Nightwalker_z

Klar brauchst du bei Redundanzen einen Mechanismus, der dir die Pakete nicht vervielfacht. Das ist ja wohl logisch :D Wenn du ne proprietäre Lösung willst, dann schau dir FlexLinks an. In meinen Augen eines der schwachsinnigsten Cisco Features. Hier findest du eine einfache Erklärung von FlexLinks. Cisco Catalyst 3560-E Series Switches [Cisco Catalyst 3560-E Series Switches] - Cisco Systems Die Konvergenz von RPVST+ ist erstklassig.

Das ist ziemlich einfach. Nimm iPerf - dort kannst du den Traffic mit den richtigen DSCP Werten markieren.

Hi, du hast absolut recht. Wobei ich die Sinnhaftigkeit von diesem Design schon in Frage stellen würde :-) "A full mesh is always a full mess" hat mal ein weiser Mann gesagt.

Wie gesagt - wenn die beiden 3750er Cores/Distr. zusammen stehen, dann nen Stack machen und Channels. RPVSP ist schon gut und ist so schnell, dass man eigentlich nichts merken sollte. Aber beim Channel design, hat man eben keinen Port / VLAN auf blocking und somit ne höhere Bandbreite. Und die Konvergenz ist auch a Tüpferl besser.

Beide Cores (bzw. die Distributions, wenn direkt der Access dran hängt) stacken und dann zu jedem Access Switch nen EtherChannel fahren. STP freies Design + Megaschnelle Konvergenz wenn ein Link bzw. Core ausfällt.

Naja, Full-Mesh ist ja relativ. Wie soll das Design aussehen? Muss an jedem 3750er dasselbe Layer-2 Subnetz zur Verfügung stehen? Wenn nicht, dann einfach zwischen den 3750ern routen. Ansonsten kannst du ja die 3750er Stacken, wenn sie im selben Raum / Schrank sind :-)

Hmmm .... muss gestehen, dass ich jetzt nicht alles in dem Artikel gelesen habe. Aber ich nehme die Aussage zurück, das HP-UX kein Channel-Protokoll kann :-) Ersetze HP-UX durch andere Server/Endgeräte/DataStores etc., die kein Channeling Protokoll können. Aber ich bleib dabei, dass man ein Channeling Protokoll verwenden sollte, wo es möglich ist :D

Jupp. Understanding EtherChannel Inconsistency Detection - Cisco Systems Errdisable Port State Recovery on the Cisco IOS Platforms - Cisco Systems Ich erkenne keine Nachteile bei der Nutzung von PAgP oder LACP gegenüber "on". Verstehen kann ich auch, dass PAgP ausscheided, wegen 3rd Party Unterstützung. Jede andere Netzwerkkomponente sollte eigentlich LACP unterstützen. Na gut - es gibt Endgeräte wie WLC/ESX und HP UX [...], die nur Etherchannel ohne Steuerprotokoll können. Da hat man dann keine Alternative. Aber zu Cisco-Cisco oder Cisco-"Fremdhersteller" würde ich wenn möglich immer versuchen ein Channel-Protokoll zu verwenden.

Wow - damit kannst du dir aber echt heftige Loops einfangen / generieren. Wenn mal die Gegenstelle falsch konfiguriert wird, oder man sich verpatcht. Nene, auf ON würde ich das ganze nur im Notfall setzen. (Ausser beim WLAN Controller - der kann ja offensichtlich nix anderes. --> Rüge an Cisco :-) )

Ausser du willst VSS zwischen zwei 6500ern (SUP720-10G) machen. Dann musst du PAgP+. Ansonsten würde ich auch LACP machen.

An den Data-Rates könnte das Problem liegen. Schraub die mal weiter runter. Abhängig vom SNR wird die Data-Rate eingestellt. Wenn es für die 54MBit/s nicht ausreicht, dann probiert der AP runterzuregeln - wenn er denn darf. Deshalb stell mal als Basic-Datarate 1MBit/s ein und alle anderen als Optional.

Hast du genauere Daten? Ist es im 802.11b (2,4GHz) oder im 802.11a (5GHz) Band? Sag uns mal einen SNR. Was ist wenn du den Channel wechselst?

Du hast Recht. Mit einem Maschinenzertifikat alleine kommt man schon enorm weit. Hast du gerade die Windows XP Registry Schlüssel im Kopf, die man bezüglich EAP-TLS setzen kann? (nur User-; nur Maschinenzertifikat oder beides). Ich hab da mal was gehört - finde es nur nicht mehr :D Wenn man doch mit Userzertifikaten zusätzlich arbeiten will, dann muss man es wohl mit nem LoginScript machen. Kennt jemand ein CMD Kommando mit dem man ein Zertifikat anfordert? Analog zu der Funktion im Zertifikats-Snap-In bei der MMC. Dort kann man bei der eigenen Userzertifikaten mit nem rechten Mausklich das Zertifikat anfordern. Vielleicht probiere ich auch mal nen anderen Supplicant aus. Vielleicht mal den CSSC (Cisco Secure Services Client). Der soll nen recht guten .1x Supplicant haben. Unter Vista soll das ganze auch besser gelöst sein. – Ahso - eine Sache ist mir mit dem ganzen XP WLAN gerödel noch aufgefallen. Der WLAN Client (WZC) stellt mit nem Maschinenzertifikat bereits am Anmeldebildschirm (GINA) ne WLAN Verbindung her. Leider ist es vom XP Anmeldebildschirm null ersichtlich, ob der Client eine Domänenverbindung hat (also ne WLAN Connection), oder nicht. Wenn sich der User an der Maske anmeldet, besteht die Chance, dass er sich mit Cached Credentials anmeldet. Er sieht dann spätestens am Desktop oder daran dass das LoginScript nicht läuft, dass irgendwas nicht stimmt. Gibt es erweiterte GINAS bzw. Modifikationen, die den Status der WZC anzeigen können?

Erstmal danke für den Kommentar! Die Antwort auf deine Frage ist eigentlich ziemlich einfach. 1.) Wenn der XP Anmeldebildschirm da ist, kann man nur Maschinenzertifikate für die Authentisierung benutzen. Der 802.1x Supplicant hat ja keinen Zugriff auf den Zertifikatsspeicher von den Usern (niemand eingeloggt). 2.) Wenn der User eingeloggt ist, dann macht ein Maschinenzertifikat wenig Sinn. Man will ja nicht nur die Maschine, sonder auch die User-Identity authentisieren. 3.) Das ist Standardverhalten von der WZC von XP - Gina: Maschinenzertifikat - Angemeldet: Userzertifikat

Hallo zusammen, hier ist vielleicht eine etwas knifflige Aufgabe: Ich will unter Windows XP eine Wireless Verbindung herstellen. Security mit WPA2 + 802.1x mit EAP-TLS. Die Backend-Infrastruktur ist auch schon aufgebaut. Access-Point: Cisco Aironet 1242 Server: Windows 2003 Enterprise mit Zertifizierungsstelle, DC, DNS, DHCP und IAS (Radius Server) Ich weiss - alle diese Rollen auf einem Server? Ist kein Problem - nur Laborumgebung. Hier ist die Sache wie ich sie mir vorstelle: - Verbindung vor dem Anmelden (bei der GINA) via Maschinenzertifikaten - Verbindung nach dem Anmelden mit Userzertifikaten. - automatischer Rollout von Clientzertifikaten, Trusted CAs und Userzertifikaten. Das ganze funktioniert auch einigermaßen, das einzige was nicht funktioniert ist das automatische Ausrollen der Userzertifikate. Ein Windows XP Laptop wird installiert (im kabelgebundenen LAN) und einer Domäne hinzugefügt. Nach einem reboot (LAN-Kabel noch verbunden), hat der Rechner automatische ein Clientzertifikat bekommen - natürlich alles ohne dass sich schon ein User auf Laptop an der Domäne angemeldet hat. Das funktioniert. Jetzt nur noch die SSID in der WZC einrichten und schon connected sich der Laptop mit dem WLAN wenn er am Anmeldebildschirm ist. Bis jetzt funktioniert alles - das hab ich schon hinbekommen. --> Funktionierende Ausgangssituation: Laptop hat am Anmeldebildschirm bereits eine WLAN Verbindung hergestellt (Clientzertifikat). Jetzt kann sich ein User auf dem Laptop mit einem Domänenaccount anmelden. Dieser User war noch nie an dem Laptop angemeldet - also ist sichergestellt, dass keine Cached Credentials verwendet wurden. Nach dem Anmelden hat man ca. für 30 Sekunden noch WLAN Konnektivität. Danach merkt die WCZ, dass kein Userzertifikat vorhanden ist und kappt die Netzwerkverbindung. Sprich das automatische Ausrollen der Userzertifikate klappt nicht. Im Eventlog finde ich auch den Eintrag, dass die GPO nicht geladen werden kann. DNS stimmt (sprich ich kann in den 30 Sekunden den SRV Record _ldap._tcp .... auflösen). Kann es sein, dass die 30 Sekunden "Userconnectiviät" nicht ausreichen, um das Userzertifikat automatisch auszurollen bzw. von der CA zu ziehen? Wenn ich exakt dasselbe über das kabelgebundene Netz versuche, dann habe ich nach kurzer Zeit (1 - 2 Minuten) ein Userzertifikat. Hat jemand einen Workaround bzw. Lösung dafür? Bzw. hat jemand schon so eine Lösung gebaut und kann mir bestätigen, dass das irgendwie funktioniert? Wenn ich etwas konfus geschrieben hab, dann sagt es :-)

Danke für die schnelle Antwort. Ich wollte gerade deine Tips umsetzen und hab meinen VM DC und das VM XP gestartet und angemeldet. Am XP Client war das XP Menü auf einmal in der klassischen Ansicht - wie in den Gruppenrichtlinien eingestellt. Und ich hab deine Tips noch nicht mal umgesetzt - hatte wohl dieses mal Glück mit der Startreihenfolge der Dienste. Sprich, der Client hat sich automatisch ein Clientzertifikat gezogen und nach dem Anmelden hat der AD User auch ein Userzertifikat gefunden. Das Userzertifikat habe ich nicht gleich gefunden, weil es im Zertifikatsspeicher unter "Active-Directory Benutzerobjekt" liegt. Dazu ne kurze Frage: Liegen die Userzertifikate dann lokal auf dem XP Client, oder sind die Userzertifikate auf den Domain Controller gespeichert? Was passiert, wenn man sich mit Cached Credentials anmeldet? Dann hat man kein User-Zertifikat auf dem Client, oder? Auf jeden Fall noch mal vielen Dank!

Hallo zusammen, ich baue gerade ein EAP-TLS Testlabor für 802.1x zusammen. Habe mir einen Windows 2003 Enterprise zusammengebastelt und ne Windows CA drauf installiert. Ich kann die Zertifikate wunderbar via Webseite ausrollen. Jetzt kommt aber der komplizierte Teil. Ich will Client- und Userzertifikate automatisch ausrollen lassen. Habe im DNS die ganzen Service Records und kann einen XP Client an die Domäne anmelden. Eine Gruppenrichtlinie habe ich auch schon erstellt. Wenn ich mich auf dem Windows XP Client einlogge, bekomme ich aber im Eventlog ne Fehlermeldung: Vom XP Client aus, kann ich auf das Netzwerkshare \\Domaincontroller\Sysvol .... zugreifen. Also ist es denke ich schon mal kein Fehler des Shares bzw. der Berechtigung auf den Share. Was mich etwas stutzig macht ist, dass die Datei GPT.INI irgendwie ein wenig leer ist. Ist das normal?

Jupp - der BPDUGuard ist auf portfast interfaces aktiviert. Ansich ne tolle Sache. An deiner Stelle würde ich mir mal den PC anschauen, das kann irgendwie nicht sein, dass der BPDUs rausschickt. Vielleicht mal mit WireShark oder so schauen ob der PC wirklich dieses fehlverhalten an den Tag legt.

Hier ist mal ne Beispielkonfig. SSID1 = VLAN 10 (WPA-PSK mit TKIP) SSID2 = VLAN 20 (WPA2 + 802.1x) Alles nur auf dem 2,4GHz Radioteil. ! Bridge Group für VLAN 10 interface dot11radio0.10 encapsulation dot1q 10 bridge-group 10 ! interface FastEthernet0.10 encapsulation dot1q 10 bridge-group 10 ! ! Bridge Group für VLAN 20 interface dot11radio0.20 encapsulation dot1q 20 bridge-group 20 ! interface FastEthernet0.20 encapsulation dot1q 20 bridge-group 20 ! ! WPA-PSK (TKIP) SSID dot11 ssid SSID1 vlan 10 authentication open authentication key-management wpa wpa-psk ascii <pre-shared key> mbssid guest-mode !SSID Broadcasting ! ! WPA2 ENTERPRISE (802.1x) SSID dot11 ssid SSID2 vlan 20 authentication open eap EAP_METHOD authentication network-eap EAP_METHOD authentication key-management wpa mbssid guest-mode !SSID Broadcasting ! ! Configure Cipher Suites and enable SSID on Radio interface interface dot11radio0 encryption vlan 10 mode ciphers tkip encryption vlan 20 mode ciphers aes-ccm ssid SSID1 ssid SSID2 ! ! Configure AAA (for 802.1x) aaa new-model aaa authentication login EAP_METHOD group radius radius-server host <IP address Radius Server> auth-port <1645|1812> acct-port <1646|1813> key <RADIUS-SHARED-SECRET>

Hi - hast du schon mal versucht, ob die bestehende ACL überhaupt funktioniert? Hast du die ACL incoming auf das dot11radio0 gelegt? Zu deiner Frage: Es empfiehlt sich immer zwei verschiedene Nutzergruppen bzw. Security Zone auf zwei verschiedene SSIDs zu legen. Zwei SSIDs können nicht auf dasselbe VLAN gemappt werden. Deshalb ein neues VLAN (was auch absolut Sinn macht). Wenn du den Laptop wie im Kabelgebundenen Netz nutzen willst, wirst du mit ner ACL nicht hinkommen. Ich würde eher schauen, dass ich die WLAN Seite mit 802.1x absichere. Beispielsweise mit WPA2 + 802.1x (EAP-PEAP oder EAP-TLS). Dafür brauchst du natürlich nen Backend Radius Server (MS IAS, FreeRadius, Cisco ACS). Noch ne Frage nebenbei. Hängen die AP's etwa im ganz normalen Netz? Also auch dort wo die kabelgebundenen PC's und Server hängen? Oder ist eine Firewall dazwischen? Wie ist die Netzwerkgröße?

Wenn vom Server ein ICMP Destination unreachable kommt, kann es folgendes sein: Ein anderes Gerät hinter der Firewall spricht den Server mit nem Port an, der nicht offen ist. Daraufhin sendet der Server pro Paket, dass bei Ihm ankommt, einen ICMP Destination unreachable zurück. Dieser wird an deiner Firewall geblockt. ABER: Das wird wahrscheinlich nicht dein CPU Problem auslösen. Schau im Firewall Log, oder auf dem Server einfach mal nach, wer denn soviele Anfragen schickt (Wireshark). Du dürftest dann im Log abwechselnd ein Paket von der Quelle sehen (udp) und danach ein ICMP Paket vom Server zu dem unbekannten System.

Der Serverity Level ist dafür normal. Hast du auf den Endgeräteports schon mal das probiert: interface FastEthernet0/5 no logging event link-status !

Kannst du mal den debug ntp / packets output hier posten? Bestimmt hast du schon ein: no ntp server <IP-ADDRESS> ntp server <IP-ADDRESS> gemacht, oder?

Hat der Switch ne Loopback IP fürs Management? Ansonsten mal die Loopback als NTP source nehmen. Vielleicht ja auch ein SW bug. Hast du eine IP Adresse auf dem physikalischen Interface konfiguriert, oder ist es ein Switchport mit "switchport access vlan 4"

Es geht ja nicht um das Gerät. Es geht ja nur darum, dass der Controller eine unvollständige Information Base hat. Sprich, dass er nen Assoziierten Client hat, von dem er nicht die IP Adresse kennt. Meiner Meinung ist das ziemlich egal wie man das erreicht. Der Controller weiss ja nicht, ob das IP Protokoll von dem Client deaktiviert ist, oder ob es ein "stummer" Client ist. Nach dieser Theorie (Hoffnung) und wenn man das "ARP Cache optional" von IOS APs kennt, sollte der WLC dann nen ARP request auf die Luftschnittstelle broadcasten. Dasselbe machen ja auch IOS AP's mit dem ARP cache feature. Wenn man den ARP cache ohne optional einschaltet, dann beantwortet der IOS AP alle ARP requests - Clients von denen die IP unbekannt ist, haben schlicht und ergreifend Pech gehabt. Deshalb gibt es das ARP cache optional Feature. Der AP beantwortet nur die ARP request von bekannten Clients - unbekannte IP's werden auf die Luftschnittstelle gebroadcastet. Jetzt stellt sich eben für mich die Frage, wie oder ob es das Pendant zum ARP cache optional feature für den WLC gibt.