mr._oiso

Hi quenton

 

Habe gerade nicht viel Zeit ! Habe deshalb nur schnell überflogen,

aber warum verwendest Du keine IP am dialer interface ?

Zumindest ip unnumbered to eth wäre hier denkbar !

Jedoch sollte es der Router gegenüber auch tun !

Oder bekommst Du vom Router gegenüber eine IP ?

Dann ip address negotiated !

Als nächtes "ppp authentication chap pap callin"

hiermit auth. der Router nur eingehende Anrufe !

Welcher Router macht den die Einwahl ? Oder müssen sich beide

Router zueinander einwählen dürfen ? Dann solltest Du das callin wieder entfernen.

Und ppp multilink ! Warum multilink, wenn Du em Interface dialer 1 den Bandbreiten-command 64 mitgibst ?

 

Tip !

Debuggen !

 

Router#terminal monitor

Router#debug isdn events

Router#debug isdn q921

Router#debug isdn q931

Router#debug ppp authentication

 

Damit siehst Du schon mal wenigstens, ob der Router überhaupt

versucht das Interface anzuheben.

Was ich aufgrund der IP Konfiguration im Moment bezweifel.

 

Info: Schau makl nach der Konfiguration des Router gegenüber,

und richte die Konfiguration daraufhin aus !

 

 

Gruß

 

Mr. Oiso

hi oscar1

 

Super !

 

Hatte schon gedacht ich wäre auf dem Holzweg gewesen.

Hat mich sehr gefreut ! Gerne wieder !

 

Dann kannst Du ja nun beruhigt ins Weekend starten !

 

Viel Spaß dabei !

 

MfG

 

Mr. Oiso

hi xyCruiseryx

 

Und zum Schluss die rotary group !

 

Die dialer rotary-group ist im Prinzip nichts anderes als die

logische Zusammenfassung für inbound call`s !

Aller physikalischen Interface`s welche sich in einer dialer

rotary-group befinden, sind brechtigt eingehende call`s von virtuellen Interface`s dieser Gruppe entgegenzunehmen.

Oder/und via callback zu beantworten.

 

Allerdings sieht man solche Konfigurationen eher im Zusammenhang von asynchronous serial Interfaces, weil man hier in der Regel bis zu 31 oder mehr B Channel benötigen kann um zum Beispiel auch

dialer load-threshold 1 outbound

zu konfigurieren.

Ergo, dass dynamische zuschalten von weitern B Channel`s

um die Bandbreite optimal auszunutzen. Oder nur dann auszunutzen wenn man sie benötigt.

Wichtig ist hierbei allerdings auch das ppp multilink,

dynamische Kanalbündelung muss halt gewährleistet werden.

Und genau das bekommt man mit einer rotary-group hin !

 

 

MfG

 

P.S.: Sollte ich irgendwas falsches erzählt haben, dann haut mich drauf an ! ;)

 

Mr. Oiso

hi xyCruiseryx

 

Und weiter !

 

Wenn man nun mehere Dialer Profiles erstellt als z.B.

zwei, geht man in der Regel so vor, dass man neben der

logischen Gruppenzuweisung der entsprechenden pysikalischen

Interfaces auch virtuelle dialer interfaces konfiguriert.

Das sind die dialer interfaces 1-x !

Die virtuellen dialer kann ich nun mit dem dialer group command

den entprechenden Gruppen zuweisen, in denen auch die dafür vorgesehenen pysikalischen Int. liegen, die zur Anwahl oder zur

Einwahl bereitstehen.

 

Genau hier kommt es nun zum Tragen, ob ich einen dial in oder einen dial out konfiguriere.

Der dialer pool-member x command ist nun dafür gedacht, ein pysikalisches Int. als eine Gruppe von Interfaces zu konfigurieren, welches für dial out berechtigt ist.

Auch hier können mehrere Interfaces in einer solchen Gruppe auftauchen. z.B.:

interface bri 1

encapsulation ppp

dialer pool-member 1 priority 50

dialer pool-member 2 priority 50

interface bri 2

encapsulation ppp

! BRI 2 has a higher priority than BRI 1 in dialer pool 2.

dialer pool-member 2 priority 100

 

dialer pool`s sind also auch eine logische Anordnung.

Die entsprechenden virtuellen dialer Int. werden nun mittels

dialer pool command diesen Gruppen zugeordnet !

z.B.:

 

! This is a dialer profile for reaching remote subnetwork 10.2.2.2.

interface dialer 2

ip address 10.2.2.2 255.255.255.0

encapsulation ppp

dialer remote-name Mediumuser

dialer string 5264540 class Eng

dialer load-threshold 50 either

dialer pool 1

dialer-group 2

dialer caller 14805364540 callback

dialer caller 1480267xxxx callback

dialer enable-timeout 2

 

In diesem Beispiel wurden zwei BRI dazu gebraucht, um eben auch eine Priorisirung der Outbound call`s zu realisieren.

 

Netz Teil 4 !

 

MfG

 

Mr. Oiso

hi oscar1

 

Dann probiere es mal so !

 

switch: copy xmodem:c3550-i9q3l2-mz.121-22.EA1a.bin flash:c3550-i9q3l2-mz.121-22.EA1a.bin

 

Hope this work`s now !

 

MfG

 

Mr. Oiso

hi xyCruiseryx

 

O.k. ! Weiter geht`s ! :)

 

Somit wären wir beim Dialer map !

Der dialer map command wird in der Regel im Zusammenhang

mit dialer profiles fallen.

Wie schon gesagt lege ich hiermit schon die IP-Adr. meines

ISDN Partner`s fest. Sollte dieser sich nun mit einer anderen einwählen oder via DHCP versuchen bekommt dieser keinen

connect. Sprich der Call wird abgelehnt.

Dialer profiles werden in der Regel dann konfiguriert, wenn

ich spezielle Einstellung für unterschiedliche Connect`s benötige.

Dazu gehören idle-timeout, fast-idle, hold-queue, vpdn, caller,

in-band, etc. commands. Also echtes DDR !

Einige davon kann man aber auch in map-class`s zusammenfassen und später für mehrere Profiles nutzen.

z.B.

Router(config)#map-class dialer XXX

Router(config-map-class)dialer enable-timeout y

Router(config-map-class)dialer idle-timout y

Router(config-map-class)dialer ISDN

Router(config-map-class)dialer fast-idle

 

etc.

Später wird diese map-class dann so eingebunden:

dialer map ip 172.23.0.2 name remotename map-class XXX broadcast 5551111

 

Sprich, für jedes profile kann ich andere class`s wählen.

Allgemein benötige ich natürlich max 2 Profiles pro physikalischen

BRI interface, da ich eh nur 2xB Channels habe.

 

Ich kann natürlich auch mehrere konfigurieren, jedoch ist dann unter umständen für einen dritten connect kein Platz mehr.

Dafür lassen sich dann natürlich noch Prioritäten konfigurieren, dazu aber erst Teil 3.

Denn für mehrere User hab ich in der Regel dann entweder mehrere BRI`s oder sogar asynchronous serial interfaces bei denen ich mehrere B Channel zur Verfügung habe.

Dafür gebrauche ich dann in der Regel auch die dialer-pool oder

auch dialer rotary-groups !

 

MfG

 

Mr. Oiso

hi oscar1

 

Den Filenamen nur einmal angeben.

Er muss lediglich wissen wohin er die xmodem session abspeichern soll.

 

Ergo : "flash:c3550-i9q3l2-mz.121-22.EA1a.bin"

 

c3550-i9q3l2-mz.121-22.EA1a.bin

 

Das zu sendende file wählst Du ja woanders aus !

 

MfG

 

Mr. Oiso

hi oscar1

 

Schon nicht schlecht !

 

switch: copy xmodem:flash:c:\c3550-i9q3l2-mz.121-22.EA1a.bin c3550-i9q3l2-mz.121-22.EA1a.bin

 

Aber versuchs mal mit:

 

switch: copy xmodem:flash:c3550-i9q3l2-mz.121-22.EA1a.bin

 

Das c:\ ist überflüssig ! Maximal den filenamen im zweiten Versuch

Normal sollte er danach fragen !

 

MfG

 

Mr. Oiso

hi xyCruiseryx

 

Tja, dialer hin dialer her, dialing ist nicht schwer ! :D

 

Aber wohin ! :D

 

O.k. ! Scherz beiseite.

Also, die dialer-group ist ein logisches Interface, welches immer

anzulegen ist, um diesem ein physikalisches interface zuzuweisen.

z.B.

interface BRI1/0

ip address negotiated

encapsulation ppp

dialer idle-timeout 60

dialer string 97771200

dialer-group 1

isdn switch-type basic-5ess

ppp authentication chap

 

Das ist sozusagen eine Grundinstallation, wie man es häufig macht, wenn man nur eine Gegenstelle von einem Router aus

anwählt. Hierbei ist das pysikalische Interface auch gleich das logische und das virtuelle.

In ihm kann ich sämtliche Layer 1 - 3 Informationen hineinkonfigurieren. Dazu gehören neben IP Informationen auch

die anzurufende Nr. (dialer string) als wie z.B. auch

den (dialer remote name). In der Regel ist er eigens für die Chap

Authentifizierung.

Hier im Beispiel weggelassen, weil via

username remote-routername password 0 xxxx

schon konfiguriert.

Man könnte sonst auch nur den remote-namen angeben und müsste dann via enable secret als password auth. (geht auch).

 

Somit ist der dialer remote name erklärt.

 

Mit dieser Konfiguration lege ich mich aber nur auf einen einfachen und vor allem statischen Connect fest.

 

Zusätze hierfür wären da noch eine "dialer map ip" Konfiguration.

z.B.

 

interface BRI1/0

ip address 172.23.0.1

encapsulation ppp

dialer idle-timeout 60

dialer map ip 172.23.0.2 name remotename broadcast 5551111

dialer-group 1

isdn switch-type basic-5ess

ppp authentication chap

 

hier wird in einem Command die IP der Gegenseite (Transfernetz)

festgelegt + remotename und Tel.Nr., welche hinter dem Broadcast command steht.

 

Fortsetzung flogt !

 

MfG

 

Mr. Oiso

hi Commo1977

 

Na also, es geht doch vorran !

 

Tip : Eine IP für das interface bri0 benötigst Du auch nicht.

Hr_Rossi schrieb :

geh wieder --> enable mode --> conf term --> int bri0

 

 

-->no ip address 192.168.0.50 255.255.255.0

--> ip address negotiated

 

--> dialer group 1

--> no cdp enable

--> no shutdown

--> exit

 

Entferne die IP von bri0 und trage "ip address negotiated" ein.

Die IP Adr. erhält der Router sobalt er sich beim Provider einwählt !

 

MfG

 

Mr. Oiso

hi oscar1

 

So langsam wird`s brenzlig ! :shock:

 

Wichtig ! Der Cisco 3550 ist per default kein Router !

Ergo gibt es auf ihm kein rommon> wie auf einem Router.

Er sollte sich mit Switch: melden, wenn Du den Break Key

gesendet hast.

Allein deswegen bin ich schon :shock: das bei Dir nach dem Command :

flash_init + load_helper

der Befehl

copy xmodem: flash:c3500XLxxxxxxxxxxx.bin nicht funktioniert.

 

Was er genau zwischen diesen beiden Zeilen macht

muss ich erst in ruhe nachschauen.

....

Boot Sector Filesystem (bs installed, fsid: 3

Parameter Block Filesystem (pb installed, fsid: 4

.....

 

Obwohl das hier

 

The system is unable to boot automatically. The BOOT

environment variable needs to be set to a bootable

image.

switch:

 

ein Indiz dafür ist, dass er schon an der richtigen Stelle

stopt, ohne ihn mit Break Key anzuhalten.

 

Ergo muss es ab hier mit "copy xmodem: flash:xxxxxxx.bin"

weitergehen !

Wichtig ist auch, dass Du den Befehl mit Enter bestätigst, und danach erst das File via xmodem vom Hyperterminal sendest.

 

Versuch das bitte nochmal. Ich schau mal was ich noch finde !

 

MfG

 

Mr. Oiso

hi oscar1

 

Jetzt mal ruhig !

The example below uses Hyperterm to break into switch: mode on a 2955 and 3550.

 

C2955 Boot Loader (C2955-HBOOT-M) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST

VERSION

Compiled Fri 13-Dec-02 17:38 by madison

WS-C2955T-12 starting...

Base ethernet MAC Address: 00:0b:be:b6:ee:00

Xmodem file system is available.

Initializing Flash...

flashfs[0]: 19 files, 2 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories

flashfs[0]: Total bytes: 7741440

flashfs[0]: Bytes used: 4510720

flashfs[0]: Bytes available: 3230720

flashfs[0]: flashfs fsck took 7 seconds.

...done initializing flash.

Boot Sector Filesystem (bs:) installed, fsid: 3

Parameter Block Filesystem (pb:) installed, fsid: 4

 

*** The system will autoboot in 15 seconds ***

Send break character to prevent autobooting.

 

 

!--- Wait until you see this message before

!--- you issue the break sequence.

!--- Ctrl+Break is entered using Hyperterm.

 

 

The system has been interrupted prior to initializing the flash file system to finish

loading the operating system software:

 

flash_init

load_helper

bootswitch:

Issue the flash_init command.

 

switch: flash_init

Initializing Flash...

flashfs[0]: 143 files, 4 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories

flashfs[0]: Total bytes: 3612672

flashfs[0]: Bytes used: 2729472

flashfs[0]: Bytes available: 883200

flashfs[0]: flashfs fsck took 86 seconds

....done Initializing Flash.

Boot Sector Filesystem (bs:) installed, fsid: 3

Parameter Block Filesystem (pb:) installed, fsid: 4

switch:

 

!--- This output is from a 2900XL switch. Output from a

!--- 3500XL, 3550 or 2950 will vary slightly.

 

 

Issue the load_helper command.

 

switch: load_helper

switch:

 

So weit solltest Du kommen wenn Du alles richtig gemacht hast !

Denke daran die Maschine hart zu Resetten ! Nicht via Command.

Und bleibe auf der Console, so dass Du siehst, wann Du den Break Key zu senden hast !

Dieser Kram darf erst garnicht kommen :

 

Loading ""...: permission denied

 

Error loading ""

 

MfG

 

Mr. Oiso

Hi Commo1977

 

Als nächstes schau mal nach ob Du eine IP Adr. am Interface

Ethernet 0 konfiguriert hast, und ob Du nicht auch via

telnet auf den Router kommst.

Dann mach doch bitte mal ein "show run" im enable mode.

Router>enable

Passwort:xxxx

Router#show run

 

Das Ergebnis paste dann mal !

 

MfG

 

Mr. Oiso

hi oscar1

 

Versuchs mal mit Strg+Break !

 

Könnte besser sein !

Zumindest klappt`s beim Router !

 

MfG

 

Mr. Oiso

hi Commo1977

 

Da hast Du allerdings Recht.

Jedoch kann ich Dir für das Fast Step keine großartigen Tips

geben !

Am besten Du schließt den Router mal über Consolenkabel

an Deinen PC an ! Blaues Kabel auf Consolen Port und

Sub D 9Pin an Com1 von PC !

Dann machst Du unter Zubehör Kommunikation->Hyperterminal

mal los.

Dort gibst Du die Com1 an und stellst Baudrate auf 9600,

Datenbits 8, Parität keine, Stopbit 1, Flussteuerung keine.

Und Emulation auf Auto !

Dann startest Du den Router und schon bist Du via Console drauf !

 

Dann sehen wir mal weiter !

 

MfG

 

Mr. Oiso

hi oscar1

 

Eventuell kannst Du es hier auch nachlesen !

http://www.cisco.com/en/US/partner/products/hw/switches/ps607/products_tech_note09186a0080094955.shtml

 

MfG

 

Mr. Oiso

hi oscar1

 

Sorry !

An example is shown below.

 

switch:

switch: copy xmodem: flash:c3500XL-c3h2s-mz.120-5.1.XP.bin

 

CCC..........................................................................

 

(BEGIN XMODEM DOWNLOAD ON TERMINAL SOFTWARE NOW)

 

File "xmodem:" successfully copied to "flash:c3500XL-c3h2s-mz.120-5.1.XP.bin"

 

So wird`s gemacht !

 

MfG

 

Mr. Oiso

hi mmuelleh

 

So in etwa sieht eine ACL an interface dialer inbound aus.

 

access-list 100 remark ACL fuer Internet

access-list 100 deny udp any any eq netbios-dgm

access-list 100 deny tcp any any eq 139

access-list 100 deny udp any eq netbios-ns any

access-list 100 deny tcp any any eq 1863

access-list 100 deny udp any any eq 4000

access-list 100 deny udp any eq netbios-dgm any

access-list 100 deny udp any eq netbios-ss any

access-list 100 deny udp any range snmp snmptrap any

access-list 100 deny udp any range bootps bootpc any

access-list 100 deny tcp any eq 137 any

access-list 100 deny tcp any eq 138 any

access-list 100 deny tcp any eq 139 any

access-list 100 permit udp any any eq ntp

access-list 100 permit icmp any any echo

access-list 100 permit icmp any any echo-reply

access-list 100 permit udp any any eq domain

access-list 100 permit tcp any any eq www

access-list 100 permit tcp any any eq ftp-data

access-list 100 permit tcp any any eq ftp

access-list 100 permit tcp any any eq smtp

access-list 100 permit tcp any any eq pop3

access-list 100 permit ip 172.25.144.0 0.0.0.255 any

access-list 100 deny ip any any log

dialer-list 1 protocol ip permit

 

Allerdings solltest Du bedenken was das ip(tcp,udp,etc.) inspect macht.

Wie schon erwähnt, ist das IP Inspect nur für NAT based Traffic.

Das heißt, es werde alle inspecteten Protokolle je nach Richtung und Port dynamisch verschlossen. Sprich mit einer ACL, hier z.B. ACL 100 wird nur erreicht, dass alle angegebenen Ports statisch offen und von aussen erreichbar sind.

IP-Inspect jedoch schließt diese automatisch wenn die Timeoutzeiten austimen.

Zusätzlich macht ip-inspect die ports nur dynamisch auf, wenn

Packete "ip inspect myfw inbound Ethernet" fließen.

Sollte also ein HTTP-Server nun auf TCP:80 nicht antworten, so schließt der Router den Port nach Timeout automatisch. Nicht jedoch, wenn Du z.B. eine ACL verwendest wie hier ACL 100.

Deshalb würde ich eine ACL vorschlagen, welche nur noch den VPN Tunnel erlaubt.

 

z.B.

 

access-list 103 permit tcp any eq 500 any

access-list 103 permit udp any eq isakmp any

access-list 103 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.21

access-list 103 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.10

access-list 103 deny ip any any

 

Das wäre dann die Liste, welche auch nicht mit dem inspect in konflikt kommt, da sie nur Traffic erlaubt, welcher mit NAT nix zu tun hat.

a) einaml den VPN Tunnel von jedem Host aus dem Internet auf jede mögliche IP welche das dialer Interface vomProvider bekommen hat.

b) Der Traffic (IP) vom VPN Device

 

MfG

 

Mr.Oiso

hi mmuelleh

 

Natürlich kannst Du nun wieder eine Access-List an Dein dialer interface binden. Jedoch würde ich die Liste etwas ausbessern !

Ich weiss nun wirklich nicht was diese ACL mit Sicherheit zu tun hat:

 

access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.21

access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.10

access-list 111 permit icmp any any administratively-prohibited

access-list 111 permit icmp any any echo

access-list 111 permit icmp any any echo-reply

access-list 111 permit icmp any any packet-too-big

access-list 111 permit udp any eq domain any

access-list 111 permit esp any any

access-list 111 permit udp any any eq isakmp

access-list 111 permit udp any any eq 10000

access-list 111 permit tcp any any eq 1723

access-list 111 permit tcp any any eq 139

access-list 111 permit udp any any eq netbios-ns

access-list 111 permit udp any any eq netbios-dgm

access-list 111 permit gre any any

access-list 111 deny ip any any log

dialer-list 1 protocol ip permit

 

Auch die dialer-list 1 würde ich konfigurieren !

 

MfG

 

Mr. Oiso

Hi oscar1

 

Wenn das so ist, dann bleibt Dir nichts anderes übrig, als

Deine IOS-Sicherung via ZModem auf den Router zu kopieren.

Ergo über die Consolenverbindung.

Das kannst Du in der Regel über den Hyperterminal unter

Windows machen. Im Menüpunkt "Übertragung" Datei senden.

Dort wählst Du nur das binäre file und sendest, nachdem Du

dem Router/Switch gesagt hast:

copy zmodem flash:image_name

 

Tip: Ändere zuvor die Baudrate von 9600 auf 115200, sonst dauert das sehr lange.

Confreg 0x3922

 

MfG

 

Mr. Oiso

hi oscar1

 

Hast Du auch jedesmal flash_init

und load_helper gemacht bevor Du "dir flash:xxx" versucht hast ?

Wenn nicht ist mir schon klar warum er die Commands nicht nimmt.

Wenn Du eine Sicherung hast, geht es nur via Zmodem copy !

 

MfG

 

Mr. Oiso

Hi oscar1

 

Was ist den nun im Ordner Lost+found auf dem Wsitch noch

drin ?

Etwa kein binäres file mehr ?

Dann ist es auch weg ! Das Image !

Welche Version war denn drauf ?

Und hast Du kein Ersatz ?

Oder eine Sicherung ?

 

 

MfG

 

Mr. Oiso

Hi MichaelGee

 

Und wie siehts aus ?

Konntest Du mit meiner Mail etwas anfangen ?

Läuft es nun ?

 

Gruß

 

Mr. Oiso

Hi oscar1

 

 

Sollte sich im directory lost+found kein .bin file mehr finden, dann ist es weg, das gute Image !

 

Ansonsten sollte es klappen mit :

 

switch: boot flash:lost+found/c3550-i5q3l2-mz.121-13.EA1.bin

 

z.B.

 

Good Luck

 

Mr. Oiso

Hi oscar1

 

Jetzt nochmal !

 

switch: flash_init

 

danach

 

switch: load_helper

 

und dann

 

switch: dir flash:lost+found

 

Ergebnis bitte !

 

MfG

 

Mr. Oiso