tom12
-
Gesamte Inhalte
294 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von tom12
-
-
HAllo an alle!
Folgende Situation:
LAN1 -- 837er ---- INTERNET ----- 837er ---LAN2
zwischen LAN1 und LAN2 einen IPSEc Tunnel.
LAN1 und LAN2 haben beide dasselbe Netz 192.168.1.0/24.
HAt wer eine Konfig wie nun zu "natten" ist um zwischen den beiden NEtzen den Tunnel aufzubauen?
Danke Und Grüsse
Thomas
-
Hi,
das Problem ist, dass der Provider das Routing anpassen muss.
Ich vermute, dass du hinter dem SDSL Anschluss öffentliche IPs hast und ev. auch hinter dem ADSL Anschluss und dass es sich um denselben Provider handelt.
Wie soll der Provider nun das Routing machen??? ER wird dir die PAkete zu den IPs hinter dem ADSL über den ADSL Anschluss routen, jene hiner dem SDSL über diesen.
MAn könnte überlegen mit einem 1800er Router (muss in beiden öffentlichen NEtzen hängen) mit Route MAps zu arbeiten. Bestimmte Protokolle über die ADSL Leitung, und andere über die SDSL. Somit werden die Pakete auf verschiedene öfentliche IPs ge"nattet" und die Antwortpakete kommen entweder über die ADSL oder SDSL Leitung zurück.
Ist also somit kein Loadbalancing...und falls eine Linie ausfällt, musst du manuell eingreifen..
Ein anderes Szenario wäre, dass dir der Provider EIN öffentliches Netz statisch hinter beide Anschlüssen routet. Erstens ist zu sehen ob er dies macht, und zweitens, falls eine Linie ausfällt, kommt nur die hälfte der Pakete an...und der Provider müsste manuell eingreifen..also auch nichts..
Um soetwas dynamisch zu gestalten, müsstest du mit dem PRovider ein Routingprotokoll sprechen, welches unequal path Load Balancing unterstützt(EIGRP). Das Routingprotokoll verteilt dann die Last in Up-und Download auf die Links.
Somit wird auch dynamisch erkennt, falls eine Linie ausfällt.
Im Normalfall kann man sowas als Kunde nicht machen, die Hardware wird vom Provider installiert und konfiguriert...
Grüsse
Thomas
-
Hallo!
..ich hab auf cisco.com auf die schnelle nichts gefunden, also wende ich mich an euch.. :)
Meine Frage:
Wieviele STP Instanzen unterstüzten die verschiedenen Catalyst Switche 3550/6500 ?
Gibt es ein commando un dies zu sehen?
ein sh vtp status zeigt mir folgendes an auf dem 6509er mit SUP720:
VTP Version : 2
Configuration Revision : 180
Maximum VLANs supported locally : 1005
Number of existing VLANs : 186
VTP Operating Mode : Server
VTP Domain Name : dcenter
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
Maximum VLANs supported locally : 1005
...bedeutet das, dass VTP nur 1005 VLANS unterstützt, oder der Switch?
KAnn ich 4094 PVST Instanzen laufen haben?
Danke und Grüsse
Thomas
-
Hi,
hatte schon 2 x ein ähnliches Problem mit dieler interfacen und PPPoA am 837er Router.
ein
#erase startup
und dann die Neukonfiguration (identische Config !!) waren die Lösung!
Keine Auhnung warum, weshalb oder wieso das passiert ...
Gruss
Thomas
-
Hi,
mach mal:
#cd flash:
#dir
vielleicht wurde ein crashfile abgelegt...
Ev. an den TAC zu senden...
Grüsse
Thomas
-
Wenn ich sowieso ZWEI unterschiedliche Netze haben muss, was sollen dann noch die VLANS? Ich könnte doch gleich die PCs in die jeweiligen Netze packen und habe das selbe Ergebnis!?!?
Stichwort: Broadcastdomäne
Mit VLANS trennst du die Netze auf LAyer2
Gruss
Thomas
-
Hi,
um das Routing zu aktivieren, musst du folgendes machen:
(config)#ip routing
wenn das Kommando nicht verfügbar ist, wird dies nicht unterstützt...
Grüsse
Thomas
-
Alles klar, das wollte ich wissen.
Danke
-
Hallo an alle!
Situazion:
2 Router mit IPsec Tunnel.
Ich muss Qos für VoiP und RDP machen. Gibt es etwas besonderes zu beachten (da die Voip ja IM Tunnel übertragen wird).
Wird Qos am outgoing interface vor oder nach der Encryption gemacht ??
Genügt es am outgoing Interface beim QoS die IP Adressen der beiden Voip-Telefonzentralen zu "matchen" ?
Danke und Grüsse
Thomas
-
Hilft leider auch nicht, da E-Mail Konten bei allen anderen Anbietern außer T-Online über die DSL laufen sollen...
...dann gibst du in den Access-listen nicht "...any eq 25" an, sondern die IP von T-On line mailserver..
Sollte eigentlich klappen.
Ansonsten versuchs mit Route-maps.
Grüsse
-
Hi,
versuch mal folgendes:
no ip inspect name myfw smtp
CBAC und smtp machten mir schon öfters Probleme...
Gruss
Thomas
-
Hallo,
soviel ich weiss, ist es nicht möglich Ports auf verschiedenen Switchen zu einem logischen Port zusammenzufassen.
Die Möglichkeiten sind:
Wenn alles auf Layer2:
Du lässt bestimmte VLANs auf einem Port in forwarding und andere auf dem anderen Port (durch setzen von priority; PVST+/RPVST+ muss aktiv sein). So erreichst du irgendwie ein "Load Balancing"..
Wenn alles auf Layer3:
Mit Routingprotokollen (z.B. EIGRP), welche load Balancing unterstützen.
Grüsse
Thomas
-
hi,
versuch mal etwas anderes:
dialer-list 1 protocol ip list 110
dialer-list 2 protocol ip list 103
access-list 110 deny ip any any eq 25
access-list 110 permit ip any any
access-list 103 permit tcp any any eq 25
int dialer 1
dialer-group 1
int bri0
dialer-group 2
falls es noch nicht klappt auch dies:
access-list 102 deny tcp 192.168.1.0 0.0.0.255 any eq 25
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 104 permit tcp 192.168.1.0 0.0.0.255 any eq 25
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source list 104 interface bri0 overload
Grüsse
Thomas
-
Hallo,
vielleicht hat es auch was mit dem PAT zu tun (ich gehe davon aus dass du das mit IPCop machst un am 836er öffentliche IP adressen hast)?
Schau dir mal die NAT Tabelle an, wenn das Problem auftaucht ..
Oder sobald das Problem da ist, startest du IPcop neu, schauen ob es dann geht..
Grüsse
Thomas
-
Hi an alle,
ich möchte demnächst die BSCI prüfung machen. Den BCMSN hab ich schon hinter mir, schien mir irgendwie nicht so schwer..
Nun bin ich am BSCI und hab das Problem, dass mir das Zeug von IS-IS einfach nicht in den Kopf will! Auh deshalb, da ich damit nie was zu zun habe.
Nun die klassische "dumme" FRage:
Was meint ihr, kann ich IS-IS überspringen? Wird davon eigentlich viel gefragt?
Wie waren generell euer Eindruck von der Prüfung? Schwer, detailiert?
Grüsse
Thomas
-
Hi,
der 828er ist ein SHDSL Router.Also kannst du keinen gewöhnlichen FW an die WAN schnittstelle anschliessen. (Ein FW hat je i.d.R. Ethernet Schnittstelen).
Am besten wäre, wenn du dir vom Provider 4er (/30) oder 8er(/29) Netz öffentlicher IP Adressen geben lässt.
Der Roter bekommt auf der EThernet0 dann eine öffentliche IP, der FW die andere(n).
Somit machst du am Router dann keint nat,pat, etc. sondern nur das Routing. Den Rest übernimmt die FW dahinter.
Grüsse
Thomas
-
Hi,
danke.
ich denke ich werde zwei 2800er hernehmen. Zur Zeit ist der 2600er bei beim max. traffic bei ca. 30-35%.
...mal schauen..
Grüsse
-
Hi,
meine Frage:
wieviel serielle 2 Mbit links kann man auf einem 2611er mit zu einem link "bundlen".
Zur Zeit habe ich 2 links zu einem PPP Multilink interface zusammengetag. Dies soll nun auf 4 links zu 2mit erhöht werden...
Hab mich auf der Cisco website wieder mal verloren...Ich finde genug MAterial dazu, allerdings nirgends wieviele links unterstützt werden (ist es HW und IOS abhängig??..)
Hat wer einen Link dazu?
Danke und Grüsse
Thomas
-
@Mr Osio
Hi,
hab nun im Lab ein paar Tests gemacht. Mit deinem Rat hat es auch nicht geklappt...
Der Router macht auf den Traffic über die VPN immer noch CBAC.
Also hab ich beim TAC einen case geöffnet
Die Antwort von Cisco dazu:
There is no way to exclude VPN traffic from inspection. We need to find out why the inspection is affecting so much the traffic going across the tunnel to the point where it is causing interruption. I am going over the information you sent me.Noch eine Frage zu deiner Config:
route-map before-nat permit 10
match ip address keinNAT
set ip next-hop 192.168.37.253
für was ist das gut (set ip next-hop 192.168.37.253)? Ist die die Loopback der Gegenstelle?
Was soll dies bewirken? Der Router sollte ja das 192.168.37.0/24 er Netz über die lokale Loopback 0 sehen?
mit einem "show ip inspect session", was siehst du da bei deiner Config ?
Grüsse
Thomas
-
Super, danke für den Lnk!
-
@Wordo:
echt? Das wusste ich nicht...
Cool, dann kann man sich für bestimmte Szenarien den 1700er mit einem zusätzlichen WIC-1ENET sparen...
Sind die Eth0 und Eth2 Ports ohne einschränkungen ?? Crypto Maps, policy-routing,NAT,...??
Dann kann ich mir In Zukunft auch die die SOHO91er sparen, und kaufe sofort die SOHO97er wenn ich einen "Ethernet-to-Ethernet" Router benötige und zusätzlich habe ich immer noch ein ADSL interface...
Kommt mir rein marketingtechnisch (für Cisco) komisch vor...
Gruss
Thomas
-
Ich glaub kaum dass die die Ethernet Ports des Switches einzeln als Routed-Ports konfigurieren kannst.. (das wäre echt praktisch!!)
Ich hab auch, je nach IOS, auf den 837ern einmal die Eth0 und dann noch FAstethernet0 bis 4.
Auf den Feth Interfacen kannst du aber nichts konfigurieren, sondern nur Shut/no shut , duplex,etc.
Was ja auch Sinn macht, so kann ich alle Schnittstellen, welche ich nicht brauche, auf shutdown setzen..
Grüsse
Thomas
-
Hi,
für deine Bedürfnisse hast du mit deb 2600ern 3 Möglichkeiten:
HSRP (Cisco proprietär)
VRRP (RFC standard)
GLBP (weiss nicht mehr genau..)
zu HSRP:
jeder Routerhat eine ip auf den Eth Interface(10.0.0.1 und .2) und diesselbe virtuelle IP(10.0.0.3) fürs HSRP. Den clients gibt du dann den 10.0.0.3 als DG. Einer der beiden Router wird anhand von best. parametern (priority) als active ausgewählt. Dieser antwortet also auf den ARP-Requests der clients und kündigt seine MAC an. Der gesamte traffic läuft über diesen.
NAchteil: kein "load-balancing", wenn hinter dem activen Router eine Leitung ausfällt (auf den WAN links) steht trotzdem alles
Es wird in den IOS schon seit längerem unterstützt (12.1).
Am besten wäre GLBP (ab 12.2T):
Macht das ähnliche wie HSRP. Nur wird auf die ARP-Requests der client nach einem round-robin Verfahren entweder die MAC von Router A oder von B mitgeteilt. Zusätzlich erkennt es wenn ein Interface dahinter (WAN link) down geht.
Zur 2ten Frage:
Die Router sind deswegen als Gateways genommen worden, weil sie einfach schon vorhanden waren. Ich denke mal das die momentan ein wenig Overkill sind. Zumindest langweilen sie sich. Sind diese Router fuer den Job OK, oder gibts da auch eine kostenguenstigere 19" Alternative mit gleicher funktionalitaet und stabilitaet?Kommt ganz darauf an was für WAN links du hast...
Aber für 1000 clients geht das gut, je nachdem zu vieviel die CPU ausgelastet ist (wobei 1000clients für ein Subnet mir eher viel erscheint..). Und warum austauschen wenn alles ohne Probleme läuft?? Diese Router kannst du noch Jahre verwenden..
Sicher gibt es Produkte von 3com, dlink, HP,etc Aber professionelle geräte sind immer teuer und bei Cisco machen sich diese 20-30% mehr im Preis meiner Erfahrung nach sicherlich bezahlt (nur schon der Support und die Homepage!).
Grüsse
Thomas
-
HI,
..ich hatte leider noch nie die Zeit gefunden die Konfig auszuprobieren...
Danke für deine postings inzwischen.
Gruss
Spanningtree max. VLAN's
in Cisco Forum — Allgemein
Geschrieben
@Frank
im Falle von maho ist PVST im Einsatz, also eine STP Instanz pro Vlan.
@maho
VTP hat nichts mit SPanning-Tree zu tun. VTP dient dazu, dass man nicht auf jedem Switch dasselbe VLAN einzeln erstellen muss. Es kommen noch FEatures dazu wie VTP Pruning..
In deinem Falle unterstützen die Access Switche 64 VLANs (ich denke sie unterstützen auch 64 STP Instanzen..). Aber in der VTP Domäne hast du mehr als 64 VLANs konfiguriert. Die Access Swiche werden (sobald du da 65ste konfigurierst) entweder dieses nicht "lernen", oder eines der vorhandenen VLANs überschreiben..
Am besten du stellst die Access Switche in Vtp mode transparent
(config)#vtp mode transparent
dann kannst du auch auf den "transparenten" Switchen alle VLANs löschen, welche auf dem Switch nich benötigt werden.
Man könnte überlegen zwichen den Core und Access Switchen noch Distribution Switche (z.B. 3550 EMI) einzubauen. Auf den 3550ern machst du dann Richtung Core pures Routing, zu den Access Switchen Layer 2. Auf den Distr. Switchen konfigurierst du HSRP oder VRRP. Und kannst ev. auch Marking oder Policing für QoS machen.
Grüsse
Thomas