tom12

Hi, versuch mal folgendes: conf t ip classless Wenns noch nicht klappt, dann poste mal: sh ip route sh ip int dialer1 Geht der ping vom Router aus? Grüsse Thomas

Hi, ich vermute dass es daran liegt, dass auf SIP kein inspect gemacht wird... Mit der 12.4 IOS macht CBAC auch inspect auf Sip. Versuch am besten den FW auszuschalten und nur PAT zu machen. Hatte mal so ein Problem mit SIP auf einer VPN. Ohne CBAC gings dann.. Grüsse Thomas

...uups, hab ich nicht gesehen..

Soviel ich vom IOS weiss: 1 ACL inbound 1 ACL outbount also: int e0 ip access-group 100 in ip access-group 200 out Grüsse Thomas

Hi Damit meinte ich Netzwerkzeichnungen, zu denen Fragen gestellt werden... Schau dir diese gut an... Grüsse

@fu123: Hab die Prüfung heute mit 835 Points geschafft. :) Ist mir relativ schwierig vorgekommen!! Ich hab mich echt gut vorbereitet und auch täglich mit Cisco Geräten zu tun..der BCMSN schien mir um einiges einfacher... Es kann auch sein, da ich die Unterlagen des BSCI 2.2 hatte, und die Prüfung vielleicht noch niht aktualisiert ist.. Was ist gekommen? Viel zu RIP: config mit und ohne auto summary (erklären was passiert, wie sich etwas bei einer redistribution verhält...) EGRP Oututs von "show ip eigrp topology" zu erklären Redistribution von OSPF in EIGRP und umgekehrt. OSPF nssa konfigurieren Mehrerer Szenarien zu BGP (MED, local-preference); kein LAB BGP 5-6 Fragen zu ISIS 4-5 Fragen zu IPv6 Viele Routingszenarien: was passiert wenn z.B. auf einem Router ein gewisses Commando hinzugefügt wird; wie verhalten sich die anderen Router. Was nicht gekommen ist : Route-maps konfigurieren Wenig theoretische Fragen wie z.B. Timer von Protokollen, Adm. Distance, NBMA Topologien ...schau dir v.a. die outputs in den Büchern an und die gezeichneten Szenarien um zu verstehen was ist aktuell und was passiert, wenn..? ..hoffe das kann helfen.. Grüsse Thomas

Hallo an alle! Habe morgen die BSCI Prüfung iund bin meines Erachtens gut vorbeieitet. Wollte fragen was ich mir noch unbedingt anschauen soll?? Was sind bei euch für praktische LABs gekommen? (nur easy configs oder auch redistributions mit Route-maps und local-preference...?) Danke schon mal Grüsse Thomas

Hi! Ist ein Well-Known discretionary attribute, d.h. muss von allen OSPF Implementationen unterstützt werden, aber nicht in den Update Messages enthalten sein. Definiert WIE aus einem AS ins Internet "gegangen" wird. Wird al ALLE IBGP Peers mitgeteilt. Default=100; je höher desto besser Well Known mandatory attribute. MUSS in den Update messages enthalten sein. Gibt den Pfad an (AS-Path) um zu einer Destination zu gelangen. Optional transitive Attribut. KANN in update message enthalten sein, falls vom Peer nicht erkannt, wird es als PArtial gekennzeichnet und weiterkeleitet. Gibt an, wen ein EBGP Peer eine Router aggregiert, d.h. summarisiert (z.B. 192.168.0.0/22). Optional NONtransitibe Attribute. KANN in update message enthalten sein, falls vom Peer nicht erkannt, wird es nicht beachtet. Wird an einen EBGP Peer mitgeteilt. Gibt an, welches AS eine Aggregation von Routen gemacht hat. Wirst du in der Praxis nicht oft finden... Hoffe ich konnte helfen, Grüsse Thomas

Hallo an alle! Ich müsste folgendes realisieren (siehe Anhang). Ich muss zwischen den beiden Routern einen GRE Tunnel machen, da ich ein ISDN Backup benötige und somit ein Routingprotokoll sprechen muss. Ich möchte über EIGRP jeweils die beiden öffentlichen IP Netze, welche zwischen Router und Firewall (zu je 8 IP Adressen) dem NAchbarrouter mitteilen. Auf den beiden Routern hab ich die 0.0.0.0 Router Richtung Internet. Über EIGRP lernen die Router das jeweilige 8er Netz über das Tunnel Interface... Weiters eine Route zum 8er Netz über das Dialer Interface mit der Administrativen Distance von 200. Fällt der Internetlink, wird somit die ISDN Verbindung aufgebaut. Kann das klappen? Ist etwas bezüglich MTU oder sonst zu beachten (da IPSec nochmals in GRE gepackt wird). Oder ist der Ansatz falsch...? Bin für Tips dankbar, Grüsse Thomas

Hi, Achtung! Verwechsle nicht die Metric mit der Administrativen Distance.. Adm. Distance bleibt immer 110, ist ja ospf! (könntest du ev. mit dem "distance ospf" befehl setzen) Falls der Router eine default Route hat, wird diese dem OSPF Routingprozess mitgeteilt (mit der Metric 50). Default ist 10. Grüsse Thomas

Hallo, Defaultmässig macht EIGRP equal cost balancing. Mit dem Varianche Command aktivierst du Unequal Load Balancing. Bsp: mit Variance 3 mird auch über Links "geloadbalanced", welche 3 x so "schlecht" sind (Metric) wie die Successor Route. Verstehe nicht ganz... Feasible Seccessor ist die Backup Route...Successor ist die beste Route, welche in die Routingtable aufgenommen wird. Grüsse THomas

Der 2te Prozess wird mit mehreren Routern in einem eigenen Vlan OSPF sprechen. Der erste Prozess wird ein Klasse C Netz (summary-address) dem Ospf 1 mitteilen. Der 3550er ist somit ein ASBR. Habe soeben Eigrp konfiguriert und alles ok... ..ich gehe wieder mal von einem Bug (Oder Feature? ;) ) aus... Hab mit den IOS´en schon viel erlebt; erst kürzlich RIESIGE Probleme mit einer SUP MSFC2 und OSPF gehabt... Danke trotzdem Grüsse Thomas

Hallo an alle! Folgendes Szenario: 3500er Switch (Router_01) mit 2 Ospf Prozessen: Ospf 1 im Vlan 103 und OSPF 112 im Vlan 900. Im Vlan 900 hängt über einen weiteren Switch ein 2621er Router (Router_02), welcher Ospf 112 im Vlan 900 macht. Ohne Redistribution. Eigentlich simpel... Mein Problem: Im Vlan900 können sich die Router erreichen. Auch auf ping auf 224.0.0.5 antworten beide. Es scheint dass Router 1 auf dem Vlan900 kein Ospf sprechen will! ROUTER-01#sh ip ospf interface vlan 900 Vlan900 is up, line protocol is up Internet Address 80.80.22.129/27, Area 0 Process ID 1, Router ID 80.80.22.129, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 80.80.22.129, Interface address 80.80.22.129 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 No Hellos (Passive interface) Index 2/2, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s) ROUTER_01#sh ip ospf interface fastEthernet 0/1 --> gibt überhaupt keinen Output.. Hier die Config: 3550er router ospf 1 log-adjacency-changes redistribute connected subnets redistribute static subnets passive-interface default no passive-interface Vlan103 network 80.80.22.0 0.0.31.255 area 0 network 30.30.0.0 0.0.31.255 area 0 ! router ospf 112 log-adjacency-changes redistribute connected subnets redistribute static subnets passive-interface default no passive-interface Vlan900 no passive-interface FastEthernet0/1 network 80.80.22.0 0.0.31.255 area 0 network 30.30.0.0 0.0.31.255 area 0 interface Vlan900 ip address 80.80.22.129 255.255.255.224 no ip redirects no ip unreachables end 2600er: interface FastEthernet0/0 ip address 80.80.22.130 255.255.255.224 load-interval 30 duplex auto speed auto ! ! router ospf 112 log-adjacency-changes redistribute connected subnets redistribute static subnets passive-interface default no passive-interface FastEthernet0/0 network 80.80.22.0 0.0.31.255 area 0 network 30.30.0.0 0.0.31.255 area 0 ! Im Vlan 103 gibt kein Problem mit dem Ospf, ist auch schon länger aktiv. Hat jemand eine Ahnung, warum im Vlan900 keine Hellos generiert werden?? (...schon wieder mal ein Bug?!) Irgend einen Tip? Grüsse Thomas

Alles klar, danke.

Hallo an alle! Gibt es einen Befehl, mit welchem ich sehe wieviele IP Pakete fragmentiert worden sind, bzw. ob der Router überhaubt fragmentation macht oder nicht? Danke und Grüsse Thomas

Hi an alle! Kann ich mit einem SOHO91 eine PPPoE Session terminieren? Als Gerät wird ein Wireless Modem mit Ethernet Schnittstelle (PPPoE) vom Anbieter geliefert. Dahinter soll ein Soho91 oder Pix501. Hat jemand eine Config? Ev. auch für die Pix 501? Danke und Grüsse Thomas

Auf den 2950ern kannst du mehrere Vlans anlegen und für diese auch PVST machen (show vtp status). Aber du kannst nur für ein VLAN eine IP aktiv haben (also LAyer3), welches fürs Management ist. Es ist eben ein Switch und kein Router ;) Aus diesem Grund werden die anderen immer auf "shutdown" gesetzt. Um auf einem Switch Routing für mehrere Vlans zu machen musst du Hardware ändern, z.B. 3550er Grüsse Thomas

Hi, Authentication Header (AH) kannst du mit einem NAT inzwischen, also irgendwo zwischen den VPN Endpoints NICHT machen! AH sichert ausschliesslich die Authentizität des PAketes, indem eine Checksumme über den IP Header, TCP HEader und Payload gemacht wird. Ist irgendwo ein NAT, klappts nicht. Mache nur ESP. Grüsse Thomas

Habs nur getestet. Die Router sind leider schon wieder im MAgazin... Sorry

Hallo, am besten du arbeitest mit EIGRP oder OSPF. Bsp: GRE/IPSEC Tunnel zwischen VPN Router Kunde und VPN Router Zentrale. Darüber läuft EIGRP/OSPF. GRE benötigst du um Multicasts fürs Routingprotokoll darüber laufen zu lassen. Auf den ISDN Routern läuft kein Routingprotokoll. Über EIGRP lernt nun der Router des Kunden das NEtz vom Server und der VPN Router in der Zentrale das Netz des Kunden. Auf den ISDN Routern machst du die statischen Routen zu den jeweiligen Netzen mit einer höheren Administrativen Distance (z.B. 200) über die Dialer Interfaces (ISDN) Wenn nun einer der beiden VPN Routern ausfällt, übernimmt der ISDN Router (HSRP) die Aufgabe des Default GAteways. Die ISDN Router haben die Routen zu den Netzen.. Problem: Stell dir vor es fällt der VPN Router bei Kunde C aus. Kunde C schickt nun die Pakete über ISDN, ABER von der Zentrale aus werden die Pakete zum VPN Router geschickt, da dieser ja immer noch der aktive HSRP Router ist! Also musst du auf den VPN Routern noch eine Route machen: Bsp: in der Zentrale am VPN Router: ip route 192.168.1.0 255.255.255.0 <phsische IP von ISDN Router> 150 Was passiert nun? VPN Router in Zentrale verliert die Route zu Kunde C (weil Router von Kunde C ausgefallen ist). Kunde C schickt die Pakete über ISDN. FW in Zentrale schickt die Pakete zu VPN Router (obwohl die VPN nicht mehr steht). VPN Router in Zentrale hat nun die Route über den ISDN Router, und schickt die Pakete zum ISDN Router (bzw. sendet der FW ein ICMP redirect). ...so irgendwie sollte es klappen.. Grüsse Thomas

Ich kann mir das folgendermassen erklären: Wenn ein Switch im Client Modus ist, lernt er alle VLANs vom Server und behält diese im RAM. Wenn du einen Client rebootest, kennt er KEIN Vlan mehr! Im normalfall lernt der Client die Vlans wieder sofort vom Server.. Im Server und Transparent Mode speichert der Switch die VLANS local ab (im Flash oder NVRAM, je nach IOS glaub ich..). Wenn du nun einen Client in den Transparent Mode konfigurierst, wird er sich alle gelernten VLANs, welche er in den RAM hatte, local abspeichern. Dies, um nicht auf einmal alle VLANs zu verlieren!! Aus diesem Grund siehst du die Vlans in der Config. Vermutlich siehst du die Vlans in der Config aufgelistet, da ein etwas älteres IOS drauf ist. Funktionell macht es aber keinen Unterschied. ...das scheint mir eine logische Erklärung zu sein, falls ich Mist gelabert habe, lasse ich mich gerne belehren.. Grüsse Thomas

@ maho: Genau so funktionierts, super! http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b07ed.shtml Das wichtige dabei ist, dass NAT vor der crypto engine "greift"... Man muss also die "genatteten" IPs in der crypto ACL matchen. Grüsse THomas

..alles schön und gut mit einem Transfernetz.... leider hab ich kein Transfernetz, da die Router ans Inet angeschlossen sind, mit je 1 statischen IP.. ..hmm..mal schauen was mir Cisco dazu sagt..

Irgendwie sollte dies doch klappen... Bin gerade beim testen. http://www.cisco.com/en/US/customer/tech/tk648/tk361/technologies_configuration_example09186a0080093f30.shtml#configs

Hi, Mit show vlan hast du auf den Access-Switchen alle 65 VLANS ?? Wenn ja, unterstützt der Switch mehrere VLAns, aber nur 64 STP Instanzen... Das Vlan vom Trunk vom 6000er Richtung Access Switche ist dann vermutlich manuell zu entfernen. Ich denke dass von AccessSwitch Richtung 6000er das VLAN, falls es am Switch entfernt wird, automatisch auch vom Trunk genommen wird. Sonst entfernst du die nicht benötigten manuell... Das ist das optimale Design lt. Cisco. NAtürlich schaut Cisco auch viel Hardware zu verkaufen.. :) Im Prinzip geht es darum, dass im Core Bereich nur mehr Routing gemacht wird (stell dir vor hinter den 6000ern sind nochmals 2 oder mehrere 6000er und hinter denen wieder Access-Switche..). Auch deshalb, da Rouringprotokolle wie z.B. EIGRP im Normalfall schneller einen Ausfall eines Links bemerken als STP. Und da EIGRP auch equal Load Balancing macht. Weiters gehen grössere Netzte in Richtung MPLS, wozu man ein geroutetes Netz benötigt. Grüsse Thomas