maho

Hallo, in allen Regeln steht unter Register User "All Users". Gruß, maho

Erst mal danke für Deine Antwort. Der Zugriff funktioniert komischerweise. Wenn ich probehalber die Rule auf deny stelle, funktioniert der Zugriff nicht und die Meldungen erscheinen unveränderlich.

Hallo, im Monitoring erscheint ständig: Denied Connection, source 10.206.1.30 (internatal), destination 10.5.206.1 (local host), protocol tcp_8080, destination port 8080. Es gibt kein Grund, warum er das denied. In der Firewall Policy gibt es unter Protocols eine manuell eingerichteten Port 8080 von inter nach lokal host. Dieser ist in der Firewall Policy ausgewählt und erlaubt. Hat jemand eine Idee? Gruss maho

Hallo Marco, wie hast du dich auf den BSCI vorbereitet, hast du Kurse besucht oder aus Büchern/Learning by doing drauf vorbeitet? Darf ich fragen wo Du den Kurs besuchen willst? Bringt einem der anschließende Test etwas, wenn man nicht vorhat den CCNP zu machen? Für das CCNB benötigt man einige Kurse und Tests und auch CCNA, oder? Ein Zertifikat bekommt man ja für als Nashweis. Gruß, Maho

Mit dieser Konfiguration funktioniert das einwandfrei. Ich hau die Leitung voll, nicht mal mehr Pings gehen durch, aber mit der Citrix-Session kann weiterarbeiten. Man merkt zwar minimal die Last, aber das ist kein Problem. ip access-list extended prio-citrix permit tcp any eq 1494 any class-map match-all citrix match access-group name prio-citrix policy-map policy2 class citrix priority percent 95 policy-map policy1 class class-default shape average 100000 service-policy policy2 interface Tunnel10 service-policy output policy1 Wenn ich das shaping auf class-default rausnehme, meckert der Router, dass CBWFQ nicht unterstützt wird auf dem Interface T10. Ich muss aber zugeben, dass ich die Funktionsweise noch nicht verstanden habe. Kennst sich jemand besser aus mit QoS und kann mir das vielleicht erklären? Noch was. Habe durch Recherchen folgende Tuning-Massnahmen für die Konfiguration gefunden. Hat jemand Erfahrung mit diesen Befehlen: interface Ethernet0 description internes LAN hold-queue 100 out interface ATM0 hold-queue 224 in pvc 1/32 tx-ring-limit 3 interface Dialer1 ppp multilink ppp multilink fragment delay 10 ppp multilink interleave dialer hold-queue 30 Gruss Maho

Hallo, wenn ich z.B. 4 Router in einem Segment habe, alle im AS 1. Wie kann sagen, Router1 soll nur von Router4 die Routen lernen. Ist das möglich, wenn alles in der gleichen AS sind? Ich habe das auf Router1 mit dem Befehl "neighbor x.x.x.x" versucht und die IP des 4. Router eingegeben. Dann hat er mit keinem mehr gesprochen. Im moment arbeite ich mit Incoming distribution List. Wenn ich aber eingeben kann, mit welchem nachbard er reden soll, wäre mir das lieber. Danke schon mal im Voraus! gruss maho

@tom12 Ich glaube, das "PPP LFI" lässt sich nur Framerelay konfigurieren.

Ich werde leider erst wieder in 2 Wochen dazu kommen an diesem Thema weiterzuarbeiten. Werde berichten, sobald ich die Tips von euch getestet habe. Tausend Dank schon mal für eure Hilfe !!! maho

Leider kann ich die LLQ Konfiguration wie beschrieben nicht eingeben: class-map match-all llq match access-group 150 policy-map llq-policy class citrix bandwidth percent 95 class class-default fair-queue vpn-test-vti(config-if)#no service-policy output policy1 vpn-test-vti(config-if)#service-policy output llq-policy Class Based Weighted Fair Queueing not supported on interface Tunnel10 Mein Versuch mit PPP LFI wird wohl länger dauern, wenn ich das überhaupt selber hinbekomme...

Wenn ich auf beiden Seiten policy-map policy1 class class-default shape average 192000 eingebe, sieht's viel besser aus. Trotz massiver Last, kann ich mit meiner Citrix-Session arbeiten. Und wenn ich auf beiden Seiten 100000 eingebe, sieht es nochmal viel besser aus mit meiner Session. Gibt es eine Erklärung dafür, warum sich das so verhält? Kann mir jemand mit der LLQ und PPP LFI Konfiguration weiterhelfen? Ich weiss nicht, wie ich das mit der bestehenden Konfiguration (vor allem der Prio-Konfig.) verheiraten soll.

Ich schau mir den Link gleich an. Zum Drucken wird Port 9100 verwendet. Hier schon mal die Konfiguration des Aussenstellenrouters (DSL): version 12.4 no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption ! hostname aussenstelle1 ! boot-start-marker boot-end-marker ! logging buffered 40000 enable secret 5 <removed> ! no aaa new-model clock timezone MEZ 1 clock summer-time MESZ recurring last Sun Mar 1:00 last Sun Oct 2:00 no ip source-route ip cef ! ! ! ! ip tftp source-interface Vlan1 no ip domain lookup ip host tftp 10.50.3.5 ! multilink bundle-name authenticated vpdn enable ! vpdn-group 1 l2tp tunnel password 7 ! ! ! ! ! ! ! class-map match-all citrix match access-group name prio-citrix ! ! policy-map policy2 class citrix priority percent 95 policy-map policy1 class class-default shape average 192000 service-policy policy2 ! ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key xxxaddress x.x.x.x no-xauth ! ! crypto ipsec transform-set 3dessha esp-3des esp-sha-hmac ! crypto ipsec profile P-3dessha set transform-set 3dessha ! ! ! ! ! interface Tunnel10 bandwidth 2000 ip address 10.80.0.2 255.255.255.252 tunnel source Dialer1 tunnel destination x.x.x.x tunnel mode ipsec ipv4 tunnel protection ipsec profile P-3dessha service-policy output policy1 ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface ATM0 no ip address no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! dsl operating-mode auto ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 ip address 10.94.1.1 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1420 ! interface Dialer1 ip address negotiated ip mtu 1460 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer-group 1 compress stac no cdp enable ppp authentication chap pap callin ppp chap hostname xxx%kamp-dsl ppp chap password xxx ppp pap sent-username xxx%kamp-dsl password xxx ! ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.200.1.0 255.255.255.0 10.252.99.1 ip route 10.206.0.0 255.255.248.0 10.252.99.1 ip route 10.251.0.0 255.255.0.0 10.252.99.1 ip route 212.144.221.160 255.255.255.240 Dialer1 ! ! no ip http server no ip http secure-server ip nat inside source list 102 interface Dialer1 overload ! ip access-list extended internet_in permit icmp any any administratively-prohibited permit icmp any any echo permit icmp any any echo-reply permit icmp any any packet-too-big permit icmp any any time-exceeded permit icmp any any traceroute permit icmp any any unreachable permit esp x.x.x.x 0.0.0.127 any permit udp x.x.x.x 0.0.0.127 any eq isakmp deny ip any any ip access-list extended prio-citrix permit tcp any any eq 1494 ip access-list extended routemap-clear-df permit ip any 10.0.0.0 0.255.255.255 ! logging trap debugging access-list 1 permit 10.94.1.0 0.0.0.255 access-list 102 deny ip host 10.94.1.10 10.0.0.0 0.255.255.255 access-list 102 permit ip host 10.94.1.10 any no cdp run ! ! ! route-map Clear-DF permit 10 match ip address routemap-clear-df set ip df 0 ! ! control-plane ! ! line con 0 password 7 <removed> login no modem enable line aux 0 password 7 <removed> login line vty 0 4 exec-timeout 300 0 password 7 <removed> login ! scheduler max-task-time 5000 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end

Das ist ein tolles Forum -mit tollen Usern!!! @Thomas Ich habe die Priorisierung auf beiden Seiten angepasst (priority percent 95). Leider habe ich immer noch schlechte Performance mit meiner Citrix-Session, wenn Dateien hin- und herkopiere und große Pingpakete laufen lasse. PPP LFI sieht ja Mega kompliziert aus. Auf die schnelle konnte ich das nicht in die vorhandene Konfiguration rein arbeiten. Werde mir das nochmals genauer anschauen. Wenn ich das mit der Priorisierung hinkriegen würde, wäre ich schon ein ganzes Stück weiter. Hier mal die Ausgaben vom "sh policy-map interface": Router Zentrale Tunnel99 Service-policy output: policy1 Class-map: class-default (match-any) 53118 packets, 61337392 bytes 5 minute offered rate 232000 bps, drop rate 0 bps Match: any Traffic Shaping Target/Average Byte Sustain Excess Interval Increment Rate Limit bits/int bits/int (ms) (bytes) 2000000/2000000 12500 50000 50000 25 6250 Adapt Queue Packets Bytes Packets Bytes Shaping Active Depth Delayed Delayed Active - 0 53118 61137628 21253 26931348 no Service-policy : policy2 Class-map: citrix (match-all) 3471 packets, 262259 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: access-group name prio-citrix Queueing Strict Priority Output Queue: Conversation 72 Bandwidth 95 (%) Bandwidth 1900 (kbps) Burst 47500 (Bytes) (pkts matched/bytes matched) 365/36635 (total drops/bytes drops) 0/0 Class-map: class-default (match-any) 49647 packets, 61075133 bytes 5 minute offered rate 232000 bps, drop rate 0 bps Match: any Router Aussenstelle DSL 2000/192 Tunnel10 Service-policy output: policy1 Class-map: class-default (match-any) 36577 packets, 25983213 bytes 5 minute offered rate 177000 bps, drop rate 0 bps Match: any Traffic Shaping Target/Average Byte Sustain Excess Interval Increment Rate Limit bits/int bits/int (ms) (bytes) 192000/192000 1968 7872 7872 41 984 Adapt Queue Packets Bytes Packets Bytes Shaping Active Depth Delayed Delayed Active - 0 51794 25781257 40848 20593031 yes Service-policy : policy2 Class-map: citrix (match-all) 3239 packets, 153836 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: access-group name prio-citrix Queueing Strict Priority Output Queue: Conversation 40 Bandwidth 95 (%) Bandwidth 182 (kbps) Burst 4550 (Bytes) (pkts matched/bytes matched) 2342/111125 (total drops/bytes drops) 0/0 Class-map: class-default (match-any) 33338 packets, 25534827 bytes 5 minute offered rate 177000 bps, drop rate 0 bps Match: any Gruß, maho

Ich kenne micht mit QoS nicht aus. Die Bandbreite ist für die kleine Anzahl User (2) an diesem Standort völlig ausreichend. Ab und zu hängt sich die Citrix-Session auf bzw. haben die User Tastaturverzögerungen. Verantwortlich könnten möglicherweise kurzzeitige Spitzen sein, wofür z.B. das Drucken verantwortlich sein könnte. Deswegen möchte ich grundsätzlich die Bandbreite "kontrollieren". Citrix soll immer vorrang vor allem anderen Traffic haben. Wenn parallel gedruckt wird, soll eben das Drucken langsamer gehen und dafür hat der User immer mit seiner Citrix-Session keine Performanceprobleme (klar, solange die Antwortzeiten im Internet mitmachen). Ich dachte wenn ich 95% eintrage, wird dieser Wert für die Citrix reserviert. Die Grundkonfiguration habe ich aus einem anderen Forum. @#9370 Danke für die Links. In dem 2. Link (VTI) steht leider nicht, wie man auf Port-Basis QoS konfiguriert.

Hallo, auf einer VPN-Verbindung würde ich gerne den Traffic priorisieren. Citrix soll höchste Prio haben vor jeglichem Traffic haben. Habe dafür mal folgendes ausprobiert: Auf Aussenstellenrouter mit DSL2000/192 ip access-list extended prio-citrix permit tcp any any eq 1494 permit tcp any eq 1494 any class-map match-all citrix match access-group name prio-citrix policy-map policy2 class citrix bandwidth percent 95 policy-map policy1 class class-default shape average 192000 service-policy policy2 interface Tunnel10 service-policy output policy1 ---------------------------------------------------------------- In der Zentrale mit Internet 2Mbit Standleitung: ip access-list extended prio-citrix permit tcp any any eq 1494 permit tcp any eq 1494 any class-map match-all citrix match access-group name prio-citrix policy-map policy2 class citrix bandwidth percent 95 policy-map policy1 class class-default shape average 2000000 service-policy policy2 interface Tunnel10 service-policy output policy1 Ich kopiere große Dateien hin und her und habe eine schlechte Perfomance in meiner Citrix-Session, egal ob mit der QoS Konfiguration oder ohne. Überjeden Hinweis wäre ich sehr dankbar! Danke schon mal im Voraus. Gruß, maho

Tip: Käme vielleicht ISDN-FLAT in Frage? Es gibt von der DTAG ISDN-Flat von 2 Anschlüssen zueinander.