen.

Nicht aber durch eine ACL am Hauptinterface !

Du solltes in jeder ACL klar definieren was und wer wohin darf !

 

Bei "in und out" mache Dir einfach eine Eselsbrücke !

In = inbound entspricht dem Traffic welcher in das Interface hinein muss,

Out = outbound entspricht dem Traffic welcher herraus muss.

 

ein Beispiel :

 

interface FastEthernet0/1.4

encapsulation dot1Q 4

ip address 10.10.1.1 255.255.255.0

ip access-group 110 in

!

interface FastEthernet0/1.5

encapsulation dot1Q 5

ip address 10.10.2.1 255.255.255.0

ip access-group 111 out

 

Hier bedeutet die "access-group 110 in", das in der ACL 110 der Traffic zu definieren ist,

welcher aus dem Vlan 4 herraus in jede andere Richtung muss/darf/oder verboten wird.

 

Die ACL an FastEthernet0/1.5 bedeutet, dass in ihr der Traffic definiert wird, welcher nach dem Routing Prozess noch in das Vlan 5 hinein darf/muss/ oder eben nicht.

 

Du merkst schon an der Formulierung, dass inbound ACL's den Router schonen.

Denn solltest Du gewissen Taffic nicht in Vlan 5 nicht hineinlassen wollen, dann sollte

man diesen auch an Vlan 4 schon droppen lassen um den Route Prozess nicht unnötig

zu belasten. Wenn er aber nach Vlan 1 muss, dann must Du ihn schon reinlassen ...

in den Router ! :D

 

Hope this works !

 

MfG

 

Mr. Oiso

hi thorgood

 

Danke für diese Aussage !

Das ist doch genau was ich suche. Ich hoffe nur das funktioniert auch auf dem

NT4.0 PDC. Dann wären wohl vorab schon mal die größten Proleme beseitigt.

 

Thx

 

mfg

 

Mr. Oiso

hi@all

 

Über die von mir angesprochene Netzwerkstruktur kann ich nur sagen....

Das ist nicht das einzige Netz, welches in dieser Form angetroffen habe.

Hier gibt es noch viele, welche den Migrationsprozess von Token-Ring nach

Ethernet entweder nicht zu Ende geführt haben, oder es scheinbar nie so richtig

vorhatten.

Und eben genau hier habe ich immer Probleme mit DNS gehabt, weil es hier

meißt entweder keine Domain Struktur gibt, oder es sich oft um Windows für

Wohnzimmergemeinschaften handelt. Am besten noch mit NetBios anstelle von

DNS !

 

MfG

 

Mr. Oiso

Hallo Data, hallo candy,

hi carlito, hi Velius

 

Ich werde mal eben aufklären !

Also ob diese Netzwerkkonstellation so sein muss oder nicht ist wirklich fraglich.

So habe ich es bei einer Fehleranalyse vorgefunden.

 

Bei den Netzwerken A und B handelt es sich :

A um ein Token-Ring Netz

B um Ethernet

 

Die ganze Struktur ist also hirachisch gewachsen. Es handelt sich also um eine

schrittweise Migration von Token-Ring nach Ethernet.

Das Problem an der ganzen Sache ist zusätzlich, das es insgesamt 7-8 Devices in dieser

Struktur gibt, welche IP-Forwarding (Routing) machen könnten.

Es handelt sich dabei drei mal um eine AS400 und drei mal um einen Windows NT 4.0

(PDC,BDC) sowie diesen Router in der Mitte, welche jeweils im Token-Ring und

im Ethernet ein Netzwerkinterface besitzen.

 

Der Router (Cisco) sollte in der Lage sein sämtlichen Traffic zu routen, jedoch schien

man es aus Performance Gründen für besser zu halten, jeden dieser 6 Server sowohl in

Token-Ring als auch in Ethernet zu platzieren.

Der Server N ist also in dieser Struktur der NT4.0 PDC und der Server S ist eine der

beiden AS400 auf welchem ein Lotos Notes läuft.

Die Clients C1 und C2 sind jeweils nur ein Client als Beispiel von vielen aus dem Token-Ring

Netzwerk, welche eben durch die nicht eindeutige Namesauflösung durch den PDC entweder direkt oder eben über Umweg erst an den Lotos Notes Server kommen.

Teilweise benötigt der DNS Request z.B. bei einem einfachen Ping<Name> bis zu 12 sec.

bevor der DNS Server überhaupt die IP rausrückt.

 

@Data1701

Genau davon gehen wir erst mal nicht aus ! Es sieht so aus, als ob der Client wahlweise den direkten Weg durch den Token-ring nimmt, aber auch nicht abgeneigt ist, den Umweg über den Router ins Ethernet anzutreten.

Genau hier liegen nämlich die ungeklärten Connection Probleme des Kunden.

Z.B. muss eine AS400 auf einen FTP-Server im Token-Ring zyklisch zugreifen um

Versand-Daten abzuholen, diesen erreicht sie aber komischerweise nur dann, wenn er den

Server permanent pingt. Ansonsten nimmt sie den Umweg oder kommt garnicht mehr an den FTP-Server.

Die Sache mit der Gewichtung ist uns bisher nicht bekannt gewesen !

Farge: Wie macht man das ? Kann das ein NT4.0 überhaupt schon ?

 

@carlito

Deine drittletzte Frage ist schon klar ! Eigentlich sollte der Router sein übriges erledigen.

Er tut es soweit auch. Jedoch musste ich erst sämtliche Routingtabellen auf den 7-8 Devices überprüfen um es sicherzustellen. Ich hatte anfänglich grobe Verstöße im Routing

(Subneting usw.) beseitigen müssen, damit es annähernd o.k. ist.

Leider konnte bis dato kein einheitliches Gateway vom Token-Ring ins Ethernet festgelegt werden.

 

@velius

Ich hoffe allen Erklärungen nachgekommen zu sein !

Über den Sinn in solcher Netzwerkstrukturen darf man glaub ich auch nicht lange nachdenken, deshalb erher die Frage was tun !

Fakt ist, dass ich dem Kunden sagte, sieh zu dass der Token-Ring bald mal zu Ende migriert wird, und errichte im Ethernet eine Domain größer NT4.0 (also 2000 oder 2003)

und stelle dort eine einheiltiche DNS Lösung allen Client's zur Verfügung. Zumal er im Ethernet noch nen VPN Device hat, mit dem er ebenso seine Probleme hat, da die VPN Client's teilweise das Ziel nicht finden. (DNS im Token-Ring)

Und weil das Internet-Gateway wiederum im Token-Ring liegt..........

Also alles kuddel muddel !

 

Die Sache mit der Gewichtung "Records" würde mich also nach wie vor brennend interessieren.

Wie kann ich das auf meinem NT2000 mal testen ?

 

Dank an alle !

 

MfG

 

Mr. Oiso

Hallo Board, hallo DNS Spezialisten

 

Eine etwas komplexe Frage:

 

Ich habe zwei Netze A und B. Sowie einen DNS Server N einen Server S und einen Client

C1 und C2. Dazu noch einen Router R zwischen den Netzwerken A und B.

 

Der DNS Server N, der Server S und der Client C2 haben je ein Netzwerkinterface in Netzwerk A und B.

 

Der Client C1 besitzt allerdings nur ein Interface in Netzwerk A.

 

Server S ist sowohl mit der IP A.S und B.S beim DNS Server N registriert.

Client C1 möchte nun eine Verbindung aufbauen zu Server S und fragt DNS Server N nach der Adresse von Server S.

N gibt C1 die Antwort auf den Request B.S,A.S !

Frage: Zu welcher IP Adresse baut der Client C1 die Verbindung auf ?

Nimmt er die erste Adresse B.S und lautet somit der Weg A.C1 - A.R - B.R - B.S ?

Oder aber ist Client C1 so schlau herrauszufinden das A.S näher ist obwohl der DNS

Server zuerst B.S auf den Request hin liefert.

 

Was passiert wenn der DNS Server N statt B.S,A.S - A.S,B.S zurückgibt ?

Wie verhält sich das ganze bei Client C2 welcher selbst Interface in beiden Netzwerken

B.C2 und A.C2 besitzt ?

Zu welcher IP-Adr. des Server S würde dieser Client bei gegebener Reihenfolge Connecten ?

 

Wer kann mir diese Frage beantworten.

Vielen Dank

 

Grüße aus dem Cisco Board

 

Mr. Oiso

hi Fr33climber

 

Also zu den Büchern nur folgendes !

Das Intro ist in der Regel für den beinharten Anfänger.

Jedoch steht ne menge drin, was wirklich auch abgefragt wird.

Ich hab es trotzdem gelesen. Und das war auch gut so !

Wusste vorher nicht, dass Cisco darin das OSI 7 Schicht erklärt und

daneben noch andere Schichtmodelle, welche mir nachher gefehlt

hätten.

Ausserdem gibt es einige Fragen im Test, die hätten aus dem Buch

abgeschrieben sein können ! Die hätte ich auch nicht gewußt, wenn's

nicht zufällig die Cisco Press Version gewesen wäre !

Je aktueller, je besser !

 

ICND Buch ist ein Muss !

 

Mein Eindruck !

 

MfG

 

Mr. Oiso

hi boom2005

 

Da hast Du Dir ja ganz schön was vorgenommen.

In der Regel sollten Deine Vorhaben umzusetzen sein. Im wesendlichen würde

ich mich an Deiner Stelle mal mit Policy Based Routing befassen.

Damit sollte es Dir möglich sein, bestimmte TCP/UDP Sessions zwischen den

beiden Routerverbindungen aufzuteilen.

Wichtig jedoch wäre zu wissen, welcher Deiner Router bei diesem Konzept z.B.

als default Gateway arbeitet, oder ist dass ein anderes Gerät z.B. eine Firewall, oder

noch ein anderer Router ? Dieser könnte dann z.B. für das Load-Sharing eingesetzt werden.

Probleme bereitet mir jedoch die Telefongeschichte.

Wie ist diese Schnittstellentechnisch angeschlossen ?

Wird Sprache über die Kanäle direkt übertragen ?

Würde bedeutet, Du hast an dem 3800er Router eine Serielle Verbindung auf die TK-Anlage. Hier kannst Du sicher die Reservierung der Kanäle oder die Priorisierung der Kanalverteilung zwischen Daten und Sprache vornehmen, aber wie sollen dann die

Sprachdaten über den anderen (neuen) Router kommen ?

Hier ginge dann nur Voice over IP ! Was gibt der 3850 an Features her ?

Welche IOS ?

 

Und für das Backup-Routing würde ich wie Scooby schon sagt, dynamisches Routing einsetzen. Macht Sinn !

 

Wichtig : Genaueres sieht man erst wenn man die Konfiguration kennt. IOS ! Feature Set !

 

MfG

 

Mr. Oiso

Hi Wolke2K4

 

Es ist nie zu spät ! :D

Im Moment muss man mich eher anschreiben, als dass ich von alleine irgendeinen

Thread bearbeiten kann. Habe nen wichtiges und großes Projekt am laufen.

 

Aber nichts für Ungut !

Zu Deiner Konfiguration kann ich nur sagen " etwas gemixt"

Du solltest auf jeden Fall das Snapshot Routing raus nehmen.

Ich hab das mal gemacht ! Lange her und nur Ärger gehabt.

Immerhin hattest du wohl schon angefangen via "dialer map ip" Deine Letung

aufzubauen, warum also nicht zu Ende gebracht ?

In der Konfiguration, welche ich mal gemacht habe, habe ich dir doch auf der ISDN

Strecke ein Netzwerk konfiguriert.

 

Eine Seite :

 

interface Dialer1

description connected to RouterA

ip address 172.18.16.1 255.255.255.252

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer map ip 172.18.16.2 name torge broadcast Vorwahl+Rufnummer

dialer hold-queue 10

dialer load-threshold 180 either

dialer-group 1

no cdp enable

ppp authentication chap

ppp multilink

 

 

 

interface Dialer1

description connected to RouterB

ip address 172.18.16.2 255.255.255.252

encapsulation ppp

no ip split-horizon

dialer in-band

dialer idle-timeout 300

dialer map ip 172.18.16.1 name RouterB broadcast Vorwahl+Rufnummer

dialer hold-queue 10

dialer load-threshold 180 either

dialer-group 1

no cdp enable

ppp authentication chap

ppp multilink

 

 

Du solltest Dich von dem IP-unnumbered to eth lösen, am besten routest Du Netz A über

die IP-Adr. am dialer interface des Router's von gegenüber.

Und Netz B genauso.

 

Die Access-list 102 ist doch schon garnicht mal so schlecht, jedoch verstehe ich diesen Eintrag nicht :

access-list 102 deny ip 0.0.0.132 255.255.255.0 any

 

Auf jeden Fall solltest Du die List in den Command

dialer-list 1 protocol ip permit

mit einbringen :

dialer-list 1 protocol ip permit list 102

 

Damit unterlässt der Router eine Anwahl für alle IP-Pakete, welche in der Liste denied werden.

Anderherum, könntest Du die Liste auch umgekehrt austellen.

Überlege Dir genau was über die Leitung gehen soll:

z.B. WWW,SMTP,POP3,FTP,FTP-Data etc.

Definiere die Liste so, dass alles drin ist was du brauchst

access-list permit tcp any any eq www z.B.

und am Ende setzt Du dann das deny any any !

 

Und Du wirst sehen, er ruft nicht mehr raus, wenn es nicht sein muss.

Die Sache mit dem Scheduler geht aber auch !

Hab ich aber noch nie gemacht.

Zumindest sollte dann aber die Uhr auf dem Router richtig gehen !

Heißt NTP konfigurieren, oder der local clock vertrauen.

 

Hast Du meine Konfigurationen noch ?

 

MfG

 

Mr. Oiso

Hi Morte

 

Wie in meiner Mail geschrieben, habe ich nachgesehen, ob der 2621XM Router mit

seinem IOS Vlan Routing via 802.1q unterstützt.

Ja, er macht es !

Auch Deine Konfiguration:

vlan database

vlan 5 name name5

vlan 6 name name6

vlan 7 name name7

vlan 8 name name8

vlan 9 name name9

 

ist richtig.

Du mußt nicht aber könntest nun natürlich noch diverse Parameter für die einzelnen Vlan's

konfigurieren. (z.B. MTU Size etc.)

In der Regel reicht es aber so aus, wie Du es gemacht hast.

Nun hoffe ich natürlich, dass Du die Trunk's zwischen den Switches via 802.1q konfiguriert hast, somit hast Du in etwa schon eine Ahnung, wie nun ein Trunk hin zum Router gebildet werden muss.

 

z.B.

 

interface FastEthernet0/27

switchport mode trunk

 

Dieses reicht auf einem 2950 völlig aus, um den Router an diesem Port 0/27 mit den Vlan's

zu versorgen.

 

Auf dem Router selbst sieht das dann nachher etwa so aus.

 

interface FastEthernet0/1

description ETE-Lan

no ip address

no ip mroute-cache

duplex auto

speed auto

!

interface FastEthernet0/1.1

encapsulation dot1Q 1 native

ip address 192.168.1.69 255.255.255.0

!

interface FastEthernet0/1.4

encapsulation dot1Q 4

ip address 10.10.1.1 255.255.255.0

!

interface FastEthernet0/1.5

encapsulation dot1Q 5

ip address 10.10.2.1 255.255.255.0

!

interface FastEthernet0/1.6

encapsulation dot1Q 6

ip address 10.10.3.1 255.255.255.0

 

Wie Du siehst, hat das Eth-Interface selbst keine IP-Addresse mehr.

Du erstellst einfach die von Dir erwähnten Sub-Interfaces und vergibst an ihnen die IP's für das entsprechende Vlan !

Wichtig ist hinter dem dot1Q (Vlan-ID) !

Wenn Du hier die ID 5 wählst, dan gilt das auch für Dein Vlan name5.

Anschließend richtest Du nur noch das Routing ein !

z.B.

 

router eigrp 111

network 10.10.1.0 0.0.0.255

network 10.10.2.0 0.0.0.255

network 10.10.3.0 0.0.0.255

network 10.10.4.0 0.0.0.255

 

Du kannst natürlich auch ein anderes Routingprotokoll nehmen.

Der Command "native" sollte hinter Vlan 1 stehen, da auf den Switches per default

das native Vlan = 1 ist.

Es sei denn, du hast ein anderes Vlan zum native Vlan gemacht, dann änderst Du das in der Config passend.

 

Jetzt sollte es so sein, dass Du von jedem Host im Vlan x das entsprechende Sub-Interface

des router's pingen kannst. Dieses wird dann sicherlich auch Dein def. Gateway aus dem

entsprechendem Vlan werden.

Ergo sollten auch die anderen Sub-Interfaces via ping erreichbar sein.

 

Ab jetzt kannst Du jedes Sub-Interface vom Router wie ein eigenständiges Ethernet Routinginterface für jedes Vlan nutzen.

Also auch ACL's anbinden etc.

 

MfG

 

Mr. Oiso

Hi Sebastian

 

Super, das ist doch mal ne Aussage !

Deine Info macht mich sehr neugierig, da ich das VMPS Feature nun schon in das eine

oder andere Projekt integriert habe. Leider habe ich eben immer an der Stelle

abgebrochen, wo eben nicht immer die entsprechende Hardware zur Verfügung gestanden

hat.

Wenn ich Dich also richtig verstehe, so läuft das Tool auf einer Linux-Büchse, welche dann

als VMPS Server aggiert.

Mit anderen Worten stellt der Cisco Switch seine Request nicht an den üblichen Cisco

Switch vom Typ 4000/5000/6000 sonder er schickt sie an den Linux-Server via

vmps reconfirm, welcher dann die Zuweisung via MAC-To-Vlan Mapping vornimmt.

 

Ich werde das mal testen und werde Dich dann zu diesem Thema nochmal ansprechen,

wenn Du erlaubst !

 

Danke für diese Info

 

Mr. Oiso

Hi wilger

 

Ja, VMPS ist eine feine Sache, allerdings unterstützt leider nicht jede Hardware von Cisco

den VMPS-Server, welchen Du dafür auf jeden Fall benötigst.

Allein deswegen ist es eine kostenspielige Sache. Auch mit 802.1x soll es bekanntlich laufen, jedoch habe ich es noch nicht versucht. Bestimmt aber ist die Implementierung mit

802.1x etwas aufwändiger.

 

http://www.cisco.com/en/US/partner/tech/tk389/tk689/technologies_tech_note09186a00800c4548.shtml

 

The table below lists the minimum software requirements to support VMPS on various Cisco Catalyst switches products.

 

VMPS Server Support

VMPS Client Support

 

Catalyst 4000 Family (CatOS)

Yes (7.2(x) and later)

Yes (all software releases).

 

Catalyst 4000/4500 (IOS)

Not currently supported

Yes (12.1(13)EW and later)

 

Catalyst 2900XL/3500XL

Not Supported

Yes (11.2(8)SA4 and later, Enterprise Software Edition only)

 

Catalyst 2950/2955/3550

Not Supported

Yes (All Software Releases)

 

Catalyst 2948G-L3 / Catalyst 4908G-L3

Not Supported

Not Supported

 

Catalyst 5000/5500 Family

Yes (2.3.x and later)

Yes (2.3.x and later)

 

Catalyst 6000/6500 Family (CatOS)

Yes (6.1(x) and later)

Yes (all software releases)

 

Catalyst 6000/6500 Family (IOS)

Not currently supported

Not currently supported

 

Troubleshooting DVLAN Membership

 

 

Zum Thema GLBP, HSRP, und VRRP kann ich nur sagen, dass GLBP wahrscheinlich etwas leichter zu händeln sein wird, da der administrative Aufwand wesentlich kleiner ist.

Im Gegesatz zu VRRP und HSRP arbeitet GLBP allerdings mit virtuellen MAC-Adr. welches bei der Auswahl der Router dann aber zu beachten ist.

Sollte der Router viruelle MAC's nicht unterstützen, so kommt man mit GLBP nicht weit.

 

MfG

 

Mr. Oiso