sebastian.f

Nope Exposed Hosts gibts nicht in dem Netz sind nur Clients.

D.h Standardmäßig ist SSH von aussen erreichbar?

Danke für die Info.

Hallo zusammen,

so wir haben jetzt hier einen 876w.

SSH ist konfiguriert und getestet.

Es stellt sich jetzt nur die Frage wie muss NAT konfiguriert werden damit ich über die offizielle IP Adresse des Routers an die IOS CLI komme also quasi von aussen?

Die IP des Routers wird fix sein.

Kann mir da bitte jemand auf die Sprünge helfen ?

Vielen Dank.

Alles klar vielen Dank für die Antworten hat mir sehr weitergeholfen!

Die Serie ist IMHO auch relativ neu :)

Danke schonmal für die Infos.

In Deutschland ist DSL über POTS auch Standard oder?

Gibts es für das Gerät eine benutzbare Weboberfläche zur Konfiguration?

Hintergrund ist folgender:

Bestimmte Konfigurationen sollen vor Ort von einem normalen Mitarbeiter vorgenommen werden können

Alles andere wird von uns Remote über IOS CLI gemacht.

Danke!

Hallo

Hat hier jemand Erfahrungen mit der 800er Serie von Cisco insbesondere dem Modell Cisco 867W? Ist das mit deutschem DSL Kompatibel ?

Ich kann das nicht genauer spezifizieren da wir den DSL Anbieter noch nicht kennen und das unsere erste Branch wird die wir in Deutschland installieren.

Vielen Dank für Infos.

Soweit ich mich erinnere braucht man unter CATOS die Configdatei nicht explizit speichern lassen, das passiert automatisch.

Alles klar, hab mir auch schon sowas gedacht, danke für die Hilfe.

Es gibt so USBtoSerial Adapter mit denen klapt das auch ganz gut.

Kostet so 10€ das ding ...

Hier sind die Tabellen aus den 2 betroffenen Geräten (Die ersten beiden) und einem dritten Switch, kein Unterschied zu sehen:

1 enet 100001 1 enet 100001 1 enet 100001

2 enet 100002 2 enet 100002 2 enet 100002

3 enet 100003 3 enet 100003 3 enet 100003

4 enet 100004 4 enet 100004 4 enet 100004

5 enet 100005 5 enet 100005 5 enet 100005

6 enet 100006 6 enet 100006 6 enet 100006

7 enet 100007 7 enet 100007 7 enet 100007

8 enet 100008 8 enet 100008 8 enet 100008

9 enet 100009 9 enet 100009 9 enet 100009

10 enet 100010 10 enet 100010 10 enet 100010

11 enet 100011 11 enet 100011 11 enet 100011

12 enet 100012 12 enet 100012 12 enet 100012

13 enet 100013 13 enet 100013 13 enet 100013

14 enet 100014 14 enet 100014 14 enet 100014

15 enet 100015 15 enet 100015 15 enet 100015

16 enet 100016 16 enet 100016 16 enet 100016

17 enet 100017 17 enet 100017 17 enet 100017

18 enet 100018 18 enet 100018 18 enet 100018

30 enet 100030 30 enet 100030 30 enet 100030

1002 fddi 101002 1002 fddi 101002 1002 fddi 101002

1003 tr 101003 1003 tr 101003 1003 tr 101003

1004 fdnet 101004 1004 fdnet 101004 1004 fdnet 101004

1005 trnet 101005 1005 trnet 101005 1005 trnet 101005

Gruß

Hab mir das jetzt mal angeschaut, die VLANs sind auf allen Geräten gleich ...

Sowohl der 3550 als auch der 4503 sind im VTP Client Mode.

Abschalten könnte ich die VTP Traps natürlich finde es aber komisch das solche Traps versendet werden und das nur von diesen 2 Switches obwohl da noch 14 weitere in diesem Netz sind...

Die Konfig ist ziemlich simpel:

4503:

!

interface GigabitEthernet1/2

description sw_w44_2OG_2 VT Nord

switchport trunk encapsulation dot1q

switchport mode trunk

!

3550:

!

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

SNMP Konfiguration:

snmp-server community RW

snmp-server enable traps bridge

snmp-server enable traps stpx

snmp-server enable traps vtp

snmp-server enable traps vlancreate

snmp-server enable traps vlandelete

snmp-server enable traps vlan-membership

snmp-server host

!

IP Adressen und Communities habe ich entfernt!

Hallo zusammen,

ich bekomme von Zeit zu Zeit komische SNMP Traps von einem Cisco 4503 mit IOS Version 12.2(31)SGA8 und einem 3550 mit IOS Version 12.1(14)EA1a der an den 4503 per Trunk angeschlossen ist.

Zuerst kommt vom 4503 folgender SNMP Trap:

(SNMP) vlanTrunkPortDynamicStatusChange

Indicates whether the specified interface is either acting as a trunk or not. This is a result of the vlanTrunkPortDynamicState and the ifOperStatus of the trunk port itself. Value: notTrunking

Dann kommt vom 4503 wieder der gleiche Trap diesmal mit dem Value: Trunking also:

(SNMP) vlanTrunkPortDynamicStatusChange

Indicates whether the specified interface is either acting as a trunk or not. This is a result of the vlanTrunkPortDynamicState and the ifOperStatus of the trunk port itself. Value: Trunking

Dann kommt vom 3550 10mal:

vtpVlanCreated

The name of this VLAN. This name is used as the ELAN-name for an ATM LAN-Emulation segment of this VLAN. Value: %00%00%00%00%00

und zum Schluss nochmal vom 3550:

(SNMP) vlanTrunkPortDynamicStatusChange

Indicates whether the specified interface is either acting as a trunk or not. This is a result of the vlanTrunkPortDynamicState and the ifOperStatus of the trunk port itself. Value: Trunking

Laut meinem Verständnis heisst das doch das der Trunk kurz weg ist und dann wieder da ist. Allerdings machen die vlanCreated Traps überhaupt keinen Sinn weil das Value "%00%00%00%00%00" gar kein VLAN ist. Das ganze passiert während dem ganz normalen Betrieb es wurde nichts umkonfiguriert.

Hat das schonmal jemand gehabt und hat ne Idee was das sein könnte?

Sowohl im Log vom 4503 als auch vom 3550 steht absolut nichts drinn ich bekomme immer nur diese komischen SNMP Traps.

Das ist so nicht einfach zu beantworten es hängt davon ab was für Rechner es sind (Festplatten, RAID, Konfiguration), welches Medium verwendet wird (Glas, Kupfer), welche Netzwerkkarten verbaut sind (TCP/IP Offload), welche Switches, Protokolltyp Protokolloverhead ...

Da kommen einige Faktoren zusammen. Ein paar mehr Details währen also nicht schlecht. Theoretisch möglich ist Wirespeed also 1000Mbit/Sekunde

Gruß

"nur" weil die Kabel durcheinander sind und man sich evtl. **** sucht wird einem wohl kein Geld für neue Racks zur Verfügung gestellt werden. vor allem weil man das mit den anderen Kabeltipps meistens noch halbwegs geregelt bekommt.

Da müssen schon ein, zwei Kisten den Hitzetod sterben bevor man einen Verantwortlichen dazu bringt Kohle dafür rauszurücken.

Deswegen hab ich ja auch geschrieben "Wenn du die Möglichkeit hast" ... :cool:

Und es ist immer noch besser das Rack neu aufzubauen als ein paar Kisten den Hitzetod sterben zu lassen.

Wenn du die Möglichkeit zum Austausch hast würd ich sie wahrnehmen. Kannst von Grund auf alles neu und sauber machen inklusive sauberem Kablemanagement. Macht mehr Sinn als einzelne Symptome zu bekämpfen. Was nützt die sauberste Verkabelung wenn du schon mit dem Luftdurchsatz Probleme hast. Klar ist es viel Arbeit aber IMHO lohnt sich das auf lange Sicht.

VMPS haben wir hier auch im Einsatz, allerdings schreibst du das du 6000 MAC Adressen hast und einpflegen müsstest und das weltweit. Für so eine Konstellation ist VMPS nicht empfehlenswert da es erstens nur im Layer 2 Bereich funktioniert, d.h sobald ein Router irgendwo dazwischen ist Ende Gelände und zweitens der Verwaltungsaufwand bei so vielen Adressen ins unmögliche steigt.

In dem Fall bleibt wohl nix ausser 802.1x :)

Lustigerweise bestätigt sich hier mal wieder was auch schon mein Berufsschullehrer immer gesagt hat. Im Zweifel ist es immer das Kabel :D

AES ist auch empfehlenswert siehe dazu:

http://dl.aircrack-ng.org/breakingwepandwpa.pdf

Gruß

Ich hab mir ein TCL Script mit Cronjob geschrieben das das macht:

Cron Job:

switches=( \
<IP Adresse Switch 1> \
<IP Adresse Switch 2> \
<IP Adresse Switch N> \
)

# startup-config der switches sichern
for switch in "${switches[@]}"; do
expect save_config.tcl startup $switch
sleep 5
done;

# vlan.dat sichern
expect save_config.tcl vlandb <IP Adresse des TFTP Servers>

TCL Script:

set param [lindex $argv 0]
set switch_ip [lindex $argv 1]

if {$param != "startup" && $param != "vlandb"} {
exit
}

spawn telnet $switch_ip

expect "Password:"
send "<Dein Switch Telnet PW>\r"
expect "sw_*>"
send "enable\r"
expect "Password:"
send "<Dein Switch Enable PW>\r"
expect "sw_*#"

if {$param == "vlandb"} {
send "copy cat4000_flash:vlan.dat tftp:\r"
} elseif {$param == "startup"} {
send "copy startup-config tftp:\r"
}

expect "Address or name of remote*"
send "<IP Adesse des TFTP Servers>\r"
expect "Destination filename*"
send "\r"

expect "sw_*#"
send "exit\r"

Die Daten in den <> muss man angeben :)

Gruß

Das Feature das du suchst nennt sich VMPS (VLAN Membership Policy Server). Solltest du einen 4506 als VMPS einsetzen wollen muss dieser mit CATOS laufen da IOS nur die Client Funktionalität von VMPS unterstützt.

Alternativ kann man auch freie VMPS Implementationen nutzen zum Beispiel OpenVMPS: SourceForge.net: OpenVMPS

Solltest du das ganze neu implementieren wollen würde ich eher zu 802.1x raten da das sicherer ist und besser unterstützt wird. Cisco legt nicht mehr wirklich viel Wert auf VMPS.

Nicht unbedingt könnte ja ein NAS Gateway sein ;)

Naja ich habe mir ein expect Script geschrieben das für mich die Sicherung übernimmt, bei 35 Geräten währe mir das von Hand auch zuviel Aufwand da fällt auch eine Datei mehr oder weniger nicht ins Gewicht :) ...

Hi,

also ich betreibe ein Netz ähnlicher Größe und Nutze das Client Server Konzept mit den Core Geräten als Server, Rest Client. Bin absolut zufrieden und hatte noch nie Probleme. Natürlich gibts ein paar Dinge die man beachten muss, aber gröbere Probleme gabs bis jetzt nicht. Rennt seit 2004 durch.

Sebastian

Hallo

ich bin mir nicht ganz sicher aber ich denke du meinst VTP Pruning?

Aus Cisco Doku:

VTP Pruning

VTP ensures that all switches in the VTP domain are aware of all VLANs. However, there are occasions when VTP can create unnecessary traffic. All unknown unicasts and broadcasts in a VLAN are flooded over the entire VLAN. All switches in the network receive all broadcasts, even in situations in which few users are connected in that VLAN. VTP pruning is a feature that you use in order to eliminate or prune this unnecessary traffic.

Regards