tom12

Di, die config sollte passen.. Grüsse Thomas

Hi, das ist nicht ganz einfach dynamisch zu machen.. Folgende Sachen musst du beacheten: - Was passiert mit den VPNs, wenn ein Link down geht? Die PIX muss mit IPs vom ADSL Anschluss ins Internet, also werden die VPN Tunnel ein Problem haben. Du solltest auf der PIX immer diesselbe offizielle IP haben, das wird schwer, da die andere IPs am ADSL Anschluss hast.. - Ein weiteres Prob. ist, dass auch wenn du den 2600er zw. PIX und Provider CPEs hängst, die PIX dann nicht weiss, welcher Link up/down ist.. Mir würde folgendes einfallen: Du hast 2 Anschlüssen ins Internet. Dahinter 2600er (mit IOS welches OSPF od. EIGRP kann) mit 3 Fastethernet ports (Also wirst du ein NM-Modul benötigen..). Ein port zu Router 2 Mbit Leitung in dessen IP Subnet (Bsp: 100.100.100.0 / 29) Den 2ten Port zu ADSL Router in dessen Subnet (Bsp: 200.200.200.0 / 29) 3 Port zu PIX in privatem Netz (Bsp: 172.16.0.0 / 30) Du machst nun von den Aussenstellen einen 2 GRE Tunnel. 1 Tunnel zu 2600er-IP von ProviderA und 1 Tunnel zu 2600er-IP von ProviderB. Darüber nun EIGRP/OSPF (ich empfehle dir OSPF). An den Interfaces den OSPF cost erhöhn (im FAlle von eigrp die bandwidth setzen). über das Routingprotokoll das Netz 172.16.0.0 / 30 ankündigen. Fällt der erste GRE Tunnel, so wird über den 2ten geroutet. Die Aussenstellen müssen als peer die private IP haben ( 172.16.0.x). Der Router in der Aussenstelle kennt die Route ja über den Tunnel...der Rest wird ins Inet geroutet. Zum Internet in der HAuptstelle: Entweder du machst kein NAT und lässt dies direkt von Router machen, oder du nattest alles auf die 172.16.0.x und der Router nattet alles nochmals.. Das Problem ist das Backup fürs Internet. der Router hat zwar die GRE Tunnels und erkennt wenn einer down geht (also für die VPN), aber er erkettn nicht, wenn "Internet nicht funktioniert). Um dies zu lösen könntest du am 2600er ein sog. object tracking machen. Mit diesem Feature kannst du z.B. eine IP anpingen, sobald diese nict antwortet, wird auf den anderen Link umgeschaltet. ..ich denke das war zuviel gelabere, aber theoretisch sollte es so klappen.. Grüsse Thomas

Hi an alle, gibt es eien Mäglichkeit ein out-of-band management über den AUX-Port/Console mit einem GSM Modem zu machen? Ich dachte an ein GSM Modem, welches an den Aux Port angeschlossen wird. Dann ruft man das Modem an und ist am Router. Dies aus folgendem Grund: Ich arbeite bei einem ISP. Die externen Technkiker haben teilweise so ihre Probs mit Cisco. Somit könnten diese vor Ort (beim Kunden) dieses Gerät aum Router anschliessen, und ich kann mich darauft über GSM/UMTS verbinden.. Bin für Anregungen dankbar! Grüsse Thomas

Hi, Ein LAN Segment. Du hast z.B. 3 Router in einem LAN (10.0.0.100, 10.0.0.150, 10.0.0.144). Somit wird die Auswahl DR/BDR gestartet. Einfach gesagt ein Broadcast Network (oder auch ein NBMA NEtwork).. mit show ip ospf interface <x> siehst du den Network-Type.. Es gibt 9 LSA-typen (5 sind im Normalfall interessant für normale Umgebungen) Type1: Router LSA (wird durch eine Area "geflutet") Type2: Network LSA: LSA´s vom DR für ein Broadcast Network generiert Type3: Summary LSA: wird in area´s ausserhalb der "originating" area geflutet Type4: ein ASBR (Autonomous System Boundary Router) wird in der Area angekündigt. Type5: external LSA: Von ASBR generiert und durch gesamtes AS geflutet Grüsse Thomas

Hi marzli2, noch ein paar Sachen: Nicht pro Area ist ein DR und BDR, sondern pro Multiaccess Network. Also wenn du mehrere Router in Area 0 hast, wirst du in jedem LAN Segment (Subnet) einen DR und BDR haben. Mit der Router -ID wird ein OSPF Router in der OSPF Area identifiziert. Die LSA´s werden als Advertising Router diese IP beinhalten. Die Routen zeigen auch auf iese IP. Die Router-Priority entscheidet welcher Router DR und BDR wird. Je höher desto besser (default =1; falls die Priority diesselbe ist, entscheidet die hähere Router-ID wer DR/BDR wird). 0 bedeutet: Dieser Router kann niemals DR/BDR werden. ein ABR befindet sich in Area 0 und in einer weiteren Area (z.B. Area 1). Der Router wird für jede Area eine Link State Database (LSDB) haben (da ja alle Router in einer Area identische LSDB haben müssen). Wenn z.B. ein LSA type-1 in Area 1 empfangen wird dann ein LSA type-3 oder type-4 generiert, und in Area 0 geschickt. Ab ABR sollten ein summary gemacht werden. Dies um unnötiges LSA-flooding zu vermeiden. Jede Area MUSS an Area 0 (nur an Area 0 !) grenzen. Ausnahme: Es gibt sog. virtual-links. Somit könnte z.B. Area 5 NUR an Area 1 grenzen. (nicht empfohlen) Grüsse Thomas

Ich glaube, dass du ein Advanced IP Services IOS (12.4) benötigst... Grüsse THomas

Den pppoe command musst du vermutlich unter dem pvc 8/35 geben.. Ev. musst du statt dem Virtual-Template Interface ein Dialer Interface verwenden.. Wenn alles korrekt configuriert ist, solltest du mit "display ip int brie" die vom ISP zugewiesen IP sehen Grüsse Thomas

Die gepostete config ist für PPPoA. Im Prinzip ist die config so wie bei Cisco, nur die Syntax ändert sich... versuch mal mit pppoe-client dial-bundle-number 1 pppoe am Virtual-Template zu aktivieren. AUf der mitgelieferten CD sollte sonst das Manual/Command REference sein.. Grüsse Thomas

Hi, ich würde sagen die Fasern sind irgendwo durchtrennt worden oder der Switch/bzw. die 1000BASE-SX Ports sind defekt. Hat die Gegenstelle ein Problem? Gruss Thomas

Hi, anbei eine sito-site vpn und eine ADSL config mit firewall und PAT für Terminalserver.. Ev. musst du am ATM Interface die encapsulation von aal5mux auf aal5snap umstellen. Es wird PPPoA gemacht. Grüsse Thomas R1_vpn.txt R2_vpn.txt adsl_nat.txt

Hi, ich hatte damals ein Scouting von CPE´s machen müssen.. Hab den Router mit dem seriellen und ADSL Interface getestet. Was für eine config brauchst du ? Die 3Com Router verwende ich auch.. Grüsse Thomas

Präzise Antwort!! Danke und Grüsse Thomas

Hi, klar interessieren solche Hinweise. Ich werde heuer die BCRAN Prüfung machen. Dann fehlt mir enur noch der CIT zum CCNP.. Wenn ich dann im nächsten Jahr erst die 642-845 ONT Prüfing ablege, zählt dann der CCNP, oder war alles "umsonst"..? Grüsse Thomas

@fu123: Hast recht, vermutlich kann man es weglassen. Bin es so gewohnt... Grüsse Thomas

Hi, ich versuch mal die wichtigsten Befehle zusammenzuschreiben: ROUTER 1 (wo internetverbindung ist): aaa new-model aaa authentication ppp default local username Router_2 password geheim int e0 ip add 10.10.10.254 255.255.255.0 int bri0 isdn switch-type basic-net3 dialer pool-member 1 enc ppp int dialer0 ip add 172.16.0.1 255.255.255.252 enc ppp ppp authentication chap dialer-group 1 dialer pool 1 dialer caller 1234567 -->anrufende Nummer von Aussenstelle ppp chap hostname Router_1 ppp chap password geheim dialer idle-timeout 180 dialer-list 1 protocol ip permit ip route 0.0.0.0 0.0.0.0 10.10.10.250 --> dein Router (oder Interface) Richtung Internet ip route 20.20.20.0 255.255.255.0 172.16.0.2 ROUTER 2: aaa new-model aaa authentication ppp default local username Router_1 password geheim int e0 ip add 20.20.20.254 255.255.255.0 int bri0 isdn switch-type basic-net3 dialer pool-member 1 enc ppp int dialer0 ip add 172.16.0.2 255.255.255.252 enc ppp ppp authentication chap dialer-group 1 dialer pool 1 dialer string 9999999 -->anzurufende Nummer der Haupstelle ppp chap hostname Router_2 ppp chap password geheim dialer idle-timeout 180 dialer-list 1 protocol ip permit --> definiert den "intresting" traffic ip route 0.0.0.0 0.0.0.0 172.16.0.2 In dieser Config wird immer nur die Aussenstelle den Call generieren. Ansonsten müsstest du auch einnen dialer string dem zentralen Router angeben (und den dialer caller) an der Aussenstelle.. Hoffe es hilft. Grüsse Thomas

Hi, dies sollte helfen: Configuring a Cisco 827 for PPPoE with VPN IPSec NAT Overloading [iPSec Negotiation/IKE Protocols] - Cisco Systems Grüsse Thomas

Hi, ich denke mit den Angriffen meint ihr Vlan-Hopping.. In diesem PDF ist eine gute Erklärung dazu: http://www.decus.de/slides/sy2003/10_04/3b04.pdf Grüsse Thomas

Danke! Grüsse Thomas

Hallo an alle! Ich möchte folgendes realisieren: IPSec Tunnel zw. mehreren Niederlassungen. Über jede Internetanbindung wird zusätzlich zum IPsec Tunnel auch noch Internet verwendet. Über den Tunnel läuft Voip, ICA, und einfache datentransfers. Ich möchte Qos implementieren: 1. VoIP priorisieren 2. IPsec vor Internet priorisieren 3. Internet Traffic Wie ist hier die Vorgehensweise? Werden die Queues abgearbeitet, bevor das PAket encrypted wird? Kann ich einfach CBWFQ machen, und dort VOIP Pakete, dann ESP priorisieren? Hat jemand einen LInk dazu? Danke schonmal Grüsse Thomas

Hi, bist du sicher, dass die Vlans 800, 900 auf den Trunks "allowed" sind und die Ports im richtigen VLAN .. ? Oder mach ein debug am Server ; oder sniffe am PC mit. Grüsse

Hi, der TS Server läuft auf UDP Port 8767. Also ein PAT von diesem Port auf den Server und es sollte klappen. Versuchs am Anfang ohne Access-List.. Grüsse THomas

Hallo, in deiner config ist kein Bridging konfiguriert.. Der link sollte helfen: http://www.cisco.com/univercd//cc/td/doc/product/software/ios113ed/113t/113t_1/xdsl.htm#22802 Grüsse Thomas

Hallo an alle! Meine Frage: Was passiert mit EIGRP bzw. OSPF Paketen (Hellos, updates), wenn der WAN link komplett voll ist? Werden diese u.U. verworfen oder immer priorisiert?? Sollte man irgend ein Queuing Vwerfahren einsetzen um diese PAkete zu priorisieren? Danke schonmal Thomas

Hi, schau dir mal diesen Traffic generator an: http://www.grid.unina.it/software/ITG/ Grüsse Thomas

- neighbor table - BGP database (beinhaltet u.A. BGP attributes) zu EIGRP: 3 pfade, variance 2: Es werden auch die Routen in die routing table aufgenommen, welche die doppelte metric der besten Route haben. Standardmässig bis zu 4 (max. 6). Hat also keine der Routen eine "mehr als doppelt so hohe metric" als die beste Route, werden alle 3 in die Routing table aufgenommen. Es wird also unequal cost load balancing gemacht. Level 1 routing. Grüsse Thomas