MYOEY

ESX Version ist 4.1

eingestellte Load Balancing ist "Route based on ip hash"

Die sechs interfaces am ESX sind gebündelt, damit man mehr Performance hat, also statt 3GE Uplink bekommt man 6GE !!!

muss man wirklich pro Cisco Port-Channel auch einen Port-Channel am ESX konfigurieren???

für den ESX sind keine zwei Port-channel sondern alle sechs interfaces in einem Channel!

Also, die sechs interface sind auf dem ESX gebündelt

Auf ESX Seitig sind die 6 interfaces alle in einem Portchannel (siehe Anhang "Topology")

Hat es mit der Topology zu tun, dass die Gäste auf der ESX Maschine zwei mal gesehen werden?

Hallo,

Ich habe eine ESX Maschine an zwei Cisco Catalyst 4500 Switchen per Etherchannel angebunden und kriege ständig von den Cisco Switchen die folgenden Fehlmedlung:

Oct 27 14:03:03.919: %C4K_EBM-4-HOSTFLAPPING: Host 00:50:56:72:00:4C in vlan 11 is flapping between port Te1/1 and port Po3

die beiden Catalyst Switchen sind quer über Interface Te1/1 verbunden, hier ist die Config auf den beiden Switchen:

interface Port-channel3

description Etherchannel zu ESX

switchport

switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotiate

interface GigabitEthernet2/14

description 1. member Etherchannel zu ESX

switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotiate

channel-group 3 mode on

interface GigabitEthernet2/15

description 2. member Etherchannel zu ESX

switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotiate

channel-group 3 mode on

interface GigabitEthernet2/16

description 3. member Etherchannel zu ESX

switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotiate

channel-group 3 mode on

00:50:56:73:00:4C ist die Mac-Adresse eines Host (vlan11) am ESX.

hat man eine Idee vielleicht???

Muss zusätzlich was eingestellt werden?

Danke im Voraus,

tatsächlich, es lag am sch*** command "sysopt noproxyarp outside"

gerade rausgenommen und schon funktioniert...

@Otaku19: besten Dank! du bist ein Meister ;-)

Gruß

"access-list outside_access_in permit ip any any" läßt doch jeden Traffic durch, egal an welche IP! also daran liegt's nicht!

und trotzdem habe ich die u. s. Zeilen hinzugefügt:

access-list outside_access_in permit tcp any host 10.0.0.245 eq 80

access-list outside_access_in permit tcp any host 10.0.0.245 eq 443

access-list outside_access_in permit icmp any host 10.0.0.245

aber kein match's und weiterhin ohne Erfolg!

was ich nicht verstehe, warum die ASA die NAT IP(10.0.0.245) nicht propagiert und sagt die kenne ich bzw. antwortet auf die ARP Request vom Router! wieso ignoriert sie einfach diesen Traffic für den Server?

Auf dem Router soll auch keine statische route für 10.0.0.245 zu 10.0.0.254 eingetragen sein, da das Netz doch directly connected ist!

wie verhält sich eigentlich die ASA bei einem sattic NAT Eintrag? was wirdnach außen(outside) propagiert?

es ist einfach rätselhaft!!!

noch ne' Idee vielleicht?

ja sicher, eth0/0 geht zum router! ich kann doch vom Client die ASA(10.0.0.254) anpingen.

Router ist nur zum routen hier und lässt alles zu -- keine ACL's oder sonstiges!

ASA5505# sho capture

capture cap1 type raw-data interface outside [Capturing - 1503 bytes]

ASA5505#

ASA5505#

ASA5505# sho capture cap1

16 packets captured

1: 14:21:53.418847 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253

2: 14:21:58.919599 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253

3: 14:22:04.420418 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253

aber wieso sagt die ASA nicht, ja ich kenne 10.0.0.245 und herdamit?

Hallo leute,

ich bitte um eure Hilfe bei dem folgenden Problem:

Client mit der IP:172.16.1.3 kann den Webserver hinter der ASA weder pingen noch darauf zugreifen (Siehe Anhang) aber er kann die outside IP der ASA(10.0.0.254) problemlos anpingen, Traffic für den Webserver kommt einfach an der ASA nicht an!

wenn ich vom Client aus die outside IP der ASA anpinge, sehe ich es auch im log der ASA aber ich sehe den an Webserver gerichteten Traffic im log der ASA überhaupt nicht!!!

Ich hab mich zwischen dem Router(outside) und ASA(outside) im Netz10.0.0.0/24 mit Wireshark gehängt und sehe nur ARP Request vom Router mit folgendem Inhalt:

"who has 10.0.0.245? Tell 10.0.0.253"

aber keine Antwort von der ASA!!! obwohl NAT stimmt (Siehe config im Anhang)

Fehlt noch was im config oder hab etwas übersehen?

Danke für eure Hilfe!

config.txt

Hallo,

wir haben 9 Access-Points (cisco AIR-AP1242G-E-K9) im Einsatz.

Einer der Accesspoints ist für die anderen als WDS konfiguriert.

Ist es möglich, einen anderen Accesspoint als Standby zu konfigurieren? z. B. Primary WDS und Secondary WDS und erst wenn der Primary ausfällt, registrieren sich die AP's am Secondary.

Falls ja wie bitte? Configbeispiel wäre sehr hilfsreich.

Ich habe auf Cisco gesucht aber leider nicht fündig geworden!

Danke im Voraus.

Grüße

@hegl:

vielen dank, es hat geklappt, nachdem ich wie vorgeschlagen die Peer IP's im cryptomap aufgenommen hab.

@all

Danke noch mal!

Grüße

Na leute, keine Idee/Tipp ... die Clients hinter der ASA5505 kriegen weiterhin keine IP's vom DHCP server!

Muß was spezielles an der ASA5520 in der Zentrale konfiguriert werden?

Gruß

Ich hab's nun soweit hingekriegt, dass die dhcp requests drüben ankommen :-)

Die DHCP Requests kommen nun an der Gegenstelle (ASA5520) an aber sie werden gedropt, hier ist die Zeile aus Log:

Aug 10 10:38:16 X.X.X.X %ASA-3-713061: Group = Remote-Office, IP = X.X.X.X, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 10.20.1.1/255.255.255.255/0/0 on interface outside

die ACL auf der Centrale Office sieht wie folgt:

access-list noNAT extended permit ip 10.20.1.0 255.255.255.0 192.168.4.0 255.255.255.0

access-list IPSec_ACL extended permit ip 10.20.1.0 255.255.255.0 192.168.4.0 255.255.255.0

wie kann ich nun die ASA in der Zentrale dazu bringen, diesen Request suaber an den DHCP Server (IP:10.20.1.1) weiterzuleiten?

welche command fehlen noch?

Thanks im voraus!

Ich denke schon! hier sind alle ACL's

access-list inside_access_in extended permit ip 192.168.4.0 255.255.255.0 any

access-list inside_access_in extended permit icmp 192.168.4.0 255.255.255.0 any

access-list outside_access_in extended permit ip 10.20.1.0 255.255.255.0 192.168.4.0 255.255.255.0

access-list outside_access_in extended permit icmp any any

access-list noNAT extended permit ip 192.168.4.0 255.255.255.0 10.20.1.0 255.255.255.0

access-list IPSec_ACL extended permit ip 192.168.4.0 255.255.255.0 10.20.1.0 255.255.255.0

Fehlt noch was vielleicht?

Log auf der ASA (Niederlassung) sagt:

ASA5505# DHCPRA: relay binding found for client 001e.3310.3062.

DHCPD: setting giaddr to 192.168.4.1.

dhcpd_forward_request: request from 001e.3310.3062 forwarded to 10.20.1.1.

"192.168.4.1" ist die IP Adresse des ASA-Interfaces

Also, es sieht es aus, als es doch weitergeleitet worden ist aber es kommt an der Gegenstelle nicht an!!!

Hier ist die Config der keinen ASA:

dhcprelay server 10.20.1.1 outside

dhcprelay enable inside

dhcprelay setroute inside

dhcprelay timeout 90

Nein, die DHCP Requests, die ich auf der ASA in der Niederlassung sehe, kommen nicht an der Gegenseite an!!!

Woran könnte es liegen?

Danke & Grüße

Ich hab es probiert aber leider ohne Erfolg.

die Clients in der Niederlassung bekamen keine IP's!!!

debug ist eingeschaltet. Auf der ASA in der Niederlassung sehe ich folgendes:

dhcpd_forward_request: request from 001e.3310.3062 forwarded to 10.20.1.1.

Also, die Clients schicken dhcp-Request aber kein Reply bzw. wird es nicht an den dhcp-Server weitergeleitet oder so!!!

@hegl:

was meinst du genauer?

was sollte noch konfigurieret werden? bitte commands!

vielleicht liegt es noch daran!

Danke,

keiner hier hat so eine Kiste schon mal konfiguriert und zum Laufen gebracht???

ok, dann überprüfe mal, ob deine Source-address in der Access-list 1 auf dem Zielrouter erlaubt!

Man könnte doch mittels snmp einen reload command an den Router schicken oder?

"access-list 1" ist mir Höchst verdächtig!

was sagt eigentlich diese ACL auf dem Router?

Folgendes könnte auch helfen:

router2#clear line [number]

[confirm]

[OK]

und noch mal versuchen!

ansonsten könnte man Reboot des Routers auch probieren!

Gruß

Hallo,

Ich habe paar Fragen zum Thema "Cisco WLC4400":

-woran unterscheiden sich die Interface Typen (static und dynamic) ?

-welche Art von Interfaces kann man den unterschiedlichen SSID's zuweisen?

z. B.:

SSID Group1 --> Interface: Int1 (vlan11)

SSID Group2 --> Interface: Int2 (vlan12)

SSID Group3 --> Interface: Int3 (vlan13)

Müßten die Angelegten Interfaces(Int1-3) static oder dynamic angelegt werden?

-Sind alle Interfaces von der WLC anpingbar?

-was ist damit gemeint, wenn ein Interface als "Guest Lan" bzw. "Quarantine" konfiguriert?

Es wäre super wenn mir jemand die o. g. Fragen in einer ausführlicher Weise beantworten könnte.

Besten Dank schon mal im Voraus!

Grüße

@Otaku19

da bin ich voll deiner Meinung! normalerweise dürfte in keiner Richtung was durchgehen!!! da müßen doch die beiden Phasen1/2 vollständig und erfolgreich aufgebaut sein oder?

Durch debug war auch "Mismatch von "Diffie-Hellman Group" zusehen, auf einer Seite war "2" konfiguriert und auf der andere Seite war "5"

Aber warum ging es in eine Richtung???

Vielen Dank für euere Tipps... nun funktioniert es, es lag an unstimmigkeiten in der Phase1 bzw. Phase2 --> not acceptable proposals

Mit hilfe von "debug cry isa 255" und "debug cry ips 255" konnte es festgestellt und anschließend beseitigt werden.

Danke & Gruß

Hallo,

folgende Konstellation:

zwei Cisco ASA bauen eine Site-to-Site VPN Verbindung zwischen Zentrale(ASA5510) und einer Außenstelle(ASA5505).

Der Tunnel kann sauber von beiden Seiten aufgebaut werden.

In der Außenstelle befindet sich hinter der ASA das Netz 10.0.0.0/24 und in der Zentrale mehrere Netze 172.16.0.0/16, 172.18.0.0/16 und 192.168.0.0/16.

wenn ich von der zentrale irgendeinen Host in der Außenstelle anpinge, kriege ich sofort Antwort aber wenn ich von der Außenstelle irgendeinen Host in der Zentrale anpinge, bekomme keine Antwort solange bis ich von diesem Host(in der Zentrale) erst einen Ping auf den Host in der Außenstelle setze dann funktioniert die Kommunikation von beiden Seiten.

ACL’s auf beiden Seiten habe ich bereit überprüft und da wird überhaupt nichts geblockt!

woran könnte es liegen, dass die Hosts in der Zentrale erst erreichbar, wenn die Kommunikation von der Zentrale schon mal getestet wurde?

was kann die Ursache sein?

Für jeden Tipp bzw. Idee dankbar!

Besten Dank für euer Antworten!

ich werde es mal testen.

Grüße

Hallo,

hinter einer remote ASA5505 sind 4 PC's, die alles(IP,DNS,AD,...) per DHCP bekommen sollten.

Die ASA5505 ist in einer Niederlassung und der DHCP Server ist in der HQ(ASA5520), zwischen den beiden ASA's wird eine IPSec L2L Tunnel aufgebaut.

Der DHCP Server ist quasi auf der andere Seite (outside Seite von der ASA5505).

wie kann ich die ASA5505 dazu bringen, die DHCP Requests an den DHCP Server auf der anderer Seite weiterzuleiten und die PC's alles bekommen, was sie brauchen.

Gibt’s so was wie „ip-helper address” für die ASA oder sin des andere command?

welche commands sollten konfiguriert werden?

Besten Dank schon mal im Voraus!

Grüße