mr._oiso

Hi quenton Habe gerade nicht viel Zeit ! Habe deshalb nur schnell überflogen, aber warum verwendest Du keine IP am dialer interface ? Zumindest ip unnumbered to eth wäre hier denkbar ! Jedoch sollte es der Router gegenüber auch tun ! Oder bekommst Du vom Router gegenüber eine IP ? Dann ip address negotiated ! Als nächtes "ppp authentication chap pap callin" hiermit auth. der Router nur eingehende Anrufe ! Welcher Router macht den die Einwahl ? Oder müssen sich beide Router zueinander einwählen dürfen ? Dann solltest Du das callin wieder entfernen. Und ppp multilink ! Warum multilink, wenn Du em Interface dialer 1 den Bandbreiten-command 64 mitgibst ? Tip ! Debuggen ! Router#terminal monitor Router#debug isdn events Router#debug isdn q921 Router#debug isdn q931 Router#debug ppp authentication Damit siehst Du schon mal wenigstens, ob der Router überhaupt versucht das Interface anzuheben. Was ich aufgrund der IP Konfiguration im Moment bezweifel. Info: Schau makl nach der Konfiguration des Router gegenüber, und richte die Konfiguration daraufhin aus ! Gruß Mr. Oiso

hi oscar1 Super ! Hatte schon gedacht ich wäre auf dem Holzweg gewesen. Hat mich sehr gefreut ! Gerne wieder ! Dann kannst Du ja nun beruhigt ins Weekend starten ! Viel Spaß dabei ! MfG Mr. Oiso

hi xyCruiseryx Und zum Schluss die rotary group ! Die dialer rotary-group ist im Prinzip nichts anderes als die logische Zusammenfassung für inbound call`s ! Aller physikalischen Interface`s welche sich in einer dialer rotary-group befinden, sind brechtigt eingehende call`s von virtuellen Interface`s dieser Gruppe entgegenzunehmen. Oder/und via callback zu beantworten. Allerdings sieht man solche Konfigurationen eher im Zusammenhang von asynchronous serial Interfaces, weil man hier in der Regel bis zu 31 oder mehr B Channel benötigen kann um zum Beispiel auch dialer load-threshold 1 outbound zu konfigurieren. Ergo, dass dynamische zuschalten von weitern B Channel`s um die Bandbreite optimal auszunutzen. Oder nur dann auszunutzen wenn man sie benötigt. Wichtig ist hierbei allerdings auch das ppp multilink, dynamische Kanalbündelung muss halt gewährleistet werden. Und genau das bekommt man mit einer rotary-group hin ! MfG P.S.: Sollte ich irgendwas falsches erzählt haben, dann haut mich drauf an ! ;) Mr. Oiso

hi xyCruiseryx Und weiter ! Wenn man nun mehere Dialer Profiles erstellt als z.B. zwei, geht man in der Regel so vor, dass man neben der logischen Gruppenzuweisung der entsprechenden pysikalischen Interfaces auch virtuelle dialer interfaces konfiguriert. Das sind die dialer interfaces 1-x ! Die virtuellen dialer kann ich nun mit dem dialer group command den entprechenden Gruppen zuweisen, in denen auch die dafür vorgesehenen pysikalischen Int. liegen, die zur Anwahl oder zur Einwahl bereitstehen. Genau hier kommt es nun zum Tragen, ob ich einen dial in oder einen dial out konfiguriere. Der dialer pool-member x command ist nun dafür gedacht, ein pysikalisches Int. als eine Gruppe von Interfaces zu konfigurieren, welches für dial out berechtigt ist. Auch hier können mehrere Interfaces in einer solchen Gruppe auftauchen. z.B.: interface bri 1 encapsulation ppp dialer pool-member 1 priority 50 dialer pool-member 2 priority 50 interface bri 2 encapsulation ppp ! BRI 2 has a higher priority than BRI 1 in dialer pool 2. dialer pool-member 2 priority 100 dialer pool`s sind also auch eine logische Anordnung. Die entsprechenden virtuellen dialer Int. werden nun mittels dialer pool command diesen Gruppen zugeordnet ! z.B.: ! This is a dialer profile for reaching remote subnetwork 10.2.2.2. interface dialer 2 ip address 10.2.2.2 255.255.255.0 encapsulation ppp dialer remote-name Mediumuser dialer string 5264540 class Eng dialer load-threshold 50 either dialer pool 1 dialer-group 2 dialer caller 14805364540 callback dialer caller 1480267xxxx callback dialer enable-timeout 2 In diesem Beispiel wurden zwei BRI dazu gebraucht, um eben auch eine Priorisirung der Outbound call`s zu realisieren. Netz Teil 4 ! MfG Mr. Oiso

hi oscar1 Dann probiere es mal so ! switch: copy xmodem:c3550-i9q3l2-mz.121-22.EA1a.bin flash:c3550-i9q3l2-mz.121-22.EA1a.bin Hope this work`s now ! MfG Mr. Oiso

hi xyCruiseryx O.k. ! Weiter geht`s ! :) Somit wären wir beim Dialer map ! Der dialer map command wird in der Regel im Zusammenhang mit dialer profiles fallen. Wie schon gesagt lege ich hiermit schon die IP-Adr. meines ISDN Partner`s fest. Sollte dieser sich nun mit einer anderen einwählen oder via DHCP versuchen bekommt dieser keinen connect. Sprich der Call wird abgelehnt. Dialer profiles werden in der Regel dann konfiguriert, wenn ich spezielle Einstellung für unterschiedliche Connect`s benötige. Dazu gehören idle-timeout, fast-idle, hold-queue, vpdn, caller, in-band, etc. commands. Also echtes DDR ! Einige davon kann man aber auch in map-class`s zusammenfassen und später für mehrere Profiles nutzen. z.B. Router(config)#map-class dialer XXX Router(config-map-class)dialer enable-timeout y Router(config-map-class)dialer idle-timout y Router(config-map-class)dialer ISDN Router(config-map-class)dialer fast-idle etc. Später wird diese map-class dann so eingebunden: dialer map ip 172.23.0.2 name remotename map-class XXX broadcast 5551111 Sprich, für jedes profile kann ich andere class`s wählen. Allgemein benötige ich natürlich max 2 Profiles pro physikalischen BRI interface, da ich eh nur 2xB Channels habe. Ich kann natürlich auch mehrere konfigurieren, jedoch ist dann unter umständen für einen dritten connect kein Platz mehr. Dafür lassen sich dann natürlich noch Prioritäten konfigurieren, dazu aber erst Teil 3. Denn für mehrere User hab ich in der Regel dann entweder mehrere BRI`s oder sogar asynchronous serial interfaces bei denen ich mehrere B Channel zur Verfügung habe. Dafür gebrauche ich dann in der Regel auch die dialer-pool oder auch dialer rotary-groups ! MfG Mr. Oiso

hi oscar1 Den Filenamen nur einmal angeben. Er muss lediglich wissen wohin er die xmodem session abspeichern soll. Ergo : "flash:c3550-i9q3l2-mz.121-22.EA1a.bin" c3550-i9q3l2-mz.121-22.EA1a.bin Das zu sendende file wählst Du ja woanders aus ! MfG Mr. Oiso

hi oscar1 Schon nicht schlecht ! switch: copy xmodem:flash:c:\c3550-i9q3l2-mz.121-22.EA1a.bin c3550-i9q3l2-mz.121-22.EA1a.bin Aber versuchs mal mit: switch: copy xmodem:flash:c3550-i9q3l2-mz.121-22.EA1a.bin Das c:\ ist überflüssig ! Maximal den filenamen im zweiten Versuch Normal sollte er danach fragen ! MfG Mr. Oiso

hi xyCruiseryx Tja, dialer hin dialer her, dialing ist nicht schwer ! :D Aber wohin ! :D O.k. ! Scherz beiseite. Also, die dialer-group ist ein logisches Interface, welches immer anzulegen ist, um diesem ein physikalisches interface zuzuweisen. z.B. interface BRI1/0 ip address negotiated encapsulation ppp dialer idle-timeout 60 dialer string 97771200 dialer-group 1 isdn switch-type basic-5ess ppp authentication chap Das ist sozusagen eine Grundinstallation, wie man es häufig macht, wenn man nur eine Gegenstelle von einem Router aus anwählt. Hierbei ist das pysikalische Interface auch gleich das logische und das virtuelle. In ihm kann ich sämtliche Layer 1 - 3 Informationen hineinkonfigurieren. Dazu gehören neben IP Informationen auch die anzurufende Nr. (dialer string) als wie z.B. auch den (dialer remote name). In der Regel ist er eigens für die Chap Authentifizierung. Hier im Beispiel weggelassen, weil via username remote-routername password 0 xxxx schon konfiguriert. Man könnte sonst auch nur den remote-namen angeben und müsste dann via enable secret als password auth. (geht auch). Somit ist der dialer remote name erklärt. Mit dieser Konfiguration lege ich mich aber nur auf einen einfachen und vor allem statischen Connect fest. Zusätze hierfür wären da noch eine "dialer map ip" Konfiguration. z.B. interface BRI1/0 ip address 172.23.0.1 encapsulation ppp dialer idle-timeout 60 dialer map ip 172.23.0.2 name remotename broadcast 5551111 dialer-group 1 isdn switch-type basic-5ess ppp authentication chap hier wird in einem Command die IP der Gegenseite (Transfernetz) festgelegt + remotename und Tel.Nr., welche hinter dem Broadcast command steht. Fortsetzung flogt ! MfG Mr. Oiso

hi Commo1977 Na also, es geht doch vorran ! Tip : Eine IP für das interface bri0 benötigst Du auch nicht. Hr_Rossi schrieb : geh wieder --> enable mode --> conf term --> int bri0 -->no ip address 192.168.0.50 255.255.255.0 --> ip address negotiated --> dialer group 1 --> no cdp enable --> no shutdown --> exit Entferne die IP von bri0 und trage "ip address negotiated" ein. Die IP Adr. erhält der Router sobalt er sich beim Provider einwählt ! MfG Mr. Oiso

hi oscar1 So langsam wird`s brenzlig ! :shock: Wichtig ! Der Cisco 3550 ist per default kein Router ! Ergo gibt es auf ihm kein rommon> wie auf einem Router. Er sollte sich mit Switch: melden, wenn Du den Break Key gesendet hast. Allein deswegen bin ich schon :shock: das bei Dir nach dem Command : flash_init + load_helper der Befehl copy xmodem: flash:c3500XLxxxxxxxxxxx.bin nicht funktioniert. Was er genau zwischen diesen beiden Zeilen macht muss ich erst in ruhe nachschauen. .... Boot Sector Filesystem (bs installed, fsid: 3 Parameter Block Filesystem (pb installed, fsid: 4 ..... Obwohl das hier The system is unable to boot automatically. The BOOT environment variable needs to be set to a bootable image. switch: ein Indiz dafür ist, dass er schon an der richtigen Stelle stopt, ohne ihn mit Break Key anzuhalten. Ergo muss es ab hier mit "copy xmodem: flash:xxxxxxx.bin" weitergehen ! Wichtig ist auch, dass Du den Befehl mit Enter bestätigst, und danach erst das File via xmodem vom Hyperterminal sendest. Versuch das bitte nochmal. Ich schau mal was ich noch finde ! MfG Mr. Oiso

hi oscar1 Jetzt mal ruhig ! The example below uses Hyperterm to break into switch: mode on a 2955 and 3550. C2955 Boot Loader (C2955-HBOOT-M) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST VERSION Compiled Fri 13-Dec-02 17:38 by madison WS-C2955T-12 starting... Base ethernet MAC Address: 00:0b:be:b6:ee:00 Xmodem file system is available. Initializing Flash... flashfs[0]: 19 files, 2 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440 flashfs[0]: Bytes used: 4510720 flashfs[0]: Bytes available: 3230720 flashfs[0]: flashfs fsck took 7 seconds. ...done initializing flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 *** The system will autoboot in 15 seconds *** Send break character to prevent autobooting. !--- Wait until you see this message before !--- you issue the break sequence. !--- Ctrl+Break is entered using Hyperterm. The system has been interrupted prior to initializing the flash file system to finish loading the operating system software: flash_init load_helper bootswitch: Issue the flash_init command. switch: flash_init Initializing Flash... flashfs[0]: 143 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672 flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck took 86 seconds ....done Initializing Flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 switch: !--- This output is from a 2900XL switch. Output from a !--- 3500XL, 3550 or 2950 will vary slightly. Issue the load_helper command. switch: load_helper switch: So weit solltest Du kommen wenn Du alles richtig gemacht hast ! Denke daran die Maschine hart zu Resetten ! Nicht via Command. Und bleibe auf der Console, so dass Du siehst, wann Du den Break Key zu senden hast ! Dieser Kram darf erst garnicht kommen : Loading ""...: permission denied Error loading "" MfG Mr. Oiso

Hi Commo1977 Als nächstes schau mal nach ob Du eine IP Adr. am Interface Ethernet 0 konfiguriert hast, und ob Du nicht auch via telnet auf den Router kommst. Dann mach doch bitte mal ein "show run" im enable mode. Router>enable Passwort:xxxx Router#show run Das Ergebnis paste dann mal ! MfG Mr. Oiso

hi oscar1 Versuchs mal mit Strg+Break ! Könnte besser sein ! Zumindest klappt`s beim Router ! MfG Mr. Oiso

hi Commo1977 Da hast Du allerdings Recht. Jedoch kann ich Dir für das Fast Step keine großartigen Tips geben ! Am besten Du schließt den Router mal über Consolenkabel an Deinen PC an ! Blaues Kabel auf Consolen Port und Sub D 9Pin an Com1 von PC ! Dann machst Du unter Zubehör Kommunikation->Hyperterminal mal los. Dort gibst Du die Com1 an und stellst Baudrate auf 9600, Datenbits 8, Parität keine, Stopbit 1, Flussteuerung keine. Und Emulation auf Auto ! Dann startest Du den Router und schon bist Du via Console drauf ! Dann sehen wir mal weiter ! MfG Mr. Oiso

hi oscar1 Eventuell kannst Du es hier auch nachlesen ! http://www.cisco.com/en/US/partner/products/hw/switches/ps607/products_tech_note09186a0080094955.shtml MfG Mr. Oiso

hi oscar1 Sorry ! An example is shown below. switch: switch: copy xmodem: flash:c3500XL-c3h2s-mz.120-5.1.XP.bin CCC.......................................................................... (BEGIN XMODEM DOWNLOAD ON TERMINAL SOFTWARE NOW) File "xmodem:" successfully copied to "flash:c3500XL-c3h2s-mz.120-5.1.XP.bin" So wird`s gemacht ! MfG Mr. Oiso

hi mmuelleh So in etwa sieht eine ACL an interface dialer inbound aus. access-list 100 remark ACL fuer Internet access-list 100 deny udp any any eq netbios-dgm access-list 100 deny tcp any any eq 139 access-list 100 deny udp any eq netbios-ns any access-list 100 deny tcp any any eq 1863 access-list 100 deny udp any any eq 4000 access-list 100 deny udp any eq netbios-dgm any access-list 100 deny udp any eq netbios-ss any access-list 100 deny udp any range snmp snmptrap any access-list 100 deny udp any range bootps bootpc any access-list 100 deny tcp any eq 137 any access-list 100 deny tcp any eq 138 any access-list 100 deny tcp any eq 139 any access-list 100 permit udp any any eq ntp access-list 100 permit icmp any any echo access-list 100 permit icmp any any echo-reply access-list 100 permit udp any any eq domain access-list 100 permit tcp any any eq www access-list 100 permit tcp any any eq ftp-data access-list 100 permit tcp any any eq ftp access-list 100 permit tcp any any eq smtp access-list 100 permit tcp any any eq pop3 access-list 100 permit ip 172.25.144.0 0.0.0.255 any access-list 100 deny ip any any log dialer-list 1 protocol ip permit Allerdings solltest Du bedenken was das ip(tcp,udp,etc.) inspect macht. Wie schon erwähnt, ist das IP Inspect nur für NAT based Traffic. Das heißt, es werde alle inspecteten Protokolle je nach Richtung und Port dynamisch verschlossen. Sprich mit einer ACL, hier z.B. ACL 100 wird nur erreicht, dass alle angegebenen Ports statisch offen und von aussen erreichbar sind. IP-Inspect jedoch schließt diese automatisch wenn die Timeoutzeiten austimen. Zusätzlich macht ip-inspect die ports nur dynamisch auf, wenn Packete "ip inspect myfw inbound Ethernet" fließen. Sollte also ein HTTP-Server nun auf TCP:80 nicht antworten, so schließt der Router den Port nach Timeout automatisch. Nicht jedoch, wenn Du z.B. eine ACL verwendest wie hier ACL 100. Deshalb würde ich eine ACL vorschlagen, welche nur noch den VPN Tunnel erlaubt. z.B. access-list 103 permit tcp any eq 500 any access-list 103 permit udp any eq isakmp any access-list 103 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.21 access-list 103 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.10 access-list 103 deny ip any any Das wäre dann die Liste, welche auch nicht mit dem inspect in konflikt kommt, da sie nur Traffic erlaubt, welcher mit NAT nix zu tun hat. a) einaml den VPN Tunnel von jedem Host aus dem Internet auf jede mögliche IP welche das dialer Interface vomProvider bekommen hat. b) Der Traffic (IP) vom VPN Device MfG Mr.Oiso

hi mmuelleh Natürlich kannst Du nun wieder eine Access-List an Dein dialer interface binden. Jedoch würde ich die Liste etwas ausbessern ! Ich weiss nun wirklich nicht was diese ACL mit Sicherheit zu tun hat: access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.21 access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.10 access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any log dialer-list 1 protocol ip permit Auch die dialer-list 1 würde ich konfigurieren ! MfG Mr. Oiso

Hi oscar1 Wenn das so ist, dann bleibt Dir nichts anderes übrig, als Deine IOS-Sicherung via ZModem auf den Router zu kopieren. Ergo über die Consolenverbindung. Das kannst Du in der Regel über den Hyperterminal unter Windows machen. Im Menüpunkt "Übertragung" Datei senden. Dort wählst Du nur das binäre file und sendest, nachdem Du dem Router/Switch gesagt hast: copy zmodem flash:image_name Tip: Ändere zuvor die Baudrate von 9600 auf 115200, sonst dauert das sehr lange. Confreg 0x3922 MfG Mr. Oiso

hi oscar1 Hast Du auch jedesmal flash_init und load_helper gemacht bevor Du "dir flash:xxx" versucht hast ? Wenn nicht ist mir schon klar warum er die Commands nicht nimmt. Wenn Du eine Sicherung hast, geht es nur via Zmodem copy ! MfG Mr. Oiso

Hi oscar1 Was ist den nun im Ordner Lost+found auf dem Wsitch noch drin ? Etwa kein binäres file mehr ? Dann ist es auch weg ! Das Image ! Welche Version war denn drauf ? Und hast Du kein Ersatz ? Oder eine Sicherung ? MfG Mr. Oiso

Hi MichaelGee Und wie siehts aus ? Konntest Du mit meiner Mail etwas anfangen ? Läuft es nun ? Gruß Mr. Oiso

Hi oscar1 Sollte sich im directory lost+found kein .bin file mehr finden, dann ist es weg, das gute Image ! Ansonsten sollte es klappen mit : switch: boot flash:lost+found/c3550-i5q3l2-mz.121-13.EA1.bin z.B. Good Luck Mr. Oiso

Hi oscar1 Jetzt nochmal ! switch: flash_init danach switch: load_helper und dann switch: dir flash:lost+found Ergebnis bitte ! MfG Mr. Oiso