Nightwalker_z

Hi, ist etwas zu spät aber ich war auch und ein Nachtrag: Das ist absolut richtig - und die Sessions (und Rezertifizierung) werden noch anstrengender wenn man einen anstrengenden Side-Event Vorabend hatte :suspect: Ich mache jedes mal den gleichen Fehler .... Cheers

Also dein Posting ist schon etwas her, aber trotzdem: Cisco APs können keine GRE Tunnels aufspannen. Für so einen Anwendungsfall sind WLAN Controller gedacht - die tunneln dann in CAPWAP. Wie die Außenstelle an der Zentrale hängt ist dafür nicht so wichtig ... ich gehe mal davon aus, dass du vom MPLS Netz sowieso nichts mitbekommst weil das über einen Service Provider läuft, richtig?

Man muss das nicht zwangsläufig mit 802.1X steuern. Wenn eine Interface-Group (aka VLAN select) an einer SSID gebunden ist, gibt es mehrere Möglichkeiten - SW Version >= 7.2: Es wird ein Hash über die Client MAC Adresse gemacht. Beim Hash Ergebnis kommt raus, welches VLAN / Interface für diesen Client verwendet werden soll. Somit hat ein Client X immer das selbe Subnetz zugeordnet - SW Version < 7.2: Round Robin Verteilung - Wenn der Client eine statische IP hat wird in einem gewissen Zeitfenster geschaut von welcher Source IP der Client sendet und in das entsprechende Subnetz gepackt. - Wenn ein DHCP Reject vom DHCP Server zurück kommt (z.B. Scope voll), dann wird der Client auch in ein anderes Subnetz aus der Interface Group gepackt. Wegen dem LAG: Alle Interfaces sind dann im EtherChannel Erst mit den neuen IOS-XE basierenden Controllern kann man mehrere Channels bilden.

Wahrscheinlich hat sich das schon erledigt - dennoch: 1.) Das ist ein IOS AP Image - kein WLAN Controller Image --> keinen "clear lwapp" Befehle möglich bzw. nötig 2.) Vom Output her sieht es so aus, als wäre der AP schon auf Factory Default - viel Spass beim Konfigurieren

Yepp - du musst die Async Interfaces gar nicht konfigurieren. Einfach über die line Konfiguration gehen (ganz am Ende der running-config). Dann einfach einen telnet auf den localhost mit der entsprechenden line Nummer + 2000 machen. Hier ist ein ganz cooler Link, für die Deluxe Variante: http://routing-bits.com/2008/09/30/cisco-terminal-server-with-menu-command/ In der Line config kannst du dann auch noch Speed, Parity und so einstellen. Aber der default passt für Cisco Konsolenzugang (9600)

Huups ... hab gar nicht gesehen, dass da ne zweite Seite ist. (Bitte löschen)

Wie gesagt - ich würde auf was moderneres gehen. Für den 7200er ist es absehbar, dass der SW Support nachlässt. Wenn man mal ein neues Feature testen will (gerade fürs Lab), dann kann man bald schon **** aus der Wäsche schauen.

7200er ist EoL/EoS meines Wissens nach. Vielleicht einen 3945, wenn es zwei ATM Ports sein müssen. Da gibt es HWICs dafür: T3/E3 ATM Network Modules for Cisco 2800, 3800 and 3900 Integrated Services Routers [Cisco Network Modules] - Cisco Systems Cisco 3800 and 3900 Series ATM OC-3 Network Module [Cisco 3800 Series Integrated Services Routers] - Cisco Systems Der 3945 hat außerdem noch 3 integrierte Routed 10/100/1000er Ports Cisco 3945 Integrated Services Router - Cisco Systems Ansonsten kann das Ding auf jeden Fall IPv6.

Hi, was für Performance Anforderungen? Firewall ja/nein QoS (Shaping/Queuing) ja/nein andere Schweinereien außer Routing (welche?)

Ist meiner Meinung nach das Selbe. Cisco IOS Release 12.2(50)SE or later: "authentication port-control {auto | force-authorized | force-unauthorized}" The equivalent 802.1x commands in Cisco IOS Release 12.2(46)SE and earlier: "dot1x port-control {auto | force-authorized | force-unauthorized}" Beschreibung: Enable manual control of the authorization state of the port. Siehe auch z.B. einen aktuellen 2960 SW configuration guide (z.B. 15.0(1)SE)

Hier ein paar Auszüge aus dem Config Guide. Laut Cisco "sollte" man die selbe Version verwenden. Ich würde das von oben mal befolgen und mal einen "show switch" absetzen. Ansonsten kann ich nur die best practises von Cisco empfehlen. Lange rede kurzer Sinn: Nicht wundern, falls irgendwas, irgendwann mal schief gehen sollte :-D

Mit einem gültigen Cisco Wartungsvertrag! Ich würde mir überlegen, ob ich einen Mixed Stack baue. Stack-Rings mit der E-Serie haben mehr Dampf über den Ring. Mit einem G fällt alles zurück.

Warum es damals funktionierte und jetzt nicht mehr ist doch Glaskugelleserei :-D Trotzdem noch einmal: Wenn man PEAP verwendet, braucht man nur ein Zertifikat auf dem RADIUS Server (Serverzertifikat). Die Clients melden sich mit Username/Password an. Wenn die Clients aber die Option aktiviert haben, dass sie das Serverzertifikat überprüfen müssen, brauchen die Clients natürlich das CA Zertifikat. Arbeitet ihr mit einer PKI oder erstellt ihr einfach Self-Signed Zertifikate am RADIUS Server? Bitte einfach mal versuchen die Option "Serverzertifikat überprüfen" am Clients auszuknipsen und dann schauen ob es geht. In einer Produktivumgebung würde ich dieses Setting aber nicht empfehlen!

Was mich stutzig macht sind folgende Statements: und Das passt irgendwie nicht zusammen. Für PEAP mit Inner Method MSCHAPv2 braucht man keine Clientzertifikate. Das Einzige was wichtig ist, dass der RADIUS Server ein Zertifikat hat. Mit PEAP (MSChap) verwenden Windows Clients oft per Default das Maschinenkonto (falls Domäne) oder die Credentials des angemeldeten Users. Vielleicht helfen diese kleinen Hinweise ja schon weiter!

Hi, unabhängig zu deiner Frage ein Hinweis. Mach mit deinem "kleinen" Router mal einen Speedtest. Abhängig von den aktivierten Features kann das sonst ein Flaschenhals in deinem Netz werden. VDSL hat 50 MBit/s, richtig? Was ziemlich an der Performance nagt ist die Firewall (keine ACLs, sondern die stateful FW), NAT, QoS und natürlich IPSec.