MYOEY
-
Gesamte Inhalte
320 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von MYOEY
-
-
loopback ist nicht konfiguriert.
vlan4 wird fürs Management benutzt... die beiden physikalischen interfaces Gig 1/0 und Gig 1/1 sind als trank konfiguriert.
-
ping ist successful
Nun funktioniert es aber erst nachdem ich den command "ntp source Gigabitethernet1/1" statt "ntp source Vlan4" reingesetzt hab d. h. nur mit der physikalischen interface!!!!
aber der Switch ist über Gig1/1 und Gig 1/2 redundant angebunden,
Was passiert dann wenn der trunk port gig 1/1 down geht und alles über gig 1/2 läuft?? dann hab passt ntp nicht mehr!!!!
hat man eine Idee oder Tipp???
Danke und Gruss
-
neighbor x.x.x.x route-map test out
Der Switch hat keine bgp neigbors und die ganzen routen hat er selbest,
Er holt sich von niergendwo routings oder sonst was, da alle Routen ihm bekannt sind!
also es müsste nur mit den commands "route-target ... " gehen aber weiß leider nicht wie :-(
-
ja, die route stimmt und der Switch darf den NTP-Server über port UDP123 ansprechen aber der Switch versucht sich überhaut nicht zu synchronisieren!!!
Switch#sho ntp associations
address ref clock st when poll reach delay offset disp
~192.53.103.108 0.0.0.0 16 - 64 0 0.0 0.00 16000.
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
Switch#sho ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
reference time is CC31BF0A.C1475028 (11:14:18.755 UTC Fri Jul 11 2008)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.02 msec, peer dispersion is 0.02 msec
config:
ntp source Vlan4
ntp update-calendar
ntp server 192.53.103.108
@luxus: "ntp clock-period " hab ja rausgenommen aber leider ohne Erfolg
wir bringe den Switch dazu, sich mit dem NTP Server zu synchronisieren??
-
erstmal danke für deine Antwort!
mit ACL möchte ich das auf jeden Fall vermeiden!!
Ich möchte einfach vermeiden, dass die routen der jeweiligen vrf in der routing-table der andere drin sind!
wie könnhte es mit route-maps aussehen?
Gruss
-
Eine Idee bzw. Vorschlag wäre super ;-)
-
hallo,
Ich habe folgende auf ein Catalyst3750E konfiguriert:
ip vrf kunde1
rd 8500:101
route-target both 8500:101
route-target both 8500:100
ip vrf kunde2
rd 8500:102
route-target both 8500:102
route-target both 8500:100
ip vrf zentrale
rd 8500:100
route-target both 8500:100
route-target both 8500:101
route-target both 8500:102
mpls label protocol ldp
mpls ldp logging neighbor-changes
router bgp 8500
no synchronization
bgp log-neighbor-changes
neighbor CORE ebgp-multihop 5
no auto-summary
address-family vpnv4
neighbor CORE send-community extended
exit-address-family
address-family ipv4 vrf kunde1
redistribute connected
no synchronization
exit-address-family
address-family ipv4 vrf kunde2
redistribute connected
no synchronization
exit-address-family
address-family ipv4 vrf zentrale
redistribute connected
no synchronization
exit-address-family
interface Vlan101
ip vrf forwarding kunde1
ip address 192.168.1.1 255.255.255.0
interface Vlan102
ip vrf forwarding kunde2
ip address 192.168.2.1 255.255.255.0
interface Vlan100
ip vrf forwarding zentrale
ip address 192.168.0.1 255.255.255.0
sho ip route vrf kunde1
B 192.168.0.0 is directly conected, 01:36:09, Vlan 100
B 192.168.2.0 is directly conected, 01:56:09, Vlan 102 *darf nicht sein*
C 192.168.1.0 is directly conected, Vlan 101
sho ip route vrf kunde2
B 192.168.0.0 is directly conected, 01:43:09, Vlan 100
B 192.168.1.0 is directly conected, 01:53:09, Vlan 101 *darf nicht sein*
C 192.168.2.0 is directly conected, Vlan 102
sho ip route vrf zentrale
B 192.168.1.0 is directly conected, 01:36:09, Vlan 101
B 192.168.2.0 is directly conected, 01:36:09, Vlan 102
C 192.168.0.0 is directly conected, Vlan 100
Folgende soll möglich sein:
kunde1 darf zentrale anpingen
kunde2 darf zentrale anpingen
kunde1 darf NICHT kunde2 anpingen
wie kann ich verhindern dass kunde1 und kunde2 sich gegenseitig anpingen können? wie soll ich es am besten konfigurieren???
kennt sich jemand damit aus??
Gruß
-
Hallo,
Ich möchte einen Cisco 3550 Switch dazu zwingen, sich mit einem NTP Server zu synchronisieren.
ntp clock-period 7184088
ntp server 192.168.1.123
Mit debug ntp events/packet sehe ich daß die beiden sich unterhalten aber der Switch synchroniesiert sich nicht!!!
Switch#sho ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 250.0000 Hz, actual freq is 249.9967 Hz, precision is 2**19
reference time is 00000000.00000000 (01:00:00.000 MET Wed Jul 2 2008)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec
wie stellt man sowas generell ein bzw. welche commands fehlen noch auf dem Switch?
Gruß
-
@blackbox: version 5.0
aber wie kann ich es so einstellen, dass der Rechner die ihm statisch vergebene IP für immer behält?
Da jedes mal wenn der PC Neustart macht, geht die statische IP verloren und muß ich sie noch mal manuell eingeben!!!
Muss da was besinder einstellen???
Gruß
–
keine Idee oder Tipp???
-
Es funktioniert nun... Es lag daran, dass der user:administrator nicht Mitglied der beiden Benutzergruppen(users,interactive) gewesen war!
Aber da ist mir was anders mir aufgefallen:
ich vergebe dem Rechner eine IP Adresse statisch und nach jedem Neustart ist die IP einfach weg!!! und ich muß es neu eingeben.
wie kann ich es so einstellen, dass der Rechner die ihm statisch vergebene IP für immer behält?
@wordo: 32Bit
Danke im voruas!
Gruß
-
Hallo,
Ich versuche Cisco VPN Client version 5.0 unter Windows Vista Business(deutsch) zu installieren. Erstmal mußte ich zwei Benutzergruppen(users,Interactive) anlegen dann ließ sich die Software installieren.
Nachdem Neustart läuft die Applikation aber nicht!
sobald ich die Applikation starte, kommt Fenster mit dem Inhalt "please wait while windows configures Cisco Systems VPN Clients" und installiert/configuriert irgendwas dann passiert nichts!!!
weiß jemand, wie ich es zum starten kriege?
Danke & Gruß
-
Hallo,
hier ist ein Configbeispiel einer E3:
interface GigabitEthernet0/1
description *** E3 Leitung ***
mtu 1700
ip address 192.168.1.1 255.255.255.248
no ip redirects
no ip proxy-arp
ip router isis
duplex full
speed 1000
media-type rj45
no negotiation auto
tag-switching mtu 1600
tag-switching ip
isis metric 1000 level-1
no isis hello padding always
Gruß
-
hallo,
kann mir jemand genauer erklären, was die folgenden 3 Zeilen bedeuten bzw auswirken:
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
Schon Dank im voraus!
Gruß
-
Mit Reihenfolge hat's nichts zu tun.
nach jeder NAT/PAT Änderung immer das command "clear xlate" ausführen!!!
so geht's auch:
static (inside,outside) 100.10.10.30 192.168.168.87 netmask 255.255.255.255
dann soll's eigentlich funktionieren
und somit wird der Host immer nur mit der 100.10.10.30 bidirektional übersetzt.
Gruß
-
Cisco sagt folgendes dazu:
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
Gruß
-
hallo zusammen,
folgende Konstruk:
Der Router terminiert einen VPN Site-to-Site Tunnel und dann soll die PIX den Traffic für das Subnet(192.168.1.0/24) ohne Übersetzung durchlassen.
Der sonstige outbound Traffic(z. B. Internet usw.) wird einfach mit der outside-IP der PIX gepatet(PAT). Erst nachdem ich das command "static(inside,outside) 192.168.1.0 192.168.1.0 netmask 255..." gesetzt ist, lässt die PIX den inbound traffic bzw. interesting traffic durch aber dafür funktioniert das PAT für den sonstigen Traffic nicht mehr!!!
wie kann ich diese beiden unter einen Hut kriegen?
----|Router|------|PIX|-------- LAN 192.168.1.0/24
PIX config:
access-list 101 extended permit ip 192.168.1.0 255.255.255.0 10.1.6.0 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
Danke im voruas!
-
bin leider noch nicht weitergekommen... keine Idee oder Tipp ;-)
Gruß
-
Erstmal danke für die Antworten!
Hier mal die config:
PIX:
access-list noNAT permit ip 192.168.1.0 255.255.255.0 10.16.0.0 255.255.0.0
sysopt connection permit-ipsec
crypto ipsec transform-set policy1 esp-3des esp-md5-hmac
crypto map cisco 10 ipsec-isakmp
crypto map cisco 10 match address noNAT
crypto map cisco 10 set peer x.x.x.x
crypto map cisco 10 set transform-set policy1
crypto map cisco interface outside
isakmp enable outside
isakmp key *********** address x.x.x.x netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
C6506 config:
aaa new-model
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key plazamedia address Y.Y.Y.Y no-xauth
crypto isakmp keepalive 30 5
!
crypto isakmp client configuration group test
key ********
pool SDM_POOL_1
netmask 255.255.255.0
crypto ipsec transform-set policy1 esp-3des esp-md5-hmac
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set policy1
reverse-route
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
crypto map SDM_CMAP_1 10 ipsec-isakmp
set peer Y.Y.Y.Y
set transform-set policy1
match address 100
interface vlan 35
description [ outside - Internet ]
crypto map SDM_CMAP_1
ip local pool SDM_POOL_1 192.168.1.1 192.168.1.100
access-list 100 permit ip 10.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255
Ich möchte dass, der Catalyst6506 als VPN Remote Access Server und auch Site-to-Site macht aber das tut er anscheinend nicht!!! hab ich da was übersehen oder fehlt irgendwas noch in der config??
mit der o. g. config funktioniert VPN Remote Access ohne Problem aber L2L nicht und bekomme als status "CONF_ADDR" mit sho cry isa sa.
Wenn ich aber die folgenden 3 Zeilen von der config rausnehme, funktioniert L2L aber Remote Access nicht mehr:
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
Wie läßt sich sowas konfigurieren, sodass ich mich über Cisco VPN Client auf den C6506 verbinden kann und er auch als peer eine L2L VPN Verbindung aufbauen kann?
was ist der zusammenhang der 3 Zeilen mit Site-to-Site tunnel? Ich dachte, die sind nur für die VPN Clients!
-
Moin Moin,
Ich versuche zwischen einem C6506(mit VPN Modul) und einer PIX501 einen Site-to-Site IPSec Tunnel aufzubauen.
Es funktioniert soweit bis auf daß ich keinen ping durchbekomme und komische state auf der Switch-Seite habe!
Sobal ich versuche intersting traffic zu erzeugen, bekomme ich auf mit dem command "sho cry isa sa" auf beiden Seiten die folgenden Medlungen:
PIX state: QM_IDLE
Switch state:CONF_ADDR
was bedeutet eigentlich state "CONF_ADDR" und woran könnte es liegen?
Hoffe, hat man sowas gesehen hat!
Danke im voraus
Grüsse
-
Moin Moin,
was ist der grundlegende Unterschied zwischen den folgenden Modus:
Active/Active Failover
Active/Standby Failover
und welche Vor- und Nachteile der jeweiligen Modus?
Hat man vielleicht gute bzw. schlechte Erfahrung mit einem der beiden Modus?
Ich wäre für jede Antwort bzw. Meinung dankbar.
Gruss
-
aber standardmaessig ist die Anzahl der gleichzeitiger Verbindungen mit dem selben Account nicht begrenzt oder? bei der PIX meine ich.
-
moin moin,
Gibt es vielleicht eine Begrenzung der Anzahl gleichzeitiger VPN Verbindungen, die mit dem selben Account sind?
der Account ist local auf der Firewall angelegt.
wie kann ich sonst die Anzahl der gleichzeitiger Verbindungen festlegen?
Danke & Gruss
-
erstmal ein frohes neues Jahr...
auf zwei Switchen läuft OSPF:
Switch1:
interface loopback0 10.0.0.1 255.255.255.255
router ospf 10
router-id 10.0.0.1
log-adjacency-changes
redistribute connected subnets
redistribute static subnets
network 192.168.1.0 0.0.0.255 area 0
network 10.0.0.0 0.0.0.255 area 0
default-information originate
Switch2:
interface loopback0 10.0.0.2 255.255.255.255
router ospf 10
router-id 10.0.0.2
log-adjacency-changes
redistribute connected subnets
redistribute static subnets
network 192.168.1.0 0.0.0.255 area 0
network 10.0.0.0 0.0.0.255 area 0
default-information originate
Problem:
der Switch1 soll als DR und der Switch2 als BDR fungieren!
wenn ich der Switch1 als erstes hochfahre, bleibt als DR aber sobald ich den command "clear ip ospf proces" ausführe, ist der Switch2 DR und der Switch1 BDR, und wenn ich wieder den gleichen Befehl auf den Switch2 ausführe, wird der Switch1 DR und der Switch2 BDR, quasi "der erste, der da ist, wird DR sein"
wie kann ich das festlegen, sodass der Switch1 immer DR und der Switch2 nur wenn der Switch1 nicht mehr erreichbar DR wird?
Switch1 DR
Switch2 BDR (nur wenn Switch1 nicht mehr da ist, wird er selber DR)
Ich dachte durch die router-id kann man das festlegen oder priority?
Ein config-example wäre sehr hilfsreich :-)
Danke im voraus
Gruss
-
sorry im falschen Forum
@admins:
Bitte in CISCO Forum – Allgemein umziehen!
Danke!
Mpls Vpn
in Cisco Forum — Allgemein
Geschrieben
genau das ist konfiguriert aber führt nicht zum gewünschten Ergebniss!!!
Weil der ungewünschten Zugriff zwischen kunde1 und kunde2 möglicht ist :-(
da die jeweilige route in der routingstabelle drin ist!!!
Ziel ist es die route des jeweiligen kunde nicht in die routingstabelle des anderen zu sehen und zwar wie folgt:
sho ip route vrf kunde1
B 192.168.0.0 is directly conected, 01:36:09, Vlan 100
B 192.168.2.0 is directly conected, 01:56:09, Vlan 102 *darf nicht sein*
C 192.168.1.0 is directly conected, Vlan 101
sho ip route vrf kunde2
B 192.168.0.0 is directly conected, 01:43:09, Vlan 100
B 192.168.1.0 is directly conected, 01:53:09, Vlan 101 *darf nicht sein*
C 192.168.2.0 is directly conected, Vlan 102
sho ip route vrf zentrale
B 192.168.1.0 is directly conected, 01:36:09, Vlan 101
B 192.168.2.0 is directly conected, 01:36:09, Vlan 102
C 192.168.0.0 is directly conected, Vlan 100
Es wäre doch eine Kleinigkeit für unsere MPLS-VPN Experten :-)